Archives par mot-clé : CJUE

16 milliards d’identifiants volés : les infostealers défient le RGPD en ciblant les utilisateurs finaux

Publié le par

Une fuite de données d’ampleur inédite – orchestrée par des infostealers, nouvelle génération de voleurs de données – révèle les failles béantes de nos écosystèmes numériques et interroge l’efficacité du cadre juridique européen face aux nouvelles formes de cybercriminalité. Le RGPD doit évoluer.

Par Emma Hanoun, avocate, cabinet Odoné

L’exposition de 16 milliards d’identifiants de connexion, révélée par l’équipe de recherche de Cybernews en juin 2025, constitue l’une des plus importantes fuites de données personnelles jamais documentées (1). Cette mégafuite, fruit de l’activité proliférante des logiciels malveillants de type infostealer (voleur d’information), questionne l’efficacité du cadre réglementaire européen en matière de protection des données personnelles.

Les fuites à grande échelles se succèdent
Face à la sophistication croissante des cyberattaques et à l’évolution du marché clandestin des données, cette affaire interroge la capacité du règlement général sur la protection des données (RGPD) à garantir une protection effective des citoyens européens, et impose une réflexion approfondie sur la responsabilisation des acteurs du numérique. La fuite révélée par le chercheur en cybersécurité Bob Diachenko (2), et publiée par Cybernews, concerne 16 milliards d’identifiants issus de trente bases de données piratées différentes, rassemblées sur un serveur accessible publiquement. Outre des plateformes majeures comme Apple, Google ou Facebook, les données exposées concernent un large éventail de services – réseaux sociaux, messageries (Telegram), outils de développement (GitHub), environnements cloud, plateformes gouvernementales et outils professionnels – et illustrent la vulnérabilité généralisée de l’écosystème numérique. Cette exposition de données constitue l’une des plus massives jamais documentées et s’inscrit dans une série de fuites à grande échelle, à l’instar de la MOAB (3) de janvier 2024 (un regroupement de plus de 26 milliards d’enregistrements issus de milliers de fuites antérieures, dont ont été victimes Tencent, LinkedIn, Adobe ou encore Weibo), de RockYou2024 (10 milliards de mots de passe, succédant à RockYou2021 et ses 8,4 milliards de mots de passe), ou encore de la fuite chinoise de mars 2024 touchant WeChat et Alipay, appartenant respectivement aux chinois Tencent et Alibaba.
Les infostealers constituent une catégorie spécifique de logiciels malveillants conçus pour (suite)

Digital Markets Act (DMA) : un an après le début des premières enquêtes, Bruxelles défie Washington

Publié le par

Un an après le lancement des premières enquêtes de la Commission européenne à l’encontre de Meta, d’Apple et d’Alphabet (Google), soupçonnés d’enfreindre le règlement sur les marchés numériques (DMA), les Etats-Unis de Donald Trump attendent fébriles les verdicts de l’Union européenne.

Il y a un an – le 25 mars 2024 – pas moins de cinq enquêtes avaient été ouvertes contre trois géants américains du numérique : Apple (iOS/ iPadOS//App Store/Safari), Alphabet (Google/ Android/YouTube/Chrome) et Meta Platforms (Facebook/Instagram/WhatsApp/Messenger), soupçonnés d’enfreindre les nouvelles règles européennes sur les marchés numériques, autrement de violer le Digital Markets Act (DMA). La Commission européenne avait alors prévenu qu’elle avait l’intention de clore ces procédures « dans un délai de 12 mois » à partir de cette date-là (1), soit avant le 25 mars 2025.

Amende de 10 % à 20 % du chiffre d’affaires
Or, à défaut de boucler ces trois enquêtes, la Commission européenne « 2024-2029 » les poursuit en ayant envoyé le 19 mars dernier des « constatations préliminaire » à Alphabet (2) et des « mesures à prendre » à Apple (3). Le premier est accusé de « favoriser ses propres services » sur son moteur de recherche Google Search et de « restreindre techniquement certains aspects de l’orientation » sur sa place de marché Google Play. Autrement dit, Alphabet et Apple auraient enfreint le DMA. Pour Alphabet, « cet avis ne préjuge en rien de l’issue de l’enquête » et laisse à la maison mère de Google « la possibilité d’exercer ses droits de la défense […] en répondant par écrit à ces constatations préliminaires ». Pour Apple, « les décisions précisant les mesures à mettre en œuvre sont juridiquement contraignantes », distinctes de l’enquête elle-même, renvoient à un « contrôle juridictionnel indépendant » pour les droits de la défense.
Pour ces deux Big Tech américaines, les enquêtes de la Commission européenne se poursuivent et pourraient aboutir à des sanctions pécuniaires. Au grand dam de Washington, Bruxelles pourrait à l’issue de ces deux procédures infliger à Alphabet et Apple une amende pouvant aller pour chacun jusqu’à 10 % de leur chiffre d’affaires mondial total respectif. Ces amendes peuvent aller jusqu’à 20 % en cas d’infractions répétées. Mais ce n’est pas tout : Bruxelles dispose d’une « arme nucléaire » de dissuasion qui, « en cas d’infractions systématiques », peut (suite)

L’enjeu de la base légale et de l’information dans la conformité au RGPD des fournisseurs d’IA

Publié le par

Depuis peu, les fournisseurs de systèmes d’intelligence artificielle (IA) font l’objet d’une attention accrue de la part des autorités de contrôle européennes, lesquelles analysent leur conformité au règlement sur la protection des données (RGPD), de l’information des personnes à la base légale.

Par Sandra Tubert, avocate associée et Alicia Forgues, docteure en droit, Algo Avocats

Après avoir sanctionné OpenAI en décembre 2024 pour ses manquements au RGPD en lien avec son IA générative ChatGPT (1), l’autorité italienne de protection des données – la GPDP (2) – vient cette fois d’ordonner, le 30 janvier dernier (3), le blocage immédiat de l’application et du site web DeepSeek en Italie en raison de manquements présumés au RGPD. Avant d’ordonner la limitation du traitement, la GPDP avait adressé le 28 janvier une demande d’informations à DeepSeek, afin qu’elle précise les données traitées, les finalités poursuivies, leurs bases légales, le lieu de stockage, ainsi que la typologie de données utilisées pour entraîner les modèles d’IA, leurs sources et les modalités d’information des personnes (4).

Modèles d’IA, systèmes d’IA et données
D’autres « Cnil » européennes ont ouvert des enquêtes. Si le recours à l’IA n’impacte pas véritablement les réponses à apporter à certaines de ces questions, les bases légales de traitement et modalités d’information des personnes posent plus de difficultés lorsqu’il s’agit des traitements mis en œuvre dans le cadre de l’entraînement des modèles d’IA. En effet, ces derniers sont entraînés à l’aide d’un grand nombre de données, parmi lesquelles figurent parfois des données personnelles. Celles-ci se divisent en deux catégories : les données fournies directement par des personnes concernées ou les utilisateurs du système d’IA intégrant le modèle d’IA, auxquelles se rajoutent les données collectées durant l’utilisation du service (données first-party) et les données de non-utilisateurs collectées par web scraping ou grâce à la signature de contrats de licences d’utilisation de contenus (données third-party).
Lorsque le fournisseur se contente d’utiliser des données first-party pour entraîner ses modèles d’IA, le contact direct dont il dispose avec les personnes concernées par le traitement lui permet de les informer de manière classique, notamment via une politique de confidentialité – à laquelle il sera renvoyé depuis un formulaire de collecte ou un courriel – qui devra être précise et claire sur les finalités d’entraînement des modèles (notamment en distinguant l’information portant sur l’entraînement des modèles des autres traitements). A l’inverse, s’il utilise également (suite)

« Résumé suffisamment détaillé » : 2025 sera l’année de vérité dans la mise en œuvre de l’AI Act

Publié le par

Le rapport du CSPLA sur la mise en œuvre du règlement européen établissant des règles harmonisées sur l’IA fournit les ingrédients mais… pas la recette ! Le Bureau européen de l’IA, créé par l’AI Act, doit publier prochainement un « modèle européen » à suivre par les Vingt-sept.

Par Anne-Marie Pecoraro*, avocate associée, UGGC Avocats

Le rapport « IA et Transparence des données d’entraînement » (1), publié le 11 décembre 2024 par le Conseil supérieur de la propriété littéraire et artistique (CSPLA), s’inscrit dans la préparation de la mise en œuvre du règlement européen sur l’intelligence artificielle (AI Act) et a pour objectif de clarifier l’interprétation et la portée des dispositions imposant un modèle de « résumé suffisamment détaillé » (2). Ce modèle sera présenté au nom de la France dans le cadre du processus d’adoption d’un modèle européen par le Bureau européen de l’IA (AI Office), autorité créée par l’AI Act et chargée d’accompagner les fournisseurs d’IA dans leur mise en conformité. La publication du modèle européen est attendue pour janvier 2025.

Transparence des données d’entraînement
La collecte de données de qualité, notamment de données culturelles, est d’une importance stratégique pour les fournisseurs d’IA, puisque les systèmes d’IA ont besoin d’ingurgiter de grandes quantités de données, leur servant de modèles dans leurs productions. Or, des données contenant des créations protégées par un droit de propriété intellectuelle peuvent avoir été obtenues sans autorisation ou sans tenir compte d’un « opt-out », et avoir été effectivement exploitées. Il en va de même concernant des données personnelles (posts Facebook, Instagram, …) potentiellement utilisées pour l’entraînement de modèles d’IA. L’enjeu est alors d’avoir accès à l’information sur les données d’entraînement utilisées par une IA, pour bien des raisons et notamment ouvrir une visibilité aux ayants droits dont des données et/ou créations auraient été mobilisées, quelles qu’en soient les modalités.
Pour ce faire, les fournisseurs d’IA sont désormais soumis à une obligation de transparence qui se concrétise par la mise en place d’une politique de conformité, ainsi que par la mise à disposition au public d’un « résumé suffisamment détaillé » (sufficiently detailed summary) des contenus utilisés pour l’entraînement du modèle d’IA. Ce résumé permet le développement d’une IA de confiance souhaitée au niveau européen (3), en remédiant aux difficultés rencontrées par les titulaires de droits, confrontés à une charge de la preuve disproportionnée concernant l’utilisation de leurs contenus. Pour autant, le résumé doit répondre aux enjeux de la création d’un marché dynamique et équitable de l’IA. Ce qui impose un compromis pour restreindre la quantité d’informations mise à disposition afin de protéger le secret des affaires, moteur d’innovation pour les fournisseurs d’intelligence artificielle. (suite)

La revente numérique de jeux vidéo interdite en France : une « exception culturelle » qui interroge

Publié le par

Retour sur la décision de la Cour de cassation qui, le 23 octobre 2024, clôt l’affaire opposant depuis 2015 UFC Que-Choisir à la société américaine Valve, laquelle interdit la revente de jeux vidéo dématérialisés. Pas d’« épuisement des droits » pour ces derniers, contrairement aux logiciels…

La plus haute juridiction française, la Cour de cassation, a eu le dernier mot dans l’affaire qui opposait depuis près de dix ans en France l’Union fédérale des consommateurs-Que choisir (UFC-Que choisir) et la société américaine Valve Corporation. Cofondée en 1996 par son président Gabe Newell (photo de gauche), Valve opère la plateforme numérique Steam créée en 2002 pour distribuer et diffuser en ligne des jeux vidéo, des logiciels, des films ou encore des séries. L’arrêt du 23 octobre 2024 a tranché en faveur de Valve qui n’autorise pas la revente de jeux vidéo dématérialisés.

Directive : « DADVSI » ou « Logiciels » ?
La Cour de cassation a estimé dans cette décision du 23 octobre 2024 (1) que la cour d’appel a eu raison de dire dans son arrêt du 21 octobre 2022 (2) qu’« un jeu vidéo n’est pas un programme informatique à part entière mais une œuvre complexe en ce qu’il comprend des composantes logicielles ainsi que de nombreux autres éléments tels des graphismes, de la musique, des éléments sonores, un scénario et des personnages [“dont certains deviennent cultes”, ajoutait même Valve, ndlr] ». Et que, « à la différence d’un programme d’ordinateur destiné à être utilisé jusqu’à son obsolescence, le jeu vidéo se retrouve rapidement sur le marché une fois la partie terminée et peut, contrairement au logiciel, être encore utilisé par de nouveaux joueurs plusieurs années après sa création ». Dans ses arguments distinguant logiciel et jeu vidéo, la cour d’appel avait aussi affirmé qu’« il ne peut être considéré que la fourniture d’un jeu vidéo sur un support matériel et la fourniture d’un jeu vidéo dématérialisé sont équivalentes d’un point de vue économique et fonctionnel, le marché des copies immatérielles d’occasion des jeux vidéo risquant d’affecter beaucoup plus fortement les intérêts des titulaires de droit d’auteur que le marché d’occasion des programmes d’ordinateur ».
La plus haute juridiction française, qui avait déjà fait sienne cette définition d’« œuvre complexe » pour les jeux vidéo dans l’arrêt « Cryo » du 25 juin 2009 (3), a donc finalement donné raison à la cour d’appel et, partant, à la société Valve contre l’association UFC-Que Choisir, tout en ajoutant que la cour d’appel « a déduit à bon droit que seule la directive 2001/29 [directive européenne “Droit d’auteur et des droits voisins dans la société de l’information” ou DADVSI (4), ndlr] est applicable aux jeux vidéo, que la règle de l’épuisement du droit ne s’applique pas en l’espèce et qu’en l’absence de doute raisonnable quant à l’interprétation du droit de l’Union européenne, il n’y a pas lieu de saisir la Cour de justice de l’Union européenne [CJUE, ndlr] d’une question préjudicielle ». Donc, circulez, il n’y a rien à voir. (suite)