Archives par mot-clé : Cnil

Pourquoi Google renonce à la fin des cookies tiers

Publié le par

En fait. Le 22 avril, Google a confirmé le maintien des cookies tiers dans son navigateur Chrome, abandonnant ainsi son projet « Privacy Sandbox » annoncé en 2019. La filiale d’Alphabet avait reporté à plusieurs reprises la fin de ces « mouchards » publicitaires, qui sont pourtant intrusifs dans la vie privée.

En clair. Après l’avoir annoncé en juillet 2024, voici que Google passe de la parole aux actes en confirmant en avril 2025 le maintien des cookies tiers qui devaient disparaître cette année après de multiples reports. « Au lieu de déprécier les cookies tiers, nous introduirons une nouvelle expérience dans Chrome qui permet aux utilisateurs de faire un choix éclairé s’appliquant à l’ensemble de leur navigation web, et ils seraient en mesure d’ajuster ce choix à tout moment », avait expliqué l’été dernier la filiale d’Alphabet (1).
Ces cookies dits tiers sont ces traceurs numériques qui sont déposés dans le terminal de l’utilisateur pour suivre les sites web qu’il visite et connaître ses « comportements » (navigation, clics sur les publicités, achats en ligne, géolocalisation, temps passé, etc.). Vice-président chez Google en charge de « Privacy Sandbox », programme alternatif qui devait remplacer les cookies tiers jugés intrusifs (2), Anthony Chavez a (suite)

Cyberattaques et IA fantômes : comment encadrer et gérer les risques qui menacent l’entreprise

Publié le par

L’intelligence artificielle générative est un moteur d’accélération des risques pour les entreprises. La révolution de l’IA peut alors tourner au cauchemar. Mais il n’y a pas de fatalité, pour peu que les dirigeants suivent les règlements, les recommandations et les guides de bonnes pratiques.

Par Antoine Gravereaux, avocat associé*, FTPA Avocats

L’intelligence artificielle générative transforme en profondeur les paradigmes de la cybersécurité. En s’appuyant sur des modèles entraînés à partir de volumes de données considérables, cette technologie offre des applications variées dans la défense contre les menaces ou la gestion des attaques cyber. Mais l’IA générative permet également le développement d’usages malveillants, donnant ainsi naissance à une nouvelle vague de cybermenaces. Dans ce contexte, les entreprises doivent concilier innovation et sécurité, tout en respectant un cadre réglementaire européen en pleine évolution.

Cybermenaces externes et internes
Grâce à ses capacités d’automatisation de traitement de données à grande échelle et d’apprentissage autonome, l’IA générative permet aujourd’hui de concevoir des attaques plus efficaces, ciblées et difficile à détecter. Dans le premier rapport international sur la sécurité de l’intelligence artificielle, intitulé « International AI Safety Report » (1) et publié en janvier 2025, les experts soulignent que les menaces cybernétiques se renforcent du fait que l’IA à usage général est favorisée par une exécution rapide, simultanée et à grande échelle d’opérations, tout en abaissant les coûts et les obstacles techniques. Parmi les pratiques, le phishing (hameçonnage) ne cesse de gagner en crédibilité, l’IA permettant de générer de façon automatique tous types de contenus, tels que des deepfakes (hypertrucages) personnalisés.
Les virus polymorphes sont capables de muter leur signature pour échapper aux détections. Ils ont la capacité de modifier leur empreinte numérique pour (suite)

L’enjeu de la base légale et de l’information dans la conformité au RGPD des fournisseurs d’IA

Publié le par

Depuis peu, les fournisseurs de systèmes d’intelligence artificielle (IA) font l’objet d’une attention accrue de la part des autorités de contrôle européennes, lesquelles analysent leur conformité au règlement sur la protection des données (RGPD), de l’information des personnes à la base légale.

Par Sandra Tubert, avocate associée et Alicia Forgues, docteure en droit, Algo Avocats

Après avoir sanctionné OpenAI en décembre 2024 pour ses manquements au RGPD en lien avec son IA générative ChatGPT (1), l’autorité italienne de protection des données – la GPDP (2) – vient cette fois d’ordonner, le 30 janvier dernier (3), le blocage immédiat de l’application et du site web DeepSeek en Italie en raison de manquements présumés au RGPD. Avant d’ordonner la limitation du traitement, la GPDP avait adressé le 28 janvier une demande d’informations à DeepSeek, afin qu’elle précise les données traitées, les finalités poursuivies, leurs bases légales, le lieu de stockage, ainsi que la typologie de données utilisées pour entraîner les modèles d’IA, leurs sources et les modalités d’information des personnes (4).

Modèles d’IA, systèmes d’IA et données
D’autres « Cnil » européennes ont ouvert des enquêtes. Si le recours à l’IA n’impacte pas véritablement les réponses à apporter à certaines de ces questions, les bases légales de traitement et modalités d’information des personnes posent plus de difficultés lorsqu’il s’agit des traitements mis en œuvre dans le cadre de l’entraînement des modèles d’IA. En effet, ces derniers sont entraînés à l’aide d’un grand nombre de données, parmi lesquelles figurent parfois des données personnelles. Celles-ci se divisent en deux catégories : les données fournies directement par des personnes concernées ou les utilisateurs du système d’IA intégrant le modèle d’IA, auxquelles se rajoutent les données collectées durant l’utilisation du service (données first-party) et les données de non-utilisateurs collectées par web scraping ou grâce à la signature de contrats de licences d’utilisation de contenus (données third-party).
Lorsque le fournisseur se contente d’utiliser des données first-party pour entraîner ses modèles d’IA, le contact direct dont il dispose avec les personnes concernées par le traitement lui permet de les informer de manière classique, notamment via une politique de confidentialité – à laquelle il sera renvoyé depuis un formulaire de collecte ou un courriel – qui devra être précise et claire sur les finalités d’entraînement des modèles (notamment en distinguant l’information portant sur l’entraînement des modèles des autres traitements). A l’inverse, s’il utilise également (suite)

Millions de données personnelles dérobées chez Free : comment les abonnés peuvent porter plainte

Publié le par

Depuis que Free s’est fait voler fin octobre les données personnelles de 19,2 millions de ses abonnés, dont 5,1 millions de coordonnées bancaires, la question juridique est de savoir comment les clients concernés par cette fuite massive peuvent porter plainte contre l’opérateur télécoms.

« Il est toujours possible d’engager une action de groupe à l’encontre de l’opérateur télécoms, via une association de consommateurs agréée. Mais il n’y a aucune certitude que Free soit condamné : se faire cambrioler ne signifie pas nécessairement qu’on a été négligent ! », a expliqué le 31 octobre à l’association 60 Millions de Consommateurs Jean-Jacques Latour (photo), directeur expertise cybersécurité pour Cybermalveillance.gouv.fr, qui assiste entre autres les victimes de hacking. Ce jour-là cet expert avait indiqué qu’un formulaire allait être mis en ligne sur ce site gouvernemental. « Le remplir permettra aux victimes d’avoir une preuve officielle à présenter à leur banque, si jamais elle rechigne à rembourser en cas d’opération non consentie », avait-il annoncé. La Commission nationale de l’informatique et des libertés (Cnil), qui a indiqué le 12 novembre que « le dossier est désormais en cours d’instruction » après « un contrôle chez l’opérateur » la semaine précédente (1), expliquait, elle aussi, – dans la version initiale d’une page web dédiée à la fuite de données chez Free et mise en ligne le 30 octobre – qu’un formulaire de plainte allait être accessible sur le site Cybermalveillance.gouv.fr.

A défaut de formulaire sur Cybermalveillance.gouv.fr, une class action ?
Cette « lettre plainte » devait permette aux clients victimes de la fuite massive de données personnelles, intervenue en octobre (2) chez l’opérateur télécoms fondé par Xavier Niel, de faire une déposition en ligne : « Si vous avez été avisés de la violation de vos données, à la suite de la cyberattaque visant l’opérateur de téléphonie Free, vous avez la possibilité de porter plainte via un formulaire en ligne sans vous déplacer en commissariat ou en brigade de gendarmerie. Ce formulaire sera prochainement disponible depuis le site cybermalveillance.gouv.fr », promettait le gendarme des données personnelles. Ce formulaire en ligne devait apparaître le 31 octobre… jour de la fête d’Halloween. Mais, sans explications, il n’en a rien été. Il n’y aura donc pas de formulaire. Se contentant de retirer la mention de ce formulaire en ligne de sa page web dédiée (3), la Cnil n’a donné aucune explication aux médias qui l’interrogeaient sur ce revirement. Contacté par la suite par Edition Multimédi@, Jean-Jacques Latour nous précise : « Le formulaire ne nous a pas été transmis par le ministère de l’Intérieur. Je n’ai pas à m’exprimer sur ses raisons et vous renvoie vers lui ». Mais la Place Beauvau (où se situe le ministère de l’Intérieur) n’a pas répondu à notre demande. Egalement contactée par nos soins, l’autorité administrative indépendante qu’est la Cnil ne nous a pas répondu non plus. (suite)

Pourquoi le Conseil constitutionnel a censuré le délit d’« outrage en ligne » dans la loi SREN

Publié le par

La loi du 21 mai 2024 visant à sécuriser et à réguler l’espace numérique (SREN) a été publiée le lendemain au Journal Officiel, après avoir été expurgé des articles censurés par le Conseil constitutionnel. Les sages de la République ont jugé le délit d’outrage en ligne d’inconstitutionnel.

Par Antoine Gravereaux, avocat associé*, FTPA Avocats

En invalidant cinq articles de la loi, dont le délit d’« outrage en ligne » (1), le Conseil constitutionnel – par décision du 17 mai 2024 (2) – a contraint le législateur à revoir son approche de la régulation de l’espace numérique. La loi visant à sécuriser et à réguler l’espace numérique (SREN) introduisait le délit d’outrage en ligne, qui aurait été puni d’un an d’emprisonnement et de 3.750 euros d’amende forfaitaire en cas de diffusion en ligne de tout contenu portant atteinte à la dignité d’une personne ou présentant un caractère injurieux, dégradant, humiliant, ou créant une situation intimidante, hostile ou offensante.

Un délit qui manquait d’objectivité
Le Conseil constitutionnel, qui avait été saisi par deux groupes de députés différents (respectivement les 17 et 19 avril 2024), a jugé que les faits réprimés par cette nouvelle infraction étaient déjà couverts par des qualifications pénales existantes, y compris lorsque ces abus sont commis en ligne. Ainsi par exemple, les sages de la République ont relevé que la diffamation et l’injure sont réprimées par les articles 32 et 33 de la loi du 29 juillet 1881 sur la liberté de la presse (3), les violences psychologiques par le code pénal (4), et le harcèlement par le code pénal également (5).
Rappelons que la diffamation se définit comme toute allégation ou imputation d’un fait portant atteinte à l’honneur ou à la considération de la personne auquel le fait est imputé, lorsqu’elle est commise publiquement. Tandis que l’injure se définit comme toute expression outrageante, termes de mépris ou invective qui ne renferme l’imputation d’aucun fait, lorsqu’elle est proférée publiquement. En outre, le Conseil constitutionnel a relevé que cette nouvelle infraction de délit d’« outrage en ligne » manquait d’objectivité et créait un climat d’incertitude attentatoire à la liberté, en nécessitant une appréciation subjective du ressenti de la personne visée (« incertitude sur la licéité des comportements incriminés »). « Les dispositions contestées font dépendre la caractérisation de l’infraction de l’appréciation d’éléments subjectifs tenant à la perception de la victime. Elles font ainsi peser une incertitude sur la licéité des comportements réprimés », estime notamment le Conseil Constitutionnel. Il a donc jugé que cette disposition portait atteinte à la liberté d’expression et de communication de manière non nécessaire, non adaptée et disproportionnée.