Archives de catégorie : Juridique

L’enjeu de la base légale et de l’information dans la conformité au RGPD des fournisseurs d’IA

Publié le par

Depuis peu, les fournisseurs de systèmes d’intelligence artificielle (IA) font l’objet d’une attention accrue de la part des autorités de contrôle européennes, lesquelles analysent leur conformité au règlement sur la protection des données (RGPD), de l’information des personnes à la base légale.

Par Sandra Tubert, avocate associée et Alicia Forgues, docteure en droit, Algo Avocats

Après avoir sanctionné OpenAI en décembre 2024 pour ses manquements au RGPD en lien avec son IA générative ChatGPT (1), l’autorité italienne de protection des données – la GPDP (2) – vient cette fois d’ordonner, le 30 janvier dernier (3), le blocage immédiat de l’application et du site web DeepSeek en Italie en raison de manquements présumés au RGPD. Avant d’ordonner la limitation du traitement, la GPDP avait adressé le 28 janvier une demande d’informations à DeepSeek, afin qu’elle précise les données traitées, les finalités poursuivies, leurs bases légales, le lieu de stockage, ainsi que la typologie de données utilisées pour entraîner les modèles d’IA, leurs sources et les modalités d’information des personnes (4).

Modèles d’IA, systèmes d’IA et données
D’autres « Cnil » européennes ont ouvert des enquêtes. Si le recours à l’IA n’impacte pas véritablement les réponses à apporter à certaines de ces questions, les bases légales de traitement et modalités d’information des personnes posent plus de difficultés lorsqu’il s’agit des traitements mis en œuvre dans le cadre de l’entraînement des modèles d’IA. En effet, ces derniers sont entraînés à l’aide d’un grand nombre de données, parmi lesquelles figurent parfois des données personnelles. Celles-ci se divisent en deux catégories : les données fournies directement par des personnes concernées ou les utilisateurs du système d’IA intégrant le modèle d’IA, auxquelles se rajoutent les données collectées durant l’utilisation du service (données first-party) et les données de non-utilisateurs collectées par web scraping ou grâce à la signature de contrats de licences d’utilisation de contenus (données third-party).
Lorsque le fournisseur se contente d’utiliser des données first-party pour entraîner ses modèles d’IA, le contact direct dont il dispose avec les personnes concernées par le traitement lui permet de les informer de manière classique, notamment via une politique de confidentialité – à laquelle il sera renvoyé depuis un formulaire de collecte ou un courriel – qui devra être précise et claire sur les finalités d’entraînement des modèles (notamment en distinguant l’information portant sur l’entraînement des modèles des autres traitements). A l’inverse, s’il utilise également (suite)

MiCA : opportunités et défis pour les acteurs en quête d’optimisation fiscale et réglementaire

Publié le par

Un crypto-actif est « une représentation numérique d’une valeur ou d’un droit pouvant être transférée et stockée de manière électronique », comme sur une blockchain. Les « prestataires de services sur crypto-actifs » font face à de coûteuses obligations. Certains sont tentés par la délocalisation.

Par Arnaud Touati, avocat associé, et Mathilde Enouf, juriste, Hashtag Avocats

Entré en application le 30 décembre 2024, le règlement européen sur les marchés de crypto-actifs – surnommé « MiCA » (Markets in CryptoAssets) – a véritablement modifié le paysage réglementaire des crypto-actifs en Europe. Ce texte publié en mai 2023 au Journal Officiel de l’Union européenne (1) vise à harmoniser les pratiques dans les Etats membres pour réduire les disparités entre les Vingt-sept. Avant MiCA, les entreprises devaient naviguer dans des cadres nationaux très différents, ce qui augmentait la complexité.

La France : pionnière mais coûteuse
Avec MiCA, les « prestataires de services sur cryptoactifs » (PSCA ou en anglais CASP (2)) sont tenus d’obtenir un agrément auprès des autorités nationales compétentes, comme l’Autorité des marchés financiers (AMF) en France, ou l’ESMA (3) pour des services transfrontaliers (4). Cet agrément impose des normes élevées en matière de gouvernance et de qualification des dirigeants. Les entreprises doivent prouver leur solidité organisationnelle et leur capacité à protéger les investisseurs contre les abus de marché. En plus de l’agrément, MiCA introduit des obligations strictes de transparence et de gouvernance. Les PSCA doivent impérativement pouvoir garantir la sécurité des actifs confiés par leurs clients et disposer de garanties financières proportionnées à leurs activités. MiCA renforce également la lutte contre le blanchiment d’argent et le financement du terrorisme (5). Les PSCA doivent alors mettre en place des systèmes de contrôle interne robustes, capables de détecter et signaler les transactions suspectes.
La France a joué un rôle précurseur dans la régulation des crypto-actifs (6), bien avant l’entrée en vigueur de MiCA, à travers la loi Pacte de 2019. Ce texte a permis de mettre en place un cadre juridique pour les « prestataires de services sur actifs numériques » (PSAN). L’AMF et l’Autorité de contrôle prudentiel et de résolution (ACPR), deux régulateurs français, ont développé une expertise solide et proactive. Leur rigueur est perçue comme un gage de fiabilité par les investisseurs internationaux, renforçant la réputation de la France dans le secteur. En parallèle, la France propose des avantages fiscaux comme le crédit d’impôt recherche (CIR), qui permet de réduire les coûts liés à l’innovation. Des subventions spécifiques soutiennent également les start-up technologiques, contribuant à un écosystème favorable à l’innovation, y compris dans (suite)

« Résumé suffisamment détaillé » : 2025 sera l’année de vérité dans la mise en œuvre de l’AI Act

Publié le par

Le rapport du CSPLA sur la mise en œuvre du règlement européen établissant des règles harmonisées sur l’IA fournit les ingrédients mais… pas la recette ! Le Bureau européen de l’IA, créé par l’AI Act, doit publier prochainement un « modèle européen » à suivre par les Vingt-sept.

Par Anne-Marie Pecoraro*, avocate associée, UGGC Avocats

Le rapport « IA et Transparence des données d’entraînement » (1), publié le 11 décembre 2024 par le Conseil supérieur de la propriété littéraire et artistique (CSPLA), s’inscrit dans la préparation de la mise en œuvre du règlement européen sur l’intelligence artificielle (AI Act) et a pour objectif de clarifier l’interprétation et la portée des dispositions imposant un modèle de « résumé suffisamment détaillé » (2). Ce modèle sera présenté au nom de la France dans le cadre du processus d’adoption d’un modèle européen par le Bureau européen de l’IA (AI Office), autorité créée par l’AI Act et chargée d’accompagner les fournisseurs d’IA dans leur mise en conformité. La publication du modèle européen est attendue pour janvier 2025.

Transparence des données d’entraînement
La collecte de données de qualité, notamment de données culturelles, est d’une importance stratégique pour les fournisseurs d’IA, puisque les systèmes d’IA ont besoin d’ingurgiter de grandes quantités de données, leur servant de modèles dans leurs productions. Or, des données contenant des créations protégées par un droit de propriété intellectuelle peuvent avoir été obtenues sans autorisation ou sans tenir compte d’un « opt-out », et avoir été effectivement exploitées. Il en va de même concernant des données personnelles (posts Facebook, Instagram, …) potentiellement utilisées pour l’entraînement de modèles d’IA. L’enjeu est alors d’avoir accès à l’information sur les données d’entraînement utilisées par une IA, pour bien des raisons et notamment ouvrir une visibilité aux ayants droits dont des données et/ou créations auraient été mobilisées, quelles qu’en soient les modalités.
Pour ce faire, les fournisseurs d’IA sont désormais soumis à une obligation de transparence qui se concrétise par la mise en place d’une politique de conformité, ainsi que par la mise à disposition au public d’un « résumé suffisamment détaillé » (sufficiently detailed summary) des contenus utilisés pour l’entraînement du modèle d’IA. Ce résumé permet le développement d’une IA de confiance souhaitée au niveau européen (3), en remédiant aux difficultés rencontrées par les titulaires de droits, confrontés à une charge de la preuve disproportionnée concernant l’utilisation de leurs contenus. Pour autant, le résumé doit répondre aux enjeux de la création d’un marché dynamique et équitable de l’IA. Ce qui impose un compromis pour restreindre la quantité d’informations mise à disposition afin de protéger le secret des affaires, moteur d’innovation pour les fournisseurs d’intelligence artificielle. (suite)

Mesures techniques contre le piratage : les ayants droit exigent plus des plateformes

Publié le par

L’Arcom a publié le 25 octobre son rapport 2024 d’« évaluation des mesures techniques d’identification des œuvres et objets protégés mises en œuvre par les fournisseurs de services de partage de contenus en ligne ». Trois ans après la loi « Antipiratage », les ayants droit ne sont pas satisfaits de ces outils.

La loi du 25 octobre 2021 de « régulation et de protection de l’accès aux œuvres culturelles à l’ère numérique », loi dite « Antipiratage » (1), a confié à l’Autorité de régulation de la communication audiovisuelle et numérique (Arcom) – que préside jusqu’au 2 février 2025 Roch-Olivier Maistre (photo) – une mission d’évaluation de l’efficacité des mesures de protection des œuvres et objets protégés prises par les fournisseurs de services de partage de contenus en ligne (YouTube, Instagram, Facebook, Snapchat, TikTok, Pinterest, Dailymotion, X/Twitter, …). Et ce, aux termes de l’article L. 331-18 du code de la propriété intellectuelle (CPI).

« Mesures techniques », filtrage et blocage
Les plateformes numériques de partage de contenus protégés par le droit d’auteur et les droits voisins doivent obtenir l’autorisation préalable des titulaires de droits pour les œuvres et objets protégés que leurs internautes utilisateurs téléchargent sur leur service pour les partager. En l’absence d’autorisation, ces fournisseurs de services de partage de contenus – plateformes vidéo telles que YouTube ou réseaux sociaux tels qu’Instagram ou X (ex-Twitter), soit au total 23 services en France, d’après l’Arcom – doivent, afin de ne pas engager leur responsabilité : démontrer avoir fourni leurs meilleurs efforts pour obtenir une autorisation préalable auprès des titulaires de droits ; avoir fourni leurs meilleurs efforts pour garantir l’indisponibilité des contenus pour lesquels les titulaires de droit leur ont fourni les informations pertinentes et nécessaires ; avoir agi promptement, dès réception d’une notification, pour bloquer ou retirer le contenu signalé et empêcher son nouveau téléchargement sur son service.
Ce régime spécifique d’autorisation et de responsabilité des plateformes de partage, au regard du droit d’auteur et des droits voisins, découle de la transposition de l’article 17 sur le filtrage des contenus de la directive européenne « Droit d’auteur dans le marché unique numérique » du 17 avril 2019, dite directive « Copyright » (2). (suite)

La revente numérique de jeux vidéo interdite en France : une « exception culturelle » qui interroge

Publié le par

Retour sur la décision de la Cour de cassation qui, le 23 octobre 2024, clôt l’affaire opposant depuis 2015 UFC Que-Choisir à la société américaine Valve, laquelle interdit la revente de jeux vidéo dématérialisés. Pas d’« épuisement des droits » pour ces derniers, contrairement aux logiciels…

La plus haute juridiction française, la Cour de cassation, a eu le dernier mot dans l’affaire qui opposait depuis près de dix ans en France l’Union fédérale des consommateurs-Que choisir (UFC-Que choisir) et la société américaine Valve Corporation. Cofondée en 1996 par son président Gabe Newell (photo de gauche), Valve opère la plateforme numérique Steam créée en 2002 pour distribuer et diffuser en ligne des jeux vidéo, des logiciels, des films ou encore des séries. L’arrêt du 23 octobre 2024 a tranché en faveur de Valve qui n’autorise pas la revente de jeux vidéo dématérialisés.

Directive : « DADVSI » ou « Logiciels » ?
La Cour de cassation a estimé dans cette décision du 23 octobre 2024 (1) que la cour d’appel a eu raison de dire dans son arrêt du 21 octobre 2022 (2) qu’« un jeu vidéo n’est pas un programme informatique à part entière mais une œuvre complexe en ce qu’il comprend des composantes logicielles ainsi que de nombreux autres éléments tels des graphismes, de la musique, des éléments sonores, un scénario et des personnages [“dont certains deviennent cultes”, ajoutait même Valve, ndlr] ». Et que, « à la différence d’un programme d’ordinateur destiné à être utilisé jusqu’à son obsolescence, le jeu vidéo se retrouve rapidement sur le marché une fois la partie terminée et peut, contrairement au logiciel, être encore utilisé par de nouveaux joueurs plusieurs années après sa création ». Dans ses arguments distinguant logiciel et jeu vidéo, la cour d’appel avait aussi affirmé qu’« il ne peut être considéré que la fourniture d’un jeu vidéo sur un support matériel et la fourniture d’un jeu vidéo dématérialisé sont équivalentes d’un point de vue économique et fonctionnel, le marché des copies immatérielles d’occasion des jeux vidéo risquant d’affecter beaucoup plus fortement les intérêts des titulaires de droit d’auteur que le marché d’occasion des programmes d’ordinateur ».
La plus haute juridiction française, qui avait déjà fait sienne cette définition d’« œuvre complexe » pour les jeux vidéo dans l’arrêt « Cryo » du 25 juin 2009 (3), a donc finalement donné raison à la cour d’appel et, partant, à la société Valve contre l’association UFC-Que Choisir, tout en ajoutant que la cour d’appel « a déduit à bon droit que seule la directive 2001/29 [directive européenne “Droit d’auteur et des droits voisins dans la société de l’information” ou DADVSI (4), ndlr] est applicable aux jeux vidéo, que la règle de l’épuisement du droit ne s’applique pas en l’espèce et qu’en l’absence de doute raisonnable quant à l’interprétation du droit de l’Union européenne, il n’y a pas lieu de saisir la Cour de justice de l’Union européenne [CJUE, ndlr] d’une question préjudicielle ». Donc, circulez, il n’y a rien à voir. (suite)