Cyberattaques et IA fantômes : comment encadrer et gérer les risques qui menacent l’entreprise

Publié le 2 mai 2025 par Charles de Laubier

L’intelligence artificielle générative est un moteur d’accélération des risques pour les entreprises. La révolution de l’IA peut alors tourner au cauchemar. Mais il n’y a pas de fatalité, pour peu que les dirigeants suivent les règlements, les recommandations et les guides de bonnes pratiques.

Par Antoine Gravereaux, avocat associé*, FTPA Avocats

L’intelligence artificielle générative transforme en profondeur les paradigmes de la cybersécurité. En s’appuyant sur des modèles entraînés à partir de volumes de données considérables, cette technologie offre des applications variées dans la défense contre les menaces ou la gestion des attaques cyber. Mais l’IA générative permet également le développement d’usages malveillants, donnant ainsi naissance à une nouvelle vague de cybermenaces. Dans ce contexte, les entreprises doivent concilier innovation et sécurité, tout en respectant un cadre réglementaire européen en pleine évolution.

Cybermenaces externes et internes
Grâce à ses capacités d’automatisation de traitement de données à grande échelle et d’apprentissage autonome, l’IA générative permet aujourd’hui de concevoir des attaques plus efficaces, ciblées et difficile à détecter. Dans le premier rapport international sur la sécurité de l’intelligence artificielle, intitulé « International AI Safety Report » (1) et publié en janvier 2025, les experts soulignent que les menaces cybernétiques se renforcent du fait que l’IA à usage général est favorisée par une exécution rapide, simultanée et à grande échelle d’opérations, tout en abaissant les coûts et les obstacles techniques. Parmi les pratiques, le phishing (hameçonnage) ne cesse de gagner en crédibilité, l’IA permettant de générer de façon automatique tous types de contenus, tels que des deepfakes (hypertrucages) personnalisés.
Les virus polymorphes sont capables de muter leur signature pour échapper aux détections. Ils ont la capacité de modifier leur empreinte numérique pour (suite)

ne pas être repérés par un antivirus. L’empoisonnement des données vient également altérer les prédictions d’un système d’intelligence artificielle s’appuyant sur le machine learning. Les ransomware (rançongiciels) tiennent également toujours une place importante dans l’univers des menaces, bien qu’en baisse depuis ces quatre dernières années. D’autres types d’attaques peuvent aussi permettre de s’emparer de données confidentielles, de perturber le processus de classification des données, ou d’effectuer une ingénierie inversée du modèle afin de le répliquer. Face à l’essor des cyberattaques amplifiées par l’IA générative, le modèle « Zero Trust » – autrement dit « ne faire aucune confiance, toujours vérifier » – s’impose comme une stratégie incontournable pour les entreprises. Ce cadre de sécurité repose sur une surveillance continue, une authentification renforcée et une segmentation stricte des réseaux. En intégrant des outils pilotés par l’IA, le Zero Trust (2) permet d’automatiser la détection des menaces, de prévenir l’exfiltration de données sensibles et de limiter la propagation des attaques au sein des systèmes. Cette approche proactive devient essentielle pour contrer les risques émergents tels que les malwares (logiciels malveillants) évolutifs ou les deepfakes utilisés dans des campagnes de phishing sophistiquées. En intégrant des outils alimentés par l’intelligence artificielle, les entreprises peuvent automatiser la détection des comportements anormaux et accélérer la réponse aux incidents, renforçant ainsi leur résilience face aux attaques générées par l’IA. Cependant, l’usage de l’IA générative par les développeurs informatiques est susceptible d’accroître le risque de failles de sécurité du logiciel et l’exploitation de vulnérabilités par les cyberattaquants des systèmes d’IA.
Selon le laboratoire d’innovation numérique de la Cnil (Linc), il existe trois grandes familles d’attaques de systèmes d’IA : les attaques par manipulation, qui ont pour objectif de contourner les résultats attendus ou d’induire des actions imprévues pour que le système d’IA effectue des tâches inattendues; les attaques par infection qui visent à compromettre la fiabilité des décisions produites par l’IA en compromettant les données utilisées pour l’entraînement du modèle, notamment par des attaques par empoisonnement via des logiciels malveillants ; les attaques par exfiltration qui ont pour objectif l’appropriation des données des systèmes d’IA, portant ainsi atteinte à la confidentialité des informations de l’entreprise et au respect de la vie privée des personnes concernées (3).

IA générative et système d’information
Ainsi, face à ces risques, les entreprises doivent adopter une approche raisonnée dans la mise en œuvre et le déploiement de systèmes d’IA afin de prévenir les atteintes à la sécurité de leurs systèmes d’informations, lesquels font un usage croissant de l’IA générative. Aussi, les entreprises doivent repenser leurs stratégies de cybersécurité. Dans ce contexte, la vérification continue des identités, le contrôle strict des accès et la segmentation fine des réseaux sont des pratiques de nature à limiter le risque. Il est ainsi stratégique pour toute organisation de sécuriser les actifs numériques selon cette approche « risque » dans un environnement marqué par des menaces toujours plus complexes. Le groupe d’experts de haut niveau sur l’IA – l’« AI HLEG » constitué par la Commission européenne en 2018 (4) – décrit sept principes éthiques destinés à rendre l’IA digne de confiance : action humaine et contrôle humain ; robustesse technique et sécurité ; respect de la vie privée et gouvernance des données ; transparence ; diversité, non-discrimination et équité ; bien-être sociétal et environnemental ; et responsabilité.

Encadrement normatif européen renforcé
Le règlement européen sur l’IA – l’AI Act entré en vigueur depuis le 1er août 2024 (5) – établit des règles harmonisées pour la mise sur le marché et l’utilisation des systèmes d’IA dans l’Union européenne (UE), en mettant en place notamment une obligation de vigilance à la charge des fournisseurs et des déployeurs de systèmes d’IA, tout particulièrement pour les systèmes d’IA à haut risque. Les entreprises doivent ainsi classifier leurs systèmes d’IA et adapter leurs pratiques selon le niveau de risque. Concrètement, elles doivent procéder à une analyse interne en faisant une cartographie de leurs applications, une évaluation des risques spécifiques liés à l’IA envisagée, et des analyses d’impact. Il est nécessaire de mettre en place des mesures de transparence, particulièrement pour les systèmes d’IA générative utilisés pour générer justement ou manipuler des contenus, et de prévoir des explications sur les décisions fondées sur leur système d’IA à haut risque, du fait de leur impact sur les droits des utilisateurs.
En outre, l’AI Act impose que les systèmes d’IA soient encadrés par un processus de gestion des risques planifié, évolutif et mis à jour régulièrement, de la phase d’entraînement jusqu’à son déploiement. Cela vise à garantir une meilleure anticipation des menaces cyber et réduit les risques notamment via une conception sécurisée par défaut (security by design). Cette logique rejoint les exigences du règlement général sur la protection des données (RGPD), de la directive NIS2 en cours de transposition ou du règlement DORA applicable au secteur financier et de l’assurance (6).
Sur le plan humain, le règlement sur l’IA impose de former et de responsabiliser les personnes impliquées. Les entreprises doivent redoubler de vigilance dans la protection de leurs systèmes afin de lutter efficacement contre la compromission de leurs infrastructures d’hébergement de données ou de leur chaîne d’approvisionnement. Au stade de la prévention du risque, la mise en place d’une procédure destinée à évaluer et suivre la conformité en interne des systèmes d’IA est un enjeux clé pour les entreprises. La mise en place de politiques internes destinées à encadrer l’utilisation de l’IA par les salariés, ou encore le contrôle systématique de toute nouvelle application introduite sur le système d’information de l’entreprise, afin d’éradiquer le « shadow AI » (autrement dit l’IA fantôme), sont des facteurs de diminution des risques. La mise en œuvre concrète des exigences réglementaires implique pour les entreprises de prendre en compte les recommandations produites par les régulateurs, sources d’informations précieuses pour anticiper les risques. En France, l’Agence nationale de la sécurité des systèmes d’information (Anssi) a publié le 29 avril 2024 un guide de recommandations de sécurité pour les systèmes d’IA générative (7). Ce guide propose une série de mesures pour sécuriser ces systèmes tout au long de leur cycle de vie, depuis l’entraînement jusqu’à la production. On y trouve ainsi des recommandations générales visant à intégrer la sécurité dès la conception et dans toutes les phases du projet de développement d’un système d’IA, mais également en phases d’entraînement, de déploiement et de production. L’Anssi recommande par exemple de prévoir des audits de sécurité – avant déploiement en production ou encore journaliser – de l’ensemble des traitements réalisés au sein du système d’IA. En février 2025, lors du Sommet de l’IA à Paris, l’Anssi a publié le guide intitulé « Développer la confiance dans l’IA à travers une approche par les risques cyber » (8), où elle élabore des bonnes pratiques pour un déploiement sécurisé des systèmes d’IA, donnant ainsi des orientations à destination des développeurs, des fournisseurs et des décideurs. Outre la mise en place d’un processus de veille technologique et réglementaire, elle recommande de procéder à un contrôle strict des chaînes d’approvisionnement en cartographiant les composants logiciels, en vérifiant la fiabilité des fournisseurs, et en protégeant les données d’entraînement contre l’empoisonnement.
En matière de protection des données personnelles, la Cnil exige de décliner les principes du RGPD aux usages de l’IA. Elle a publié le 7 février 2025 plusieurs recommandations pour la mise en place d’un système d’IA (9), en donnant des bonnes pratiques visant notamment à l’information des personnes concernées qui voient leurs données intégrées dans une base de données d’apprentissage. En outre, la Cnil invite les fournisseurs à anonymiser les données d’entraînement ou, à défaut de pouvoir le faire, à s’assurer que le modèle d’IA est anonyme à l’issu de son entraînement.

Adopter une approche security by design
Lors du Forum InCyber, début avril 2025 à Lille, plusieurs bonnes pratiques ont été mises en avant pour encadrer les risques liés à l’intelligence artificielle. Parmi celles-ci, l’importance de la collaboration entre les acteurs publics et privés a été soulignée pour renforcer la résilience numérique. Le forum a également insisté sur la nécessité d’adopter une approche security by design, intégrant des mécanismes de sécurité dès la conception des systèmes d’IA. Enfin, la formation continue des professionnels et la sensibilisation des utilisateurs ont été identifiées comme des leviers essentiels pour prévenir les cybermenaces et garantir une utilisation éthique et sécurisée de l’intelligence artificielle. @

* Antoine Gravereaux est avocat associé chez FTPA Avocats,
au département « Technologies, Data & Cybersécurité ».

L’enjeu de la base légale et de l’information dans la conformité au RGPD des fournisseurs d’IA

Publié le 14 février 2025 par Charles de Laubier

Depuis peu, les fournisseurs de systèmes d’intelligence artificielle (IA) font l’objet d’une attention accrue de la part des autorités de contrôle européennes, lesquelles analysent leur conformité au règlement sur la protection des données (RGPD), de l’information des personnes à la base légale.

Par Sandra Tubert, avocate associée et Alicia Forgues, docteure en droit, Algo Avocats

Après avoir sanctionné OpenAI en décembre 2024 pour ses manquements au RGPD en lien avec son IA générative ChatGPT (1), l’autorité italienne de protection des données – la GPDP (2) – vient cette fois d’ordonner, le 30 janvier dernier (3), le blocage immédiat de l’application et du site web DeepSeek en Italie en raison de manquements présumés au RGPD. Avant d’ordonner la limitation du traitement, la GPDP avait adressé le 28 janvier une demande d’informations à DeepSeek, afin qu’elle précise les données traitées, les finalités poursuivies, leurs bases légales, le lieu de stockage, ainsi que la typologie de données utilisées pour entraîner les modèles d’IA, leurs sources et les modalités d’information des personnes (4).

Modèles d’IA, systèmes d’IA et données
D’autres « Cnil » européennes ont ouvert des enquêtes. Si le recours à l’IA n’impacte pas véritablement les réponses à apporter à certaines de ces questions, les bases légales de traitement et modalités d’information des personnes posent plus de difficultés lorsqu’il s’agit des traitements mis en œuvre dans le cadre de l’entraînement des modèles d’IA. En effet, ces derniers sont entraînés à l’aide d’un grand nombre de données, parmi lesquelles figurent parfois des données personnelles. Celles-ci se divisent en deux catégories : les données fournies directement par des personnes concernées ou les utilisateurs du système d’IA intégrant le modèle d’IA, auxquelles se rajoutent les données collectées durant l’utilisation du service (données first-party) et les données de non-utilisateurs collectées par web scraping ou grâce à la signature de contrats de licences d’utilisation de contenus (données third-party).
Lorsque le fournisseur se contente d’utiliser des données first-party pour entraîner ses modèles d’IA, le contact direct dont il dispose avec les personnes concernées par le traitement lui permet de les informer de manière classique, notamment via une politique de confidentialité – à laquelle il sera renvoyé depuis un formulaire de collecte ou un courriel – qui devra être précise et claire sur les finalités d’entraînement des modèles (notamment en distinguant l’information portant sur l’entraînement des modèles des autres traitements). A l’inverse, s’il utilise également (suite)

des données third-party, le fournisseur fait face à une difficulté, celle d’identifier un moyen approprié pour informer les personnes concernées de l’utilisation de leurs données à des fins d’entraînement des modèles d’IA. Sur ce point, la décision de sanction de 15 millions d’euros rendue en Italie par la GPDP à l’encontre d’OpenAI contient quelques enseignements. Elle y rappelle qu’elle avait, en avril 2023, ordonné à OpenAI un certain nombre de mesures pour se conformer à l’obligation d’information du RGPD. Selon la GPDP, OpenAI devait non seulement publier une mention d’information sur son site Internet explicitant clairement les finalités d’entraînement des modèles, mais aussi mettre à disposition des personnes un outil permettant d’exercer leurs droits (notamment d’opposition). Le fournisseur de ChatGPT devait également et surtout mener une campagne non promotionnelle à la radio, dans les journaux et à la télévision, dont le contenu aurait dû être validé par l’autorité. Objectif : que les utilisateurs et non-utilisateurs soient clairement sensibilisés à l’utilisation de leurs données à des fins d’entraînement des modèles d’IA et aux droits dont ils disposent, afin qu’ils puissent pleinement les exercer. Cette dernière modalité d’information demandée questionne sur les motivations entourant cette mesure (volume de personnes et de données concernées ? méconnaissance de ces traitements par le grand public en 2023 ?). En effet, cette mesure semble difficilement transposable à l’ensemble des acteurs entraînant des modèles d’IA.
En France, la Commission nationale de l’informatique et des libertés (Cnil) propose dans ses fiches IA (5) d’autres pistes pour informer les personnes. Première suggestion : s’appuyer sur le diffuseur des données (celui qui les a collectées initialement auprès des personnes) pour fournir une information complète, étant précisé que la seule mention d’une ré-exploitation par des tiers est insuffisante et qu’il convient, au contraire, d’indiquer que les données seront utilisées afin de développer un système d’IA et d’en désigner nommément le fournisseur.

Exception à l’information individuelle
Deuxième suggestion de la Cnil : rendre les informations disponibles publiquement sur un site web ou panneau d’affichage, sans procéder à une information individuelle, en s’appuyant sur l’exception prévue par le RGPD (à savoir l’information individuelle se révèlerait impossible ou exigerait des efforts disproportionnés (6)). Sur ce point, il conviendra alors de documenter le caractère disproportionné, suite à une mise en balance entre les efforts exigés – comme l’absence de coordonnées des personnes, le nombre de personnes concernées, les coûts de communication – et l’atteinte portée à la vie privée des personnes, notamment le caractère intrusif du traitement. La Cnil précise que l’information générale devra alors indiquer les sources précises utilisées pour constituer la base de données d’entraînement (ou a minima les catégories de sources lorsqu’elles sont trop nombreuses) ainsi que les moyens pour contacter le diffuseur auprès duquel les données ont été récupérées (7).

Intérêt légitime et ses limites : incertitude
Au-delà de l’information, l’entraînement des modèles d’IA questionne sur l’identification de la base légale parmi les six options inscrites dans le RGPD (8). Dans sa décision à l’encontre d’OpenAI, la GPDP a relevé un manquement sur ce point, lui reprochant une réflexion insuffisante sur le sujet, matérialisée par le fait qu’au cours de la procédure, la société a évoqué à la fois l’intérêt légitime et l’exécution du contrat comme base légale de son traitement d’entraînement des modèles d’IA. La GPDP rappelle ainsi aux fournisseurs de systèmes d’IA leur obligation d’identifier la base légale du traitement en amont de la mise en œuvre de ces traitements et de documenter leur analyse si l’intérêt légitime est retenu. Malheureusement, elle n’explore pas plus en profondeur la légitimité de fonder de tels traitements sur l’intérêt légitime ou ses limites, laissant les fournisseurs dans l’incertitude. Or, l’intérêt légitime est la base légale vers laquelle se tournent majoritairement les fournisseurs de système d’IA.
Ceci s’explique principalement par les cas restreints dans lesquels il est possible de fonder les traitements d’entraînement des modèles sur le consentement ou l’exécution du contrat. Cette dernière est souvent rapidement exclue, puisqu’une interprétation stricte en est retenue par les autorités et la CJUE et qu’elle ne peut être utilisée qu’en présence d’un contrat entre le fournisseur du système d’IA et les personnes concernées, pour des traitements objectivement indispensables à l’exécution des obligations prévues par ce contrat. Le consentement peut, quant à lui, être mobilisé par les fournisseurs utilisant des données firstparty, mais n’est pas véritablement disponible pour ceux qui entraînent leurs modèles d’IA avec des données third-party. Dès lors, le recours à l’intérêt légitime pour entraîner des modèles se généralise, même si cette démarche est critiquée, notamment par l’association Noyb (9).
Face à cette incertitude, l’autorité irlandaise (DPC) a émis une demande d’avis auprès du Comité européen de la protection des données (EDPB) en septembre 2024. La DPC souhaitait obtenir des renseignements sur la façon dont un responsable du traitement peut démontrer le bien-fondé de l’intérêt légitime en tant que base légale de traitement pour le développement de modèles d’IA (10). En réponse, l’EDPB a adopté en décembre dernier un avis (11), assez théorique (sans éclaircissements inédits), dans lequel il rappelle et présente les grandes notions et critères à prendre en compte en lien avec les trois conditions cumulatives pour documenter le fait qu’un traitement puisse être fondé sur l’intérêt légitime. L’EDPB y propose néanmoins quelques exemples de mesures souhaitables pour atténuer les risques identifiés lors de la balance des intérêts (pseudonymisation des données d’entraînement, masquage des données personnelles ou leur substitution par des données synthétiques, mise en place d’un délai entre la constitution de la base et l’entrainement des modèles pour permettre l’exercice des droits, …). Pour les données collectées par web scraping, l’EDPB propose des mesures spécifiques (exclure certaines catégories de données ou certaines sources, créer des listes d’opposition gérées par le fournisseur de systèmes d’IA, …). La DPC a salué l’avis rendu, de même que la Cnil, dont les travaux préexistants sur le sujet (qui apportent un éclairage complémentaire et plus concret) ne sont pas contredits (12). En dépit des recommandations figurant dans ces avis, les difficultés liées au recours à l’intérêt légitime dans un contexte d’entraînement des modèles d’IA sont mises en lumière par l’avertissement rendu par la GPDP, le 27 novembre 2024, à l’encontre de l’éditeur de presse Gedi (13). Celui-ci avait conclu un contrat avec OpenAI relatif à la communication d’archives de journaux pour permettre à ce dernier d’entraîner ses modèles d’IA et de mettre à disposition les contenus de presse de Gedi accompagnés d’un résumé, en temps réel, sur ChatGPT (14). En effet, bien que Gedi ait réalisé une analyse d’impact sur la protection des données, dans laquelle il indiquait fonder à la fois ses traitements et ceux d’OpenAI sur l’intérêt légitime, la GPDP a mis en lumière plusieurs difficultés liées à cette position (15).

Affaire « Gedi » : le cas des archives de presse
La première est la présence dans ces archives d’un volume important de données personnelles, notamment sensibles ou relatives à des infractions. L’autorité italienne rappelle alors que la base légale de l’intérêt légitime ne peut pas, à elle seule, légitimer le traitement de telles données sensibles et qu’il est nécessaire d’identifier, en plus, une des exceptions prévues par le RGPD (16). La seconde est relative à l’information des personnes et à leurs attentes raisonnables. La GPDP estime en effet que les personnes dont les données figurent dans ces archives de journaux ne peuvent pas s’attendre à une telle communication à OpenAI et que l’ajout prévu dans la politique de confidentialité de Gedi (non encore publié) s’adresse aux utilisateurs enregistrés de ses journaux et non aux personnes mentionnées dans les articles transmis. @

Millions de données personnelles dérobées chez Free : comment les abonnés peuvent porter plainte

Publié le 26 novembre 2024 par Charles de Laubier

Depuis que Free s’est fait voler fin octobre les données personnelles de 19,2 millions de ses abonnés, dont 5,1 millions de coordonnées bancaires, la question juridique est de savoir comment les clients concernés par cette fuite massive peuvent porter plainte contre l’opérateur télécoms.

« Il est toujours possible d’engager une action de groupe à l’encontre de l’opérateur télécoms, via une association de consommateurs agréée. Mais il n’y a aucune certitude que Free soit condamné : se faire cambrioler ne signifie pas nécessairement qu’on a été négligent ! », a expliqué le 31 octobre à l’association 60 Millions de Consommateurs Jean-Jacques Latour (photo), directeur expertise cybersécurité pour Cybermalveillance.gouv.fr, qui assiste entre autres les victimes de hacking. Ce jour-là cet expert avait indiqué qu’un formulaire allait être mis en ligne sur ce site gouvernemental. « Le remplir permettra aux victimes d’avoir une preuve officielle à présenter à leur banque, si jamais elle rechigne à rembourser en cas d’opération non consentie », avait-il annoncé. La Commission nationale de l’informatique et des libertés (Cnil), qui a indiqué le 12 novembre que « le dossier est désormais en cours d’instruction » après « un contrôle chez l’opérateur » la semaine précédente (1), expliquait, elle aussi, – dans la version initiale d’une page web dédiée à la fuite de données chez Free et mise en ligne le 30 octobre – qu’un formulaire de plainte allait être accessible sur le site Cybermalveillance.gouv.fr.

A défaut de formulaire sur Cybermalveillance.gouv.fr, une class action ?
Cette « lettre plainte » devait permette aux clients victimes de la fuite massive de données personnelles, intervenue en octobre (2) chez l’opérateur télécoms fondé par Xavier Niel, de faire une déposition en ligne : « Si vous avez été avisés de la violation de vos données, à la suite de la cyberattaque visant l’opérateur de téléphonie Free, vous avez la possibilité de porter plainte via un formulaire en ligne sans vous déplacer en commissariat ou en brigade de gendarmerie. Ce formulaire sera prochainement disponible depuis le site cybermalveillance.gouv.fr », promettait le gendarme des données personnelles. Ce formulaire en ligne devait apparaître le 31 octobre… jour de la fête d’Halloween. Mais, sans explications, il n’en a rien été. Il n’y aura donc pas de formulaire. Se contentant de retirer la mention de ce formulaire en ligne de sa page web dédiée (3), la Cnil n’a donné aucune explication aux médias qui l’interrogeaient sur ce revirement. Contacté par la suite par Edition Multimédi@, Jean-Jacques Latour nous précise : « Le formulaire ne nous a pas été transmis par le ministère de l’Intérieur. Je n’ai pas à m’exprimer sur ses raisons et vous renvoie vers lui ». Mais la Place Beauvau (où se situe le ministère de l’Intérieur) n’a pas répondu à notre demande. Egalement contactée par nos soins, l’autorité administrative indépendante qu’est la Cnil ne nous a pas répondu non plus. (suite)

Le directeur expert cybersécurité de Cybermalveillance.gouv.fr, programme gouvernemental en partenariat public-privé piloté par le groupement d’intérêt public GIP Acyma (« action contre la cybermalveillance »), avait néanmoins confirmé auprès de nos confrères de 01net que le formulaire en ligne « n’était plus d’actualité », mais sans donner les raisons de l’abandon de cette « lettre plainte » qui aurait pu faciliter les démarches d’un potentiel de 19,2 millions de clients de Free. L’ampleur des plaintes à traiter, même en ligne, a sans doute fait reculer et la Cnil et l’administration française. Le risque d’un afflux de plaintes et d’usine à gaz ont amené la Cnil, la préfecture de police ou encore le ministère public (magistrat), décisionnaires dans ce type de démarche, à faire volte-face. Pourtant, créé par l’Etat en octobre 2017 dans le cadre de la stratégie nationale pour la sécurité du numérique, Cybermalveillance.gouv.fr – dont la Cnil est membre via le GIP Acyma – a vocation à « porter assistance aux victimes d’actes de cyber malveillance » (4). A défaut de « lettre plainte », les abonnés de Free n’auront-ils que leurs yeux pour pleurer la violation de leurs données personnelles ? Bien sûr que non : qu’il y ait exploitation frauduleuse de leurs coordonnées bancaires, usurpation d’identité (dont la fraude à la carte SIM ou « SIM swapping »), hameçonnage (phishing par SMS, e-mail ou téléphone), les clients de Free peuvent toujours porter plainte. Et il peuvent le faire de deux manières :
• Auprès de la Cnil, à partir de son service de plainte en ligne (5) ou par courrier postal (6), si la victime estime que ses données personnelles n’ont pas été suffisamment sécurisées par Free.

Plaintes : Cnil, police et gendarmerie
D’autant que cette violation massive de données personnelles – censées être protégées sans failles – concerne notamment : les noms, prénoms, adresses e-mail et postales, dates et lieux de naissance, numéros de téléphone, identifiants d’abonné et données contractuelles (offres souscrites, dates de souscription, abonnements actifs ou non). Et pour 5,1 millions d’abonnés, sur les 19,2 millions, les références du compte bancaire ou Iban (International Bank Account Number). Les mots de passe ne seraient pas concernés. Mais le gendarme des données personnelles peut « uniquement effectuer des investigations sur des problématiques relevant de la protection des données personnelles ». Et si des manquements sont avérés du côté de Free, il peut alors décider des « mesures correctrices tels que rappels à l’ordre, des mises en demeure ou des sanctions financières ». En revanche, la Cnil ne peut en aucun cas exercer les droits du plaignant à sa place ni être son mandataire et encore moins obtenir des dommages et intérêts et constater les préjudices subis.

Class action à venir contre Free ?
• Auprès de la police ou de la gendarmerie si la personne est victime d’une usurpation d’identité, d’une arnaque ou de paiements frauduleux. Cela suppose donc pour le plaignant de se déplacer physiquement pour se rendre dans le commissariat de police ou la brigade de gendarmerie de proximité. Pour trouver leur adresse, le ministère de l’Intérieur a créé un site web (7) permettant de géolocaliser les établissements les plus proches du domicile de la personne concernée. Le site Cybermalveillance.gouv.fr indique, lui, que déposer plainte en cas d’utilisation frauduleuse de vos données personnelles divulguées peut se faire non seulement dans un commissariat de police ou une gendarmerie, mais aussi par courrier postal à la Brigade de lutte contre la cybercriminalité (BL2C) de la Préfecture de police de Paris (36, rue du Bastion, 75017 Paris). Les infractions relèvent du code pénal, avec des peines d’emprisonnement allant d’un an à sept ans et de 15.000 euros à 750.000 euros d’amende (8).
Mais ce que ne dit pas la Cnil, c’est que les abonnés de Free concernés peuvent se regrouper pour engager une action de groupe (class action) ou un recours collectif, afin de demander la cessation de la violation de données personnelles et la réparation du préjudice. De class action, il en est question du côté de Cybermalveillance.gouv.fr qui, parmi ses conseils prodigués aux personnes concernées, suggère « d’engager au besoin une action de groupe ou un recours collectif qui permet aux victimes, représentées par une association de protection de la vie privée et des données personnelles ou une association de défense des consommateurs agréée au niveau national, de saisir la justice pour demander la cessation de la violation de données personnelles et la réparation du préjudice » (9).
Ces associations de consommateurs agréées en France pour défendre les consommateurs sont : l’UFC-Que Choisir, la CLCV, l’ULCC, l’Unaf, etc. (10). Elles aident à régler les litiges de la vie quotidienne, soit à l’amiable, soit par l’action en justice pour défendre l’intérêt collectif des consommateurs ou pour intenter des actions de groupe, et à demander réparation des préjudices subis par les consommateurs. Free avait par exemple déjà fait l’objet d’une action de groupe engagée en mars 2019 par l’UFC-Que Choisir pour obtenir l’arrêt et le remboursement des facturations injustifiées dont avaient été victimes les consommateurs au moment de la restitution de leur téléphone portable loué auprès de l’opérateur télécoms (11). Le 13 décembre 2022, le tribunal judiciaire de Paris avait déclaré irrecevable cette action de groupe. Mais l’Union fédérale des consommateurs Que Choisir a fait appel du jugement et l’affaire est toujours pendante devant la cour d’appel de Paris (12). « Après avoir plaidé pendant des décennies pour l’instauration d’une action de groupe, seule procédure permettant l’indemnisation, en un seul procès, des victimes de litiges de masse, l’UFC-Que Choisir a obtenu la création de cette procédure en 2014, rappelle l’association. Si certaines ont pu faire l’objet de transactions aboutissant à l’indemnisation des consommateurs, la plupart sont toujours en cours. L’association a engagé une dizaine d’actions depuis l’entrée en vigueur de la réforme ».
En effet, c’est la loi « Hamon » du 17 mars 2014 qui a introduit en France la class action, pratiquée depuis longtemps dans les pays anglo-saxons. L’Union européenne avait préparé le terrain avec la directive « Protection des intérêts des consommateurs » de 2009, laquelle fut abrogée par la directive « Actions représentatives visant à protéger les intérêts collectifs des consommateurs » du 25 novembre 2020 (13). Pour l’heure, une enquête préliminaire suit son cours du côté de la « cyberpolice » : elle a été diligentée sur les instructions de la section J3 du parquet de Paris et est ouverte à la BL2C (Brigade de lutte contre la cybercriminalité) de la direction de la police judiciaire de la Préfecture de police de Paris. Elle porte sur « les infractions d’atteintes à des systèmes de traitement automatisé de données, collecte frauduleuse de données à caractère personnel et recel de bien provenant d’un délit », comme l’indique Cybermalveillance.gouv.fr.

RGPD : Free (Iliad) risque une amende salée
De son côté, Free a mis en place un numéro vert (gratuit), disponible 7j/7 de 9h à 18h, pour toute question et demande de renseignement de ses clients : 0 805 921 100. A l’issue de l’enquête de la Cnil, épaulée par la police et la gendarmerie, les abonnés sauront si la responsabilité de la fuite de leurs données personnelles incombe à Free et s’il y a eu manquement au règlement général sur la protection des données (RGPD). L’opérateur télécoms, filiale du groupe Iliad dirigé par Thomas Reynaud (photo ci-dessus), risque une amende pouvant aller jusqu’à 7 % de son chiffre d’affaires, à laquelle pourrait s’ajouter par ailleurs des dommages et intérêts à ses clients en cas de préjudice reconnu par la justice. @

Charles de Laubier

Pourquoi le Conseil constitutionnel a censuré le délit d’« outrage en ligne » dans la loi SREN

Publié le 22 juillet 2024 par Charles de Laubier

La loi du 21 mai 2024 visant à sécuriser et à réguler l’espace numérique (SREN) a été publiée le lendemain au Journal Officiel, après avoir été expurgé des articles censurés par le Conseil constitutionnel. Les sages de la République ont jugé le délit d’outrage en ligne d’inconstitutionnel.

**Par Antoine Gravereaux, avocat associé*, FTPA Avocats**

En invalidant cinq articles de la loi, dont le délit d’« outrage en ligne » (1), le Conseil constitutionnel – par décision du 17 mai 2024 (2) – a contraint le législateur à revoir son approche de la régulation de l’espace numérique. La loi visant à sécuriser et à réguler l’espace numérique (SREN) introduisait le délit d’outrage en ligne, qui aurait été puni d’un an d’emprisonnement et de 3.750 euros d’amende forfaitaire en cas de diffusion en ligne de tout contenu portant atteinte à la dignité d’une personne ou présentant un caractère injurieux, dégradant, humiliant, ou créant une situation intimidante, hostile ou offensante.

Un délit qui manquait d’objectivité
Le Conseil constitutionnel, qui avait été saisi par deux groupes de députés différents (respectivement les 17 et 19 avril 2024), a jugé que les faits réprimés par cette nouvelle infraction étaient déjà couverts par des qualifications pénales existantes, y compris lorsque ces abus sont commis en ligne. Ainsi par exemple, les sages de la République ont relevé que la diffamation et l’injure sont réprimées par les articles 32 et 33 de la loi du 29 juillet 1881 sur la liberté de la presse (3), les violences psychologiques par le code pénal (4), et le harcèlement par le code pénal également (5).
Rappelons que la diffamation se définit comme toute allégation ou imputation d’un fait portant atteinte à l’honneur ou à la considération de la personne auquel le fait est imputé, lorsqu’elle est commise publiquement. Tandis que l’injure se définit comme toute expression outrageante, termes de mépris ou invective qui ne renferme l’imputation d’aucun fait, lorsqu’elle est proférée publiquement. En outre, le Conseil constitutionnel a relevé que cette nouvelle infraction de délit d’« outrage en ligne » manquait d’objectivité et créait un climat d’incertitude attentatoire à la liberté, en nécessitant une appréciation subjective du ressenti de la personne visée (« incertitude sur la licéité des comportements incriminés »). « Les dispositions contestées font dépendre la caractérisation de l’infraction de l’appréciation d’éléments subjectifs tenant à la perception de la victime. Elles font ainsi peser une incertitude sur la licéité des comportements réprimés », estime notamment le Conseil Constitutionnel. Il a donc jugé que cette disposition portait atteinte à la liberté d’expression et de communication de manière non nécessaire, non adaptée et disproportionnée.

L’introduction du délit spécifique d’outrage en ligne avait été proposé par le sénateur (Union centriste) Loïc Hervé. Cette mesure n’était pas soutenue par le gouvernement et était rejetée par la quasi-totalité des groupes parlementaires, malgré des modifications en commission mixte paritaire. « Inspiré du délit d’outrage sexiste et sexuel », ce nouveau délit d’« outrage en ligne » introduit comme nouvelle infraction, aurait apporté une réponse aux « difficultés posées, en matière de harcèlement en ligne, par la réponse pénale classique », au moyen d’une « sanction immédiate par une amende forfaitaire délictuelle », selon les porteurs de l’amendement (6). Divers arguments pouvaient justifier l’introduction du délit d’outrage en ligne dans le code pénal. Cette nouvelle infraction aurait comblé un vide juridique laissé par les qualifications pénales existantes comme l’injure ou la diffamation, tout en permettant de lutter contre les comportements abusifs en ligne, souvent perpétrés sous couvert d’anonymat – lequel est en fait de la pseudonymisation (7).
En offrant un délai de prescription plus long (six ans au lieu de trois mois à compter de la publication), elle aurait mieux convenu aux justiciables victimes de comportements répréhensibles sur Internet. Il est vrai que ces infractions, bien que pertinentes, ne couvrent pas toujours les nuances spécifiques des abus en ligne, souvent anonymes et diffusés à grande échelle. L’objectif, que nous pourrions considérer comme louable, était donc de créer une infraction qui s’adapte mieux aux réalités numériques actuelles, offrant ainsi une réponse pénale plus appropriée.

Gros risque pour la liberté d’expression
La levée de l’anonymat aurait été facilitée par l’obtention de l’adresse IP des auteurs, en raison de la peine d’emprisonnement d’un an encourue. Et l’on sait que les démarches pour obtenir ces informations peuvent être complexes et nécessiter une coopération internationale dans certains cas. De plus, le délit d’outrage en ligne aurait aidé à limiter l’escalade de la violence, les insultes, menaces ou intimidations pouvant progressivement s’intensifier et mener à des actes de violence physique. En quelque sorte, le texte soulignait ici un aspect préventif dans la lutte contre les violences physiques. Mais le Conseil constitutionnel a considéré que l’introduction de ce nouveau délit d’outrage en ligne portait un risque trop important d’atteinte aux libertés d’expression et de communication. Notons que les conditions de mise en œuvre de cette nouvelle infraction n’étaient pas aisées puisqu’en matière de cyberharcèlement, l’identification des auteurs peut impliquer la mise en place d’enquêtes poussées, ce qui n’est pas toujours compatible avec une amende forfaitaire.

La SREN, 20 ans après la LCEN
Le Conseil constitutionnel a également censuré quatre autres articles de la loi, qualifiés de cavaliers législatifs, c’est-à-dire sans rapport direct avec le texte initial. Ces articles ont été écartés en raison de leur irrégularité au regard de l’article 45 de la Constitution de 1958 (navette législative). L’un des autres articles censurés visait à offrir à 100 % des Français une identité numérique gratuite d’ici le 1er janvier 2027 (8). L’ambition était, selon le rapporteur général du texte à l’Assemblée nationale, le député (non inscrit) Paul Midy, de mettre fin à l’anonymat en ligne. Lors des débats, la perspective de la généralisation de l’identité numérique en France a été considérée comme « liberticide » (9).
En censurant le délit d’outrage en ligne, l’une des mesures phares et controversées de la loi SREN, le Conseil constitutionnel se pose en défenseur des libertés fondamentales, protégeant la liberté d’expression et de communication contre des atteintes disproportionnées. Il prive ainsi les autorités d’un moyen supplémentaire pour sanctionner certains comportements abusifs en ligne. Bien que le délit d’outrage en ligne ait été invalidé, la majorité des articles de la loi SREN ont été jugés conformes à la Constitution française.
La loi SREN renforce et modernise le cadre juridique établi par la loi de 2004 pour « la confiance dans l’économie numérique », dite LCEN (10), en matière de régulation de l’Internet. Elle vise notamment à améliorer la sécurité en ligne, particulièrement pour les plus jeunes face à la pornographie, et à lutter contre les contenus illicites. Parmi les principales mesures, la loi introduit un « filtre anti-arnaque » (11) destiné à protéger les utilisateurs contre les cyberattaques comme le phishing (hameçonnage pour obtenir des données personnelles à des fins d’usurpation d’identité). Cette mesure, qui s’impose aux navigateurs web (12), a été critiquée par la Cnil et La Quadrature du Net en raison des risques de censure et de surveillance (13), et de l’efficacité contestée de ce filtre. Ainsi, le potentiel risque de censure et de surveillance excessive devra être soigneusement considéré pour éviter toute atteinte disproportionnée aux libertés individuelles. S’agissant de l’efficacité réelle de ce filtre, une évaluation – dans le temps, rigoureuse et continue de son impact – sera nécessaire.
L’Arcom, elle, voit son rôle renforcé, notamment pour bloquer et déréférencer les sites pornographiques ne disposant pas d’un dispositif efficace de contrôle d’accès des mineurs. Elle est également chargée de mettre en place des modalités techniques pour vérifier l’âge des internautes accédant à ces sites Internet. La protection des mineurs face à la pornographie et la lutte contre les contenus illicites sont des préoccupations légitimes et urgentes. La mise en place de ce nouveau dispositif est essentielle pour garantir un Internet plus sûr pour des personnes vulnérables.
En outre, la loi SREN met en œuvre plusieurs règlements européens du « paquet numérique » : le Data Governance Act (DGA (14)), le Digital Markets Act (DMA (15)) et le Digital Services Act (DSA (16)). Ces règlements visent à favoriser une meilleure circulation des données dans un environnement protégé et à renforcer la protection des internautes. La Cnil voit ses pouvoirs étendus et devient l’autorité compétente pour contrôler les « organisations altruistes en matière de données » (OAD, ou DAO en anglais pour Data Altruism Organisations), gérer le registre national des ces dernières et instruire les plaintes à leur encontre (17). La Cnil doit également veiller au respect des obligations de transparence en matière de publicité ciblée, en interdisant le profilage basé sur des données sensibles et le profilage des mineurs.
De plus, la loi SREN introduit des dispositions pour réguler le marché de l’informatique en nuage (cloud), imposant des obligations d’interopérabilité et de limitation des frais de transfert pour les fournisseurs de services cloud. L’Arcep reçoit de nouvelles missions pour réguler ces services et les prestataires d’intermédiation de données, qui devront se faire labelliser.

Une actualisation de la SREN envisageable
En définitive, la loi SREN apporte des avancées significatives dans la sécurisation de l’Internet, où la coopération entre régulateurs et acteurs du secteur du numérique sera cruciale pour lutter contre les contenus illicites et assurer la protection des mineurs, là où la LCEN avait pu poser les bases de la régulation de l’économie numérique en France. Toutefois, avec l’évolution rapide des technologies et des usages d’Internet, dont l’IA, une mise à jour s’imposerait pour répondre aux nouveaux défis du numérique. @

* Antoine Gravereaux est avocat associé chez FTPA Avocats, au
département « Technologies, Data & Cybersécurité »

Acteurs de l’IA, la Cnil vous adresse ses premières recommandations : à vous de jouer !

Publié le 13 mai 2024 par Charles de Laubier

La Commission nationale de l’informatique et des libertés (Cnil) a publié le 8 avril 2024 sept premières fiches « pour un usage de l’IA respectueux des données personnelles ». D’autres sont à venir. Ces règles du jeu, complexes, sont les bienvenues pour être en phase avec le RGPD et l’AI Act. Par Anne-Marie Pecoraro*, avocate associée, UGGC Avocats

L’intelligence artificielle (IA) conduit à questionner de manière plus exigeante et approfondie la protection des données personnelles. Les principes fondateurs du RGPD (1) doivent non seulement être pleinement rappelés et appliqués, mais ils doivent même l’être de manière plus dynamique et exigeante. Un exemple : des données qui auraient précédemment pu être considérées pseudonymisées ou même anonymisées, pourront faire l’objet de calculs et de recoupements massifs, qui pourraient aboutir à identifier à nouveau les personnes, grâce à l’utilisation de l’IA. Sept premières fiches pratiques L’entraînement des IA appelle des données personnelles comme l’image et la voix des personnes, d’une quantité sidérale sans précédent. Il appartient aux entreprises et organisations nationales et internationales de procéder à la mise en conformité avec l’AI Act, lequel a été adopté 13 mars 2024 par le Parlement européen (2). Parallèlement et le même jour en France, la commission de l’IA – installée depuis septembre 2023 auprès du Premier ministre – a remis au président de la République son rapport (3) qui recommande notamment un assouplissement des contraintes liées à l’utilisation, par l’IA, de données personnelles. Cette commission IA appelle à « transformer notre approche de la donnée personnelle pour protéger tout en facilitant l’innovation au service de nos besoins ». Le 8 avril 2024, c’était au tour de la Cnil de publier des fiches pratiques consacrées à la phase de développement des systèmes d’IA. L’autorité administrative indépendante accompagne les acteurs de l’IA depuis deux ans déjà, comme elle ne manque pas de le rappeler dans son dernier rapport annuel (4), à travers notamment la création d’un service dédié, la publication de ressources et webinaires, ainsi que l’établissement d’une feuille de route articulée autour de quatre piliers : appréhender, guider, fédérer et accompagner, auditer. Ces recommandations font suite à la consultation publique entreprise en octobre 2023, laquelle a réuni une quarantaine de contributions d’acteurs divers (5). Afin de présenter ces fiches pratiques (6), un webinaire a été organisé par la Cnil le 23 avril dernier. L’occasion pour celle-ci d’apporter ses derniers éclairages. Concernant le périmètre d’application, il convient premièrement de préciser que ces fiches pratiques n’ont vocation à s’intéresser qu’à la phase de développement de systèmes d’IA (conception de base de données, entraînement, apprentissage) impliquant un traitement de données personnelles pour les cas d’usage pour lesquels le RGPD est applicable (7). Celles-ci n’ont donc pas vocation à régir la phase dite de « déploiement » d’un système d’IA. Retenant la même définition des « systèmes d’IA » que l’AI Act, sont notamment concernés par ces recommandations : les systèmes fondés sur l’apprentissage automatique, ceux fondés sur la logique et les connaissances (moteurs d’inférence, bases de connaissance, systèmes experts, …), ou encore les systèmes hybrides. Afin d’aider les professionnels dans leur mise en conformité, la Cnil a défini, à travers sept fiches de recommandations, les bonnes pratiques à respecter sans que celles-ci soient toutefois contraignantes. Ces recommandations tiennent compte des dispositions de l’AI Act et ont vocation à les compléter. La Cnil profite de ces lignes directrices pour rappeler les principes fondamentaux (licéité, transparence, minimisation, exactitude, limitation de conservation des données, …) et obligations majeures découlant du RGPD inhérentes à tout traitement, en les précisant et les adaptant au mieux à l’objet traité : les systèmes d’IA. Si les recommandations qui suivent concernent majoritairement les responsables de traitement, les sous-traitants ne sont pas délaissés, repartant également avec leur lot de bonnes pratiques. Peuvent à ce titre être cités : un respect strict des instructions du responsable de traitement, la conclusion d’un contrat de sous-traitance conforme à la réglementation en matière de données personnelles ou encore, l’obligation de s’assurer de la sécurité des données sous-traitées (8). Apports majeurs des recommandations • Prenez soin de définir une finalité déterminée, explicite et légitime pour le traitement projeté. Deux situations sont clairement distinguées par la Cnil, selon que l’usage opérationnel en phase de déploiement du système d’IA est d’ores et déjà identifié, ou non, dès la phase de développement. Dans la première hypothèse, il est considéré que la finalité en phase de développement suivra celle poursuivie en phase de déploiement. De sorte que si celle-ci est suffisamment déterminée, explicite et légitime, alors la finalité en phase de développement le sera également. Dans la seconde hypothèse, et notamment en présence de systèmes d’IA à usage général, la Cnil insiste sur la nécessité de prévoir une finalité « conforme et détaillée ». Elle livre des exemples de finalités qu’elle considère, ou non conformes, précisant à ce titre que le simple « développement d’une IA générative » n’est pas une finalité conforme car jugée trop large et imprécise. Finalité conforme et responsabilités précises La méthode à suivre est alors révélée : une finalité ne sera conforme que si elle se réfère « cumulativement au“type” du système développé et aux fonctionnalités et capacités techniquement envisageables » (9). Le secteur de la recherche n’est bien sûr pas oublié. Une tolérance dans le degré de précision de l’objectif ou encore dans la spécification des finalités est évoquée, sans laisser de côté les éventuelles dérogations ou aménagements applicables. • Déterminez votre rôle et vos responsabilités : suis-je responsable de traitement, sous-traitant, ou encore responsableconjoint ? Le développement d’un système d’IA peut nécessiter l’intervention de plusieurs acteurs. Dès lors, identifier son rôle au sens du RGPD peut être parfois délicat et les éclairages de la Cnil sur la question sont les bienvenus. Pour rappel, le responsable de traitement est « la personne […] qui, seul ou conjointement détermine les objectifs et moyens du traitement » (10). Cette qualité emporte son lot d’obligations et de responsabilités, d’où la nécessité de la déterminer avec précision. Les acteurs pourront se référer à la fiche donnant des exemples d’analyse permettant d’identifier son rôle au cas par cas (11). • Effectuez un traitement licite et respectueux des principes fondamentaux. Un rappel des principes à respecter pour tout traitement ne mange pas de pain mais épargne bien des soucis en cas de contrôle. La Cnil s’attarde notamment sur l’obligation de choisir, parmi celles prévues par le RGPD, la base légale la plus adéquate au traitement projeté. Pour le développement de systèmes d’IA, elle explore cinq bases légales envisageables (12) : le consentement, l’intérêt légitime, l’obligation légale, la mission d’intérêt public ou encore le contrat. En cas de réutilisation de données, des vérifications seront à mener et, là encore, les recommandations de la Cnil différent selon l’hypothèse rencontrée et notamment en fonction de la source desdites données (données publiquement accessibles ou collectées par des tiers, …). A titre d’exemple, pour une réutilisation de données collectées par le fournisseur lui-même pour une finalité initiale différente, la Cnil impose, sous certaines conditions, un « test de comptabilité » (13) permettant de s’assurer que la finalité poursuivie est compatible avec la finalité initiale, et rappelle les obligations de fonder son traitement ultérieur sur une base légale valable sans oublier la nécessité d’informer les personnes concernées. Par ailleurs, la Cnil révèle les cas possibles de réutilisation de données collectées par des tiers, ainsi que les obligations qui incombent au tiers et ainsi qu’au réutilisateur de ces données. • Respectez les principes fondamentaux. Le gendarme des données insiste également sur la nécessité de respecter les principes fondamentaux. Ce respect doit s’imposer à tout stade du développement d’un système d’IA, dès sa conception « privacy by design » (14), mais également lors de la collecte et de la gestion des données (15). La Cnil s’attarde particulièrement sur le principe de minimisation, lequel impose de ne traiter que les données « adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités » (16) déterminées. Si la Cnil s’attache à soutenir que le respect de ce principe « n’empêche pas l’utilisation de larges bases de données » (17) et notamment de données publiquement accessibles (18), il implique nécessairement pour un responsable de traitement de repenser l’entraînement et la conception de ses systèmes d’IA en se posant concrètement les questions suivantes : « Les données utilisées et/ou collectées sont-elles vraiment utiles au développement du système souhaité ? Ma sélection est-elle pertinente ? Pourrais-je mettre en place une méthode à suivre plus respectueuse des droits et libertés des personnes concernées ? Si oui, par quels moyens techniques ? ». A titre de bonnes pratiques, la Cnil recommande d’ailleurs d’associer au développement du projet un comité éthique et de mener une étude pilote afin de s’assurer de la pertinence de ses choix en matière de conception d’un système d’IA (19). Par ailleurs et conformément au principe de limitation des données de conservation (20), les durées de conservation des données utilisées seront à déterminer préalablement au développement du système d’IA. La Cnil appelle, à ce titre, à consulter son guide pratique sur les durées de conservation (21). Ces durées devront faire l’objet de suivi, de sorte que les données qui ne seront plus nécessaires devront être supprimées. Le respect de ce principe ne s’oppose pas à ce que, sous certaines conditions, des données soient conservées pour des durées plus longues, notamment à des fins de maintenance ou d’amélioration du produit. Analyse d’impact (AIPD) nécessaire • Enfin, réalisez une analyse d’impact quand c’est nécessaire. L’analyse d’impact sur la protection des données (AIPD) permet d’évaluer et de recenser les risques d’un traitement en vue d’établir un plan d’action permettant de les réduire. Cette analyse AIPD (22) est, selon les cas, obligatoire ou bien fortement recommandée. A la lumière de la doctrine de la Cnil et de l’AI Act, les entreprises et organisations doivent à présent mettre en place leur mise en conformité, avec des points très réguliers. @

* Anne-Marie Pecoraro est avocate spécialisée en droit de la propriété intellectuelle, des médias et des technologies.

Edition Multimédi@

Economie numérique et Nouveaux médias

Archives par mot-clé : Cnil