Archives de catégorie : Régulation

Les signaleurs de confiance veulent des moyens financiers pour agir contre les contenus illicites

Publié le par

Ils sont déjà huit à être agréés par l’Arcom, dans le cadre du règlement européen sur les services numériques (DSA). Ce sont les « signaleurs de confiance ». Sur les suggestions du régulateur, le gouvernement veut les aider financièrement pour mieux lutter contre les « contenus illégaux ».

En un an, depuis la première désignation d’un signaleur de confiance le 6 novembre 2024 (1), l’Arcom en a désignés huit. Ces « signaleurs de confiance » – ou Trusted Flaggers, selon la terminologie anglaise du DSA (Digital Services Act) – sont, selon l’Arcom (2), « des organisations reconnues pour leur expertise dans la détection, l’identification et la notification de contenus illicites », que la plateforme en ligne a l’obligation – « si elle partage l’analyse du signaleur de confiance » – de retirer ou d’en bloquer l’accès, dès lors que ces contenus illégaux lui ont été signalés.

Ligue des droits de l’homme, signaleuse de fait
« Dans l’architecture du règlement européen sur les services numériques, il y a les régulateurs coordinateurs que nous sommes [l’Arcom en France, ndlr (3)]. Mais pour que leur action auprès des plateformes numériques puisse prendre toute leur ampleur, il faut qu’il y ait des acteurs administratifs mais aussi beaucoup de la société civile – associatifs ou chercheurs (4) – qui soient agréés, labellisés. Parmi eux, les “signaleurs de confiance” signalent aux plateformes les contenus qui posent problème », a expliqué le président de l’Autorité de régulation de la communication audiovisuelle et numérique (Arcom), Martin Ajdari (photo), devant l’Association des journalistes médias (AJM), le 16 octobre 2025.
Ces huit signaleurs de confiance agréés en France sont : (suite) e-Enfance (protection des mineurs), Alpa (prévention et lutte contre la piraterie audiovisuelle), Ifaw (préservation des espèces sauvages et lutte contre la cybercriminalité liée à ces espèces), Indecosa-CGT (information et défense des consommateurs salariés), Point de contact (contre les cyberviolences et protection des victimes dans l’espace numérique), Addictions France (prévention, formation, soin et réduction des risques des addictions et leurs conséquences), le Crif (contre l’antisémitisme et le racisme), et la Licra (contre le racisme et l’antisémitisme).
Parmi les candidats au statut de signaleur de confiance, dans le respect de l’Etat de droit, certains sont refusés comme La Team Moore (5). D’autres sont pressentis comme la Ligue des droits de l’homme (LDH), avec laquelle Martin Ajdari a confirmé être en contact. Mais la LDH pointe, comme d’autres organisations concernées, un manque de moyens et de personnel pour remplir cette nouvelle mission. « Des associations nous disent souvent que le problème est leurs moyens limités et consacrés en priorité à leurs membres confrontés à une discrimination ou une atteinte à leur vie de tous les jours », a relevé le président de l’Arcom devant l’AJM. Le régulateur va continuer à en faire part au gouvernement, au moment où le projet de loi de finances 2026 est âprement débattu. « Les signaleurs et les chercheurs doivent pouvoir avoir accès à des financements pour que leurs travaux prennent de l’ampleur », a déclaré Martin Ajdari. La LDH souhaite que le statut de si-gnaleur de confiance soit assorti d’une aide financière. « La LDH a effectivement ce problème de moyens. On espère pouvoir trouver les modalités de leur labellisation lorsqu’ils présenteront leur dossier [de candidature] à ce statut », a indiqué le président de l’Arcom.
La LDH n’a pas attendu d’être agréée pour signaler des contenus en ligne : le 10 février 2025, soit plus de six mois avant que l’affaire « Pormanove » n’éclate avec le décès en direct le 18 août sur la plateforme Kick de ce streamer violenté (6), la LDH avait saisi l’Arcom en dénonçant ce contenu illicite et en appelant le régulateur à ses responsabilités dans le cadre du DSA (7). « Mais au moment où l’on a été saisi par la LDH, un courrier qui est arrivé quelques jours après ma prise de fonction [le 2 février 2025 (8)] et dont je n’ai pas eu connaissance, a précisé Martin Ajdari, la justice était déjà saisie et avait entendu les acteurs placés en garde à vue, avant de les laisser partir sans donner de suite ». Il a cependant estimé que « l’Arcom aurait pu elle aussi, en tant qu’autorité, saisir la justice, ce sur quoi nous allons travailler pour être nous-mêmes au cœur de la veille et de la coopération de l’ensemble des acteurs de la société ».

Aurore Bergé a promis un soutien financier
Encore faut-il que les signaleurs de confiance soient subventionnés par l’Etat. « Cette fonction de signaleur de confiance, qui demande à être en veille, nécessite des moyens humains. C’est en partie ce à quoi la ministre Aurore Bergé a répondu en juillet », a rappelé le président de l’Arcom. La ministre déléguée à la Lutte contre les discriminations avait en effet promis sur France 2, le 9 juillet dernier (9), un soutien financier à une « coalition » de douze associations – dont les signaleurs de confiance Licra et Crif (10) – contre la haine en ligne « pour qu’elles puissent recruter au moins une ou deux personnes dédiées sur cet enjeu-là ». A suivre. @

Charles de Laubier

Cloud & AI Development Act : le futur règlement de la Commission européenne veut changer la donne

Publié le par

Pour que l’Union européenne devienne un « continent de l’IA », dans le cadre des objectifs de son Digital Decade à l’horizon 2030, le futur règlement sur « le développement de l’informatique en nuage et de l’IA » devra éviter de renforcer la position dominante du triumvirat Amazon-Microsoft-Google.

Alors qu’un triumvirat de l’informatique en nuage est en train de se renforcer dans l’Union européenne, constitué par les trois Big Tech américaines Amazon avec Amazon Web Services (AWS), Microsoft avec Microsoft Azur et Google avec Google Cloud, la Commission européenne s’apprête à proposer d’ici la fin de l’année 2025 un projet de règlement sur « le développement de l’informatique en nuage et de l’IA ». Ce Cloud & AI Development Act sera ensuite débattu au Parlement européen début 2026. Pour une entrée en application en 2027 ?

Triopole américain renforcé dans l’UE
Le temps long réglementaire est loin d’être celui du temps ultra-rapide des technologies. Lorsque le Cloud & AI Development Act (« CAIDA ») entrera en vigueur, d’ici deux ans, la position dominante des trois Big Tech américaines Amazon, Microsoft et Google dans le cloud aura sans aucun doute encore augmentée pour atteindre une part de marché – dans les infrastructures de cloud en Europe – plus importante qu’elle ne l’est déjà actuellement. Le triumvirat tend à devenir un triopole, qui échappe à toute régulation susceptible de favoriser la concurrence dans les Vingt-sept.
Pour l’heure, Amazon, Microsoft et Google viennent d’atteindre les 70 % de parts de marché dans les infrastructures de cloud dans l’Union européenne (UE). Tandis que la part de marché de leurs concurrents d’origine européenne – SAP, Deutsche Telekom, OVHcloud, Telecom Italia, ou encore Orange – se réduit à peau de chagrin, à savoir 15 % environ de part de marché en Europe, contre près de 30 % en 2017, d’après Synergy Research Group (voir graphique ci-dessous). « Pendant que les fournisseurs de cloud américains continuent d’investir des dizaines de milliards d’euros chaque trimestre dans des programmes d’investissement européens, cela représente une pente impossible à gravir pour toutes les entreprises qui souhaitent sérieusement contester leur leadership sur le marché », estime John Dinsdale (photo), analyste en chef de ce cabinet d’étude américain basé à Reno, dans le Nevada, aux Etats-Unis. Et cet ancien analyste en chef de chez Gartner d’ajouter : (suite) « Par conséquent, les fournisseurs de cloud européens se sont principalement installés comme fournisseurs de services à des groupes locaux de clients ayant des besoins locaux spécifiques, travaillant parfois en partenariat avec les grands fournisseurs de cloud américains. Bien que de nombreux fournisseurs de cloud européens continuent de croître, il est peu probable qu’ils fassent beaucoup bouger les lignes en termes de part de marché européenne globale » (1). Les principaux bénéficiaires de la croissance du marché depuis sept ans sont le quasi-triopole Amazon, Microsoft et Google, ces « hyperscaler » capables déployer et gérer des infrastructures de cloud de façon massive, de réparties sur des centaines de datacenters à travers le monde leur puissance informatique dans le nuage, d’offrir des services de calcul, de stockage, d’IA, de réseau et de sécurité à l’échelle planétaire, et de faire évoluer dynamiquement leurs ressources en fonction de la demande grâce à leurs architectures de cloud. AWS, Azur et Google Cloud règnent donc toujours en maîtres, non seulement dans l’Union européenne qu’ils ont colonisée, mais aussi dans le reste du monde.
Alors que le marché mondial des infrastructures de cloud à destination des entreprises approche de la barre des 100 milliards de dollars de chiffre d’affaires rien qu’au deuxième trimestre 2025, toujours d’après Synergy Research Group, pour un total sur un an de 366 milliards de dollars (en hausse annuelle d’environ 25 %), le quasi-triopole s’arroge respectivement 30 % (Amazon), 20 % (Microsoft) et 13 % (Google) de parts de marché mondiale. « Nous prévoyons que la croissance annuelle moyenne au cours des cinq prochaines années restera supérieure à 20 %, a encore indiqué John Dinsdale. Nous pouvons remercier GenAI [intelligence artificielle générative capable de produire du contenu original – texte, image, code, musique, vidéo – à partir de données existantes, ndlr] d’avoir surdimensionné ce qui était déjà un marché important et à forte croissance ».

L’IA et GenAI favorables… au triopole
Au second trimestre 2025, Synergy Research Group a en effet constaté une croissance de 140 % à 180 % des services cloud spécifiques à GenAI, et l’intelligence artificielle (IA) a contribué également à la croissance des services cloud sur un marché plus élargi – de plus en plus d’entreprises et de plateformes grand public adoptant l’IA. « Au-delà des services cloud d’entreprise, constate John Dinsdale, l’IA alimente également l’expansion des revenus d’autres services numériques. Nous constatons une forte croissance à deux chiffres des revenus provenant des médias sociaux et de la recherche en ligne » (2). Si les Etats-Unis restent de loin le plus grand marché du cloud, l’Europe progresse mais ses plus grands marchés nuagiques sont le Royaume-Uni et l’Allemagne, tandis que les grands marchés européens avec les taux de croissance les plus élevés sont l’Irlande, l’Espagne et l’Italie. La France est au ralenti.

Changer de cloud facilement, sans frais
Avec le futur règlement Cloud & AI Development Act, Bruxelles vise à « tripler les capacités des centres de données de l’UE dans les cinq à sept années à venir ». Car, actuellement, l’UE accuse dans ce domaine un retard par rapport aux Etats-Unis et à la Chine. Le CAIDA a pour objectif de lever les barrières qui empêchent le développement de la capacité des centres de données dans les Vingt-sept : difficultés d’accès aux ressources naturelles (énergie, eau, terres), d’obtention d’autorisations (complexités différentes selon les Etats membres), de se fournir en composants technologiques, et de lever des capitaux pour investir. La montée en puissance du quasi-triopole de l’informatique en nuage fait aussi craindre, pour les entreprises et les particuliers, un verrouillage de leurs données par leur fournisseur de cloud.
D’où la question cruciale, à laquelle répond partiellement le Data Act (3) qui est entré en vigueur ce 12 septembre 2025 mais sur laquelle fait l’impasse la consultation (4) de la Commission européenne en vue de proposer un CAIDA : comment faciliter la possibilité de changer de fournisseur cloud et assurer la portabilité des données ? « En mai 2024, la loi visant à sécuriser et réguler l’espace numérique [loi dite SREN] a confié à l’Arcep de nouvelles missions sur le cloud justement pour lever les barrières techniques et commerciales au changement de fournisseur », a rappelé Laure de La Raudière (photo ci-dessus), présidente de l’Arcep, à l’occasion de la conférence Cloudweek Paris qui s’est tenue le 17 septembre 2025. Le régulateur français des télécoms entend exercer son pouvoir d’intervention sur le marché du cloud. « Concernant les barrières commerciales, a-t-elle précisé, nous avons la mission d’encadrer les frais de transfert de données lors d’un changement de fournisseur. […] Ces frais doivent être, selon nous, égaux à zéro, en dehors des prestations complémentaires ou de spécificités demandées par les clients ».
Mais ce n’est pas tout, l’enjeu porte surtout sur les données des clients dans le cloud : « Concernant les barrières techniques, nous avons la mission de préciser les règles et modalités de mise en œuvre des exigences essentielles par les fournisseurs cloud relatives à la portabilité et de l’interopérabilité » (5). Transparence, droit à la portabilité et droit à l’interopérabilité sont aussi des obligations qui s’imposent aux fournisseurs de services cloud (6), dans le cadre européen du Data Act. Mais est-ce suffisant ?

L’Arcep prône une régulation ex-ante
L’Arcep, qui est membre du réseau des régulateurs européens Berec, se prépare de longue date à « réguler les réseaux du futur » (7) et s’apprête à publier une recommandation qui vise à encourager la transparence et la mise en place de bonnes pratiques de documentation et de mise à jour des API (Application Programming Interface, ou interface de programmation d’application). Pour le futur CAIDA, la France suggère surtout à la Commission européenne de prévoir une régulation ex-ante du cloud et de l’IA, où les règles contraignantes sont fixées à l’avance (8). @

Charles de Laubier

Mort en direct d’un streamer vidéo en France : l’affaire « Pormanove » devient l’affaire « Kick »

Publié le par

Dans la torpeur de l’été, durant la nuit du 17 au 18 août, un homme est mort au bout 298 heures de direct sur Internet – après avoir subi coups et insultes. Sa chaîne « Jeanpormanove », monétisée, était la plus vue sur Kick. Cette plateforme australienne doit maintenant répondre devant la justice.

L’affaire « Pormanove », du nom du streamer vidéaste français Jean Pormanove mort en direct sur sa chaîne vidéo diffusée sur la plateforme Kick, n’a pas pu vous échapper. Elle défraie la chronique depuis cette nuit du 17 au 18 août, durant laquelle Raphaël Graven (son vrai nom) a perdu la vie, à 46 ans, après 298 heures de diffusion non-stop et après avoir subi – de façon soi-disant consentie – des humiliations, des violences, des insultes et des sévices en tout genre. Sa chaîne « Jeanpormanove » sur Kick était suivie par près de 200.000 abonnés, dont certains payants ou donateurs.

Deux parquets français poursuivent Kick
Depuis ce drame humain, la plateforme australienne Kick est, en France, dans le collimateur du gouvernement, du régulateur Arcom et de la justice. Deux parquets ont ouvert leur enquête : le parquet de Nice dès le 19 août pour « recherche des causes de la mort » et le parquet de Paris le 25 août pour « fourniture en bande organisée de plateforme en ligne illicite ». La procureure de la République Laure Beccuau (photo de gauche) a précisé que « les deux parquets sont en lien étroit afin de se communiquer réciproquement les éléments susceptibles d’éclairer l’une et l’autre procédure ».
L’entreprise Kick risque gros si elle est reconnue coupable d’avoir diffusé des contenus illicites. En cas d’infraction, le code pénal français – modifié par la loi du 13 juin 2025, réprimant pénalement la violation d’obligations issues du règlement européen DSA (Digital Services Act) – prévoit dix ans d’emprisonnement et 500.000 euros d’amende « lorsqu’elles sont commises en bande organisée » (1). L’office anticybercriminalité (Ofac) de la direction nationale de la police judiciaire (DNPJ) est saisi des investigations. Cette nouvelle enquête du parquet de Paris (2) cherchera (suite) à déterminer : si la plateforme Kick fournissait, en connaissance de cause, des services illicites, notamment par la diffusion de vidéos d’atteintes volontaires à l’intégrité de la personne ; si la plateforme Kick satisfaisait aux obligations issues du règlement européen sur les services numériques (DSA), notamment l’obligation de signaler aux autorités les risques d’atteintes à la vie ou à la sécurité des personnes. Le paquet de Nice a, quant à lui, confié les investigations à la police judiciaire de Nice, laquelle avait déjà été saisie en décembre 2024 d’une enquête pour « violences volontaires en réunion sur personnes vulnérables […] et diffusion d’enregistrement d’images relatives à la commission d’infractions d’atteintes volontaires à l’intégrité de la personne ». Et ce, après un article de Mediapart révélant l’existence de ces diffusions vidéo problématiques : « Sur la plateforme Kick, des streameurs français multiplient les humiliations physiques et psychologiques en direct tous les soirs, pour obtenir les dons des spectateurs » (3).
La ministre déléguée chargée du Numérique, Clara Chappaz (photo de droite), était au courant des dérapages de Kick au moins huit mois avant le décès de « JP » (le surnom lié au pseudo de Raphaël Graven), soit à partir des révélations de Mediapart (4) et de l’enquête judiciaire initiée à Nice. « Jean Pormanove a été humilié et maltraité pendant des mois en direct sur la plateforme Kick, s’est émue publiquement Clara Chappaz, le lendemain du drame. Le décès de Jean Pormanove et les violences qu’il a subies sont une horreur absolue » (5). Clara Chappaz, décidée à « remettre de l’ordre dans le Far West numérique », a annoncé le 19 août saisir l’Arcom (6) et procéder à un signalement sur Pharos, la plateforme de signalement de contenus illicites sur Internet, qui dépend du ministère de l’Intérieur.
On apprendra plus tard, le 26 août (7), que Pharos avait déjà été alerté 80 fois à propos de la chaîne « Jeanpormanove » sur Kick. La ministre a indiqué ce jour-là que l’Etat saisira la justice sur le fondement de la loi « Confiance dans l’économie numérique » (8). Réplique de la société Kick le 28 août : « Nous restons impliqués dans la coopération avec les autorités [françaises] et nous sommes déçus d’avoir appris dans la presse la procédure lancée par la ministre, ce qui suggère qu’il ne s’agit pas de sécurité des créateurs ou des consommateurs, ou du bien-être de l’industrie, mais d’une argumentation politicienne qui cherche à tirer parti d’une perte tragique. Nous espérons qu’il sera possible de travailler sereinement avec les autorités françaises et de corriger les fausses informations qui circulent ».

L’Arcom et la MCA se concertent
Jusqu’au 22 août, la société australienne Kick Streaming Pty Ltd n’avait pas encore nommé de représentant légal dans l’Union européenne, où elle est basée à Malte, conformément au DSA (9). L’Arcom et le régulateur maltais MCA se concertent depuis le 20 août (10). Les cofondateurs de Kick, l’Australien Ed Craven et l’Américain Bijan Tehrani devenus milliardaires grâce surtout au casino en ligne Stake, n’auraient pas imaginé pire publicité. @

Charles de Laubier

AI Act et obligations : ce qui change le 2 août 2025 pour les nouvelles IA à usage général

Publié le par

Le 2 août 2025 marque une étape décisive dans l’application du règlement européen sur l’intelligence artificielle. Les fournisseurs qui mettent sur le marché – à partir de cette date – des modèles d’IA à usage général doivent d’emblée se conformer aux obligations de cet AI Act. Explications.

Seulement certains fournisseurs de systèmes d’IA à usage général – souvent désignés par le sigle GPAI pour General-Purpose AI – ouvrent à partir du 2 août 2025 le bal des obligations prévues par le règlement européen sur l’intelligence artificielle – appelé aussi AI Act (1) et adopté le 13 juin 2024. Car cette échéance-là ne concerne pas toutes les « GPAI », mais uniquement celles mises sur le marché à partir de ce 2 août 2025. Le Bureau de l’IA (AI Office), créé par le AI Act, rattaché à la Commission européenne (2) et dirigé par Lucilla Sioli (photo), joue un rôle central.

Nouveaux entrants GPAI pénalisés ?
Aussi curieux que cela puisse paraître, les ChatGPT (OpenAI), Gemini (Google), Claude (Anthropic), Llama (Meta), Le Chat (Mistral AI) ou encore Perplexity (Perplexity AI) – pour n’en citer que quelques-uns parmi une bonne dizaine d’IA génératives déjà existantes et disponibles dans les Vingt-sept – ne sont pas encore concernés puisque leurs IA génératives respectives à usage général ont été lancées sur le marché avant le 2 août 2025. Pour celles-ci, elles bénéficient d’un délai de deux ans supplémentaires – soit d’ici le 2 août 2027 – pour se conformer aux obligations de l’AI Act.
Ainsi, contrairement aux nouvelles GPAI qui vont faire leur entrée sur le marché européen, les IA « historiques » bénéficient en quelque sorte d’un répit non négligeable. Pendant que les IA « nouvelles entrantes » doivent sans délai se soumettre aux obligations qui peuvent s’avérer lourdes : documentation technique, informations aux intégrateurs, résumé public des données d’entraînement, politique de respect du droit d’auteur, désignation d’un représentant officiel dans l’UE si le fournisseur est situé hors de l’UE, … Edition Multimédi@ se demande dans ces conditions si (suite) les ChatGPT, Gemini et autres Llama ne bénéficient pas d’un avantage compétitif sur les nouveaux entrants. Avec cet « avantage temporaire », d’ici le 2 août 2027 et non dès le 2 août 2025, les anciens GPAI peuvent continuer à opérer légalement sans être immédiatement conformes aux nouvelles exigences. Cela leur évite en outre des coûts immédiats de mise en conformité. Et ils bénéficient d’une position dominante ou d’une base de millions voire de dizaines de millions d’utilisateurs et qu’ils peuvent continuer à exploiter. Dans l’UE, ChatGPT en a plus de 40 millions, Gemini plus de 35 millions, Claude plus de 15 millions, Le Chat plus de 10 millions, ou encore Perplexity plus de 5 millions. Cette différenciation entre les acteurs de l’IA déjà en place et les nouveaux concurrents est-elle justifiée ? La distinction est fondée sur un principe de progressivité souvent utilisé en droit européen pour les technologies émergentes. Cela évite de pénaliser les pionniers qui ont lancé leurs modèles avant la publication du règlement. Cela permet aussi d’assurer la continuité d’usage des technologies en cours d’adoption par les citoyens, entreprises et administrations. Cela encourage enfin les éditeurs historiques à coopérer volontairement avec la Commission européenne, notamment via le code de bonnes pratiques GPAI publié le 10 juillet et déjà signé par OpenAI et Mistral AI – la liste sera publié le 1er août (3) – mais pas par Meta (4).
Ainsi, ce délai supplémentaire de deux ans ne serait pas une faveur, mais plutôt un équilibre entre faisabilité et équité réglementaire. Le véritable enjeu, à moyen terme, sera la vitesse à laquelle les modèles préexistants se mettront en conformité – et leur capacité à rester compétitifs face à de nouveaux entrants « 100 % AI Act-ready ». Car les nouveaux entrants GPAI, même s’ils doivent être immédiatement conformes, peuvent intégrer les obligations dès la conception, ce qui est plus simple que de reconfigurer un système existant. Les GPAI plus anciens s’exposent, eux, à des risques de réputation s’ils ne progressent pas assez vite vers la conformité : certains acheteurs publics ou entreprises européennes pourraient préférer les fournisseurs de GPAI déjà conformes, même nouveaux, pour éviter des risques juridiques.

Qu’est-ce qu’une IA « à usage général » ?
Tout est une question de définition pour faire le distinguo entre les IA qui sont « à usage général » et les IA qui ne le sont pas (5). « La notion de modèles d’IA à usage général devrait être clairement définie et distincte de la notion de systèmes d’IA afin de garantir la sécurité juridique, souligne l’AI Act. La définition devrait se fonder sur les principales caractéristiques fonctionnelles d’un modèle d’IA à usage général, en particulier la généralité et la capacité d’exécuter de manière compétente un large éventail de tâches distinctes. Ces modèles sont généralement entraînés avec de grandes quantités de données, au moyen de diverses méthodes, telles que l’apprentissage auto-supervisé, non supervisé ou par renforcement » (6). Et le règlement européen de préciser : « Les grands modèles d’IA génératifs sont un exemple typique d’un modèle d’IA à usage général, étant donné qu’ils permettent la production flexible de contenus, tels que du texte, de l’audio, des images ou de la vidéo, qui peuvent aisément s’adapter à un large éventail de tâches distinctes » (7). Le code de bonnes pratiques pour l’IA à usage général (General-Purpose AI Code of Practice), élaboré par des experts indépendants dans le cadre d’un processus multipartite, est présenté comme « un outil volontaire ».

Bonnes pratiques et lignes directrices
Ce code est censé aider les acteurs du marché à se conformer aux obligations de l’AI Act pour les modèles d’IA à usage général. Publié le 10 juillet (8) et en cours d’évaluation par l’AI Office, il sera approuvé par les Etats membres et la Commission européenne d’ici fin juillet ou début août. « En outre, le code sera complété par des lignes directrices, qui [devaient être] publiées également en juillet par la Commission européenne, sur les concepts-clés liés aux modèles d’IA à usage général », avait précisé Bruxelles. Le code de bonnes pratiques pour GPAI comporte trois chapitres : transparence, droit d’auteur, sûreté et sécurité :
Transparence. Ce chapitre (9) propose un modèle de formulaire de documentation convivial qui permet aux fournisseurs de documenter facilement les informations nécessaires pour se conformer à l’obligation imposée par l’AI Act aux fournisseurs de modèles, afin de garantir une transparence suffisante.
Droit d’auteur. Ce chapitre (10) sur le droit d’auteur offre aux fournisseurs des solutions pratiques pour satisfaire à l’obligation de la législation sur l’IA de mettre en place une politique de conformité avec la législation de l’UE sur le droit d’auteur. « Les chapitres sur la transparence et le droit d’auteur offrent à tous les fournisseurs de modèles d’IA à usage général un moyen de démontrer le respect de leurs obligations au titre de l’article 53 de la législation sur l’IA », indique la Commission européenne. En clair, ces fournisseurs de modèles d’IA à usage général doivent tenir à jour la documentation technique du modèle GPAI, y compris sur son processus d’entraînement et d’essai, ainsi que les résultats de son évaluation. Cette documentation, devant contenir « au minimum » les informations énoncées à l’annexe XI de l’AI Act (11), doit être à disposition « sur demande » de l’AI Office et des autorités nationales compétentes (par exemple en France, la Cnil, l’Arcom ou encore l’Anssi). Ces mêmes fournisseurs de GPAI doivent aussi tenir à jour, et mettre à disposition, des informations et de la documentation à l’intention des fournisseurs de systèmes d’IA qui envisagent d’intégrer le modèle d’IA à usage général dans leurs systèmes d’IA. Ces informations doivent leur permettre d’avoir une bonne compréhension des capacités et des limites du modèle d’IA à usage général et de se conformer aux obligations, tout en contenant « au minimum » les éléments énoncés à l’annexe XII de l’AI Act.
Ces mêmes fournisseurs de GPAI doivent en outre mettent en place une politique visant à se conformer au droit d’auteur et aux droits voisins, et notamment à identifier et à respecter, y compris avec des technologies, une réservation de droits exprimée conformément à la directive « Droit d’auteur et droits voisins dans le marché unique numérique » (12). Enfin ces mêmes fournisseurs de GPAI mettent à la disposition du public un résumé suffisamment détaillé du contenu utilisé pour entraîner le modèle d’IA à usage général, conformément à un modèle fourni par le Bureau de l’IA.
Sûreté et sécurité. Ce chapitre (13) sur la sûreté et la sécurité décrit des pratiques concrètes de pointe en matière de gestion des risques systémiques, c’est-à-dire des risques découlant des modèles les plus avancés. Les fournisseurs peuvent s’y référer pour se conformer aux obligations prévues par la législation sur l’IA pour les fournisseurs de modèles d’IA à usage général présentant un risque systémique. « Les chapitres sur la sûreté et la sécurité ne concernent que le petit nombre de fournisseurs des modèles les plus avancés, ceux qui sont soumis aux obligations de la législation sur l’IA pour les fournisseurs de modèles d’IA à usage général présentant un risque systémique en vertu de l’article 55 de la législation sur l’IA », précise la Commission européenne. En clair, les fournisseurs de modèles d’IA à usage général présentant un « risque systémique » – ayant des capacités à fort impact, ou lorsque la quantité cumulée de calcul utilisée pour son entraînement, mesurée en opérations en virgule flottante, est supérieure à 1025 – doivent : effectuer une évaluation des modèles sur la base de protocoles et d’outils normalisés reflétant l’état de la technique (14) ; évaluer et atténuer les risques systémiques éventuels au niveau de l’UE, y compris leurs origines ; suivre, documenter et communiquer sans retard injustifié au Bureau de l’IA – et, le cas échéant, aux autorités nationales compétentes – les informations pertinentes concernant les incidents graves ainsi que les éventuelles mesures correctives pour y remédier ; garantir un niveau approprié de protection en matière de cybersécurité pour le modèle GPAI présentant un risque systémique et l’infrastructure physique du modèle.

Trois types de sanctions en cas d’infraction
En cas de violation des interdictions strictes comme la manipulation cognitive ou le scoring social, le fournisseur de modèle GPAI s’expose à une amende pouvant aller jusqu’à 35 millions d’euros (ou jusqu’à 7 % de son chiffre d’affaires annuel mondial total). En cas de non-respect des obligations générales (transparence, documentation, droit d’auteur, …), 15 millions d’euros (ou jusqu’à 3 % de son chiffre d’affaires). Et en cas d’informations trompeuses ou incomplètes fournies aux autorités : 7,5 millions d’euros (ou jusqu’à 1 % de son chiffre d’affaires). @

Charles de Laubier

Tracking de données personnelles : la Commission européenne « coordonne » les enquêtes sur Apple

Publié le par

La France est la première à mettre à l’amende Apple pour ses pratiques anticoncurrentielles qui complexifient, pour les éditeurs d’applications, l’obtention du consentement des utilisateurs et l’accès à leurs données. D’autres pays de l’UE vont suivre. La Commission européenne coordonne les enquêtes.

Edition Multimédi@ revient sur l’amende de 150 millions d’euros infligée à Apple en France le 31 mars 2025 par l’Autorité de la concurrence, laquelle considère que le dispositif de demande de consentement des utilisateurs d’Apple pour l’exploitation de leurs données personnelles – App Tracking Transparency (ATT) – est anticoncurrentiel. Bien qu’étant la première dans cette affaire à mettre à l’amende la marque à la pomme, la France n’est pas la seule à accuser le fabriquant d’iPhone et d’iPad – dirigé par Tim Cook (photo de gauche) – d’abus de position dominante et de violation de la directive européenne « ePrivacy ».

Rôle de l’European Competition Network (ECN)
L’Allemagne, l’Italie, la Pologne et la Roumanie ont aussi ouvert, au moins depuis 2021, leurs propres enquêtes respectives à l’encontre d’Apple et de son outil dit de « transparence du suivi des applications » (ATT). Or, lorsqu’il y a plusieurs procédures analogues dans différents pays européens, la Commission européenne a la faculté de s’autosaisir. Ayant contacté les commissaires européennes Teresa Ribera et Henna Virkkunen, en charge respectivement de la concurrence et du numérique, Edition Multimédi@ a reçu d’une porte-parole la déclaration suivante : « La Commission européenne a pris note de la décision de l’autorité de concurrence française d’infliger une amende à Apple en vertu du droit européen de la concurrence ». Bien sûr, ajoute-t-elle, « sa décision ne s’applique qu’à la France et non aux autres Etats membres ni à l’UE dans son ensemble ». Pour autant, (suite)
« la décision française n’affecte pas les enquêtes en cours menées par d’autres autorités nationales de concurrence ; la Commission européenne continuera de coordonner étroitement ses activités avec ces autorités ».
Bruxelles coordonne les enquêtes des autorités antitrust dans les Vingt-sept via le Réseau européen de la concurrence (REC), ou European Competition Network (ECN), « notamment en s’informant mutuellement des nouveaux cas et des décisions d’exécution envisagées ». Dans l’affaire d’Apple et de son système ATT, « la Commission européenne a estimé que les autorités nationales de concurrence étaient bien placées pour mener cette enquête à son terme d’une manière rapide et efficace, et qu’il était possible d’obtenir des résultats cohérents grâce à la coordination ». Bien que l’Autorité de la concurrence (France) – dirigée par Benoît Coeuré (photo de droite) – a rendu son verdict, qu’Apple va contester en appel, chacune de ses homologues antitrust européennes – le Bundeskartellamt (Allemagne), l’AGCM (Italie), le Consiliul Concurentei (Roumanie) et l’UOKiK (Pologne) – mène l’enquête de façon indépendante mais coordonnée avec Bruxelles, comme ce fut le cas pour l’enquête française.
En Allemagne, l’Office fédéral des cartels (Bundeskartellamt) a remis le 13 février 2025 à Apple sa première évaluation juridique du dispositif controversé d’Apple. « Depuis le lancement de l’ATT en avril 2021, les fournisseurs d’applications sur l’iOS App Store doivent obtenir un consentement supplémentaire des utilisateurs avant d’accéder à certaines données à des fins publicitaires. Cependant, les exigences strictes de l’ATT ne s’appliquent qu’aux autres fournisseurs d’applications et non à Apple. Cela pourrait constituer une violation des règles spécifiques pour les grandes entreprises numériques en matière d’abus, ainsi que des règles générales en matière d’abus [de position dominante] du Traité sur le fonctionnement de l’Union européenne (TFUE) », accuse le gendarme de la concurrence allemand, présidé par Andreas Mundt (1). L’accès aux données pertinentes des utilisateurs est donc nettement plus difficile pour les éditeurs d’applications concurrents d’Apple, à cause du fait de la complexité instaurée par l’ATT (voir schéma plus bas). Or, selon les lois antitrust, le groupe Apple ne peut imposer des normes plus strictes à d’autres fournisseurs qu’à lui-même, sinon cela s’apparente à un traitement inéquitable et à une auto-promotion interdits par le droit de la concurrence.

Des infractions constatées avant le DMA
L’avertissement de l’autorité antitrust allemande envers Apple a été conforté le 18 mars dernier par la cour fédérale de justice (Bundesgerichtshof) qui avait été saisie par la firme de Cupertino. Dans leur jugement, les juges antitrust ont confirmé « l’importance exceptionnelle d’Apple pour la concurrence » (2) et rappelé qu’Apple a été désigné par la Commission européenne comme « contrôleur d’accès » (gatekeeper) dans le cadre du Digital Markets Act (DMA) en vigueur depuis le 7 mars 2024. L’autorité antitrust allemande précise en outre qu’elle « coopère étroitement dans la procédure avec la Commission européenne et d’autres autorités nationales de concurrence qui examinent l’ATT en parallèle ».
En Italie, l’Autorité garante de la concurrence et du marché (AGCM) s’est réunit le 4 mars 2025 pour délibérer sur le cas de l’ATT d’Apple, soupçonné là aussi de violer la concurrence au sens du TFUE et de son article 102. Présidée par Roberto Rustichelli (3), le gendarme de la concurrence italien a décidé que « les actes de la procédure peuvent être pris en compte » par sa « direction des plateformes numériques et communications » (DPDC). L’autorité antitrust italienne avait ouvert le 2 mai 2023 son enquête à l’encontre d’Apple.

Les pratiques antitrust d’Apple condamnées
En Roumanie, le Conseil de la concurrence (Consiliul Concurentei) a lancé son enquête sur l’ATT le 19 octobre 2023 en raison d’« une possible infraction aux règles de concurrence par Apple ». Avec son « système fermé et verticalement intégré », l’autorité antitrust roumaine accuse Apple d’« abuser de sa position dominante sur le marché de la distribution d’applications iOS, de limiter l’accès aux données de l’utilisateur utilisées à des fins publicitaires, et en même temps de favoriser ses propres services technologiques d’affichage de publicité en ligne dans les applications iOS compatibles » (4). La Roumanie estime aussi qu’Apple – via ATT – a limité l’accès des autres applications au profil publicitaire de l’IDFA (Identifier for Advertisers), ce qui a conduit à une restriction de la concurrence sur le marché publicitaire pour les applications tierces sur les appareils mobiles iOS.
En Pologne, l’Office de la concurrence et de la protection des consommateurs (UOKiK), présidé par Tomasz Chróstny, a aussi Apple dans son collimateur. Dès le 13 décembre 2021, il a lancé une enquête pour savoir si « la nouvelle politique de confidentialité d’Apple et les politiques de traitement des données personnelles sur les appareils iOS viole la concurrence ». Il a été parmi les premières autorités antitrust à se saisir de cette affaire, après que la firme de Cupertino a modifié en avril 2021 sa politique de confidentialité et de traitement des données personnelles sur tous ses appareils Apple fonctionnant sous iOS 14.5, iPadOS 14.5, tvOS 14.5 et versions ultérieures. Dans le même temps, des doutes ont surgi quant à savoir si les règles établies par Apple via l’outil ATT n’étaient pas destinées à promouvoir le propre service publicitaire d’Apple, Search Ads, ce qui pourrait violer les règles de concurrence. « Dans notre enquête, nous voulons vérifier si les actions d’Apple peuvent être utilisées pour éliminer les concurrents sur le marché des services de publicité personnalisée afin de mieux vendre son propre service », avait déclaré il y a quatre ans Tomasz Chróstny (5).
En France, le verdict de l’Autorité de la concurrence donne le ton. « Si Apple est libre d’édicter des règles de protection des consommateurs supplémentaires à celles imposées par la réglementation, c’est à condition – compte tenu de la responsabilité particulière qui lui incombe en tant qu’opérateur dominant sur le marché de la distribution d’applications mobiles sur les terminaux iOS – de concilier cet objectif légitime avec le respect du droit de la concurrence », a estimé l’autorité antitrust française dans sa décision rendue le 31 mars 2025. Or, constate-t-elle, avec son dispositif App Tracking Transparency (ATT), la firme de Cupertino a abusé de sa position dominante en matière de distribution d’applications mobiles sur les terminaux iOS (smartphones iPhone) et iPadOS (tablettes iPad). Et ce, entre avril 2021 et juillet 2023.Multiples fenêtres de recueil du consentement
« Si l’objectif poursuivi par le dispositif ATT n’est pas critiquable en soi, [en revanche] ses modalités de mise en œuvre ne sont ni nécessaires ni proportionnées à l’objectif affiché par Apple de protection des données personnelles. En effet, l’introduction du dispositif engendre une multiplication des fenêtres de recueil de consentement compliquant excessivement le parcours des utilisateurs d’applications tierces au sein de l’environnement iOS », condamne le gendarme français de la concurrence, en justifiant les 150 millions d’amende infligée à la marque à la pomme. @

Charles de Laubier