Data Act et AI Act, ou l’art de ménager la chèvre (innovation) et le chou (droits individuels)

Le Data Act et l’AI Act ont un objectif commun : tirer profit des opportunités offertes par les données, qu’elles soient issues d’objets connectés pour le premier, ou de modèles d’intelligence artificielle pour le second, tout en protégeant les droits des individus contre les dérives.

Par Anne-Marie Pecoraro*, avocate associée, UGGC Avocats

Les premiers mois de l’année 2024 ont été marqués par des développements substantiels sur le plan réglementaire concernant les données en Europe, développements à la lumière desquels le règlement général sur la protection des données (RGPD) est pensé de manière dynamique. Avec deux autres règlements que sont le Data Act (déjà en vigueur) et le AI Act (toujours en cours d’examen), l’Union européenne (UE) tente de préserver cet élan innovateur tout en assurant une protection efficace des droits individuels.

Socle solide de règles sur les données
Adoption du Data Act :
le 11 janvier 2024, le Conseil de l’UE a adopté le règlement portant sur des règles harmonisées en matière d’accès et d’utilisation équitables des données. Le texte vise à « relever les défis et à libérer les opportunités offertes par les données dans l’[UE], en mettant l’accent sur l’accès équitable et les droits des utilisateurs, tout en assurant la protection des données à caractère personnel » (1). Il s’inscrit dans une stratégie européenne pour les données afin de créer un marché unique des données garantissant la compétitivité et la souveraineté de l’Europe.
Projet d’AI Act : le 2 février 2024, le Conseil de l’UE a adopté à l’unanimité la proposition de règlement du Parlement européen et du Conseil de l’UE établissant des règles harmonisées concernant l’intelligence artificielle, texte pour lequel un accord avait été trouvé dès décembre 2023 (2). Ce texte est pour le moment d’une ambition unique au monde. Le Data Act et prochainement l’AI Act prendront donc place aux côtés du Digital Services Act (entré en vigueur le 25 août 2023 dans le but de responsabiliser les plateformes numériques et de lutter contre la diffusion de contenus illicites ou préjudiciables ou de produits illégaux), du Digital Markets Act (entré en vigueur le 2 mai 2023 et visant à mieux encadrer les activités économiques des grandes plateformes numériques) et du RGPD (entré en application le 25 mai 2018 dans le but de protéger les droits des personnes concernées par un traitement de leurs données personnelles).
A eux cinq, ces règlements européens forment les principaux piliers de la régulation des plateformes et données en Europe. Un sixième texte, le Digital Governance Act, entré en vigueur le 23 juin 2022, concerne également les données, en traitant principalement du secteur public. Il s’agit de réglementer par-delà les frontières en s’appliquant aussi à l’international. Cette réglementation, devenue cruciale pour rechercher un usage éthique, transparent et équitable des données traitées massivement, demeurera exceptionnelle en ce qu’elle s’érige à un échelon européen et transnational capable d’atteindre des entreprises de toutes tailles, y compris les plus grandes, installées hors d’Europe. L’article 3 du Data Act prévoit que le règlement s’applique dès qu’un produit connecté ou un service connexe est mis à disposition sur le territoire de l’UE et/ou qu’un utilisateur ou destinataire de données sont situés dans les Vingt-sept. Et ce, quel que soit le lieu d’établissement du détenteur de données ou du fournisseur de services de traitement de données.
De la même manière, l’article 2 de l’AI Act prévoit que le règlement s’appliquera dès qu’un système d’IA sera mis sur le marché de l’UE ou qu’un utilisateur de système d’IA est établi ou est localisé sur le territoire des Vingt-sept, ou encore que le contenu généré par l’IA est utilisé au sein de l’UE. Le but est de ne pas favoriser les acteurs non européens au détriment des entreprises locales. Il s’agit donc, comme pour le RGPD, d’assurer une protection efficace des citoyens européens sans entraver la compétitivité des entreprises européennes. Les textes cherchent aussi à ne pas décourager les entreprises européennes à innover, en ayant notamment pour effet d’imposer de manière extraterritoriale, même aux plus grandes entreprises internationales, des obligations. Les Gafam ont mis en avant les risques liés notamment au AI Act, la mise en conformité entraînant des coûts importants.

Transparence et secret des affaires : équilibre
Un enjeu du Data Act et de l’AI Act est de trouver un équilibre entre la transparence dans le traitement des données et la préservation du secret des affaires, afin de ne pas freiner l’innovation :
• Le Data Act : la maîtrise par l’utilisateur de ses données limitée par le secret des affaires. L’article 3 du Data Act prévoit l’obligation pour les entreprises concevant et fabriquant des objets connectés et des services connexes de rendre, par défaut, les données et métadonnées générées par ces objets et/ou services connexes facilement accessibles à l’utilisateur, voire lorsque cela est « pertinent et techniquement possible » directement accessibles à l’utilisateur par une simple demande électronique. A ce sujet, l’article 3.2 du Data Act prévoit qu’un certain nombre d’informations précontractuelles doivent être délivrées par le vendeur, le loueur ou le bailleur d’objets connectés « de manière claire et compréhensible ». Ces informations sont notamment relatives au type, format et volume estimé de données générées par l’objet en question ou encore à la capacité de l’objet de générer des données en continu et en temps réel (3). Aussi, l’article 5 du Data Act prévoit le droit pour l’utilisateur de partager des données avec des tiers.

Les obligations du détenteur de données
Cependant, afin d’assurer la compétitivité des entreprises en Europe, le texte prévoit, que ce soit au sujet du droit d’accès ou du droit de partage des données par l’utilisateur à des tiers, le respect du secret des affaires par lequel seraient protégées certaines données. Le détenteur de la donnée a ainsi l’obligation de recenser les données ou métadonnées protégées en tant que secret des affaires et de mettre en place des « mesures techniques et organisationnelles proportionnées » nécessaires à la préservation de la confidentialité des données partagées. Le texte prévoit notamment la possibilité d’élaboration de clauses de confidentialité entre le détenteur de données et l’utilisateur et/ou le tiers, ou encore l’adoption de « codes de conduite ».
A défaut d’accord ou si l’utilisateur ou le tiers contrevient aux mesures convenues avec le détenteur du secret des affaires, le détenteur de données peut bloquer ou suspendre le partage des données confidentielles. Il devra alors avertir l’utilisateur ou le tiers concerné et le notifier à l’autorité compétente. De surcroît, même si l’utilisateur ou le tiers respecte les mesures convenues avec le détenteur de données, ce dernier peut démontrer « qu’il est très probable qu’il subisse un préjudice économique grave du fait de la divulgation de secrets d’affaires » et ainsi refuser une demande d’accès pour les données en question en avertissant et en expliquant les raisons précises de sa décision et en le notifiant à l’autorité compétente. La décision du détenteur de données est toutefois susceptible de recours par l’utilisateur ou le tiers devant une juridiction d’un Etat membre et peut aussi être l’objet d’une réclamation auprès de l’autorité compétente. Enfin, l’utilisateur ou le tiers ont l’interdiction de se servir des données obtenues pour concurrencer le produit connecté en question.
L’AI Act : la « synthèse suffisamment détaillée » des données d’entraînement au cœur des interrogations. L’AI Act réalisera en substance le même compromis que le Data Act en ce qui concerne les données d’entraînement qui sont utilisées par les IA pour générer du contenu (4). En effet, le texte prévoit que les fournisseurs d’IA à usage général devront prendre des mesures pour respecter le droit d’auteur, en particulier le droit d’opposition des ayants droit, peu importe la juridiction où l’entraînement a lieu. Ces mêmes fournisseurs devront également, afin d’accroître la transparence sur les données d’entrainement, publier une « synthèse suffisamment détaillée » de ces données. Cette synthèse devra être globalement exhaustive dans sa portée plutôt que techniquement détaillée afin de faciliter aux parties ayant des intérêts légitimes, notamment les ayants-droits, l’exercice de leurs droits. Le texte donne simplement de vagues exemples d’informations fournies au titre de la synthèse détaillée, comme l’énumération des principales collections de données ou les ensembles utilisés pour former le modèle. Les fournisseurs de modèles d’IA gratuits et open source seront exemptés de cette obligation sauf s’ils présent un risque systémique, afin d’inciter leur développement dans la mesure où ils contribuent à la recherche à l’innovation sur le marché et peuvent être des sources de croissance importante pour l’économie de l’UE. Le « Bureau de l’IA » – « AI Office » tel que prévu dans la version consolidée de l’AI Act (5) datée du 21 janvier (6) – devrait entrer en vigueur le 21 février 2024 (7). Il fournira des modèles de synthèses à destination des fournisseurs d’IA concernés et veillera au respect de ces dispositions. La Commission européenne a d’ailleurs, dans une déclaration (8) publiée après l’adoption du texte, réaffirmé le rôle primordial du Bureau de l’IA dans la nouvelle réglementation et dans lequel la France a bien l’intention d’être représentée afin de faire entendre sa voix (9).
Cependant, afin de préserver l’innovation d’une règlementation trop encombrante, l’AI Act prévoit que les rédacteurs de cette synthèse suffisamment détaillée devront prendre en considération le besoin de protéger le secret des affaires et les informations confidentielles. Attention toutefois, à la différence du Data Act, cette mention figure dans les considérants et non pas dans le corps du texte du règlement.
Le Data Act a été pensé pour favoriser l’accès par les petites et moyennes entreprises (PME) à des données pertinentes et leur permettre ainsi d’innover et de rivaliser face à de grandes entreprises qui possèdent déjà une puissance économique considérable sur le marché. C’est précisément pour cette raison que le texte a exclu les entreprises désignées en tant que « contrôleur d’accès » au sens de l’article 3 du DMA (10) du bénéfice de la désignation en tant que « tiers »au sens du Data Act et donc de l’accès aux données issues d’objets connectés et services connexes par le biais du droit de partage de l’utilisateur.

Ménager les PME, éviter les monopoles
Concernant l’AI Act, la Commission européenne a lancé le 24 janvier 2024 des mesures visant à soutenir les jeunes pousses et les PME européennes dans le développement de l’IA (11). Cette volonté se retrouve donc logiquement dans le texte de l’AI Act dont les rédacteurs ont souhaité accélérer l’accès au marché pour les PME en éliminant les obstacles. Le texte entend ainsi permettre des moyens simplifiés de conformité pour les entreprises de plus petite taille et éviter un monopole des plus grandes entreprises dotées d’une grande force de frappe, comme OpenAI. @

* Anne-Marie Pecoraro est avocate spécialisée en droit de la
propriété intellectuelle, des médias et des technologies

De l’image détournée par l’IA aux deepfakes vidéo, la protection du droit à l’image en prend un coup

La manipulation d’images par l’intelligence artificielle, poussée jusqu’aux hypertrucages vidéo (deepfakes), n’épargne potentiellement personne. Angèle, Scarlett Johansson, Volodymyr Zelensky et bien autres en font les frais. Reste à savoir si le droit à l’image sera garanti par l’AI Act européen.

Par Véronique Dahan, avocate associée, et Jérémie Leroy-Ringuet, avocat, Joffe & Associés*

L’intelligence artificielle (IA) représente un défi désormais bien connu en matière de droit d’auteur (1). Mais de nouveaux enjeux se dessinent également en termes de droit à l’image, un des composants du droit au respect de la vie privée. Voyons ce qu’il en est sur ce point, à l’aube de l’adoption de l’AI Act (2). Malgré une entrée tardive dans le droit positif français (3), le droit au respect de la vie privée est un pilier des droits de la personnalité. Le droit à l’image, qui protège le droit de s’opposer à sa reproduction par des tiers (4) en fait également partie.

L’image inclut le physique et la voix
Parmi les composantes de l’image figurent non seulement l’aspect physique mais aussi, notamment, la voix. Le tribunal de grande instance de Paris avait ainsi considéré, en 1982, lors d’un procès relatif à des enregistrements de Maria Callas, que « la voix est un attribut de la personnalité, une sorte d’image sonore dont la diffusion sans autorisation expresse et spéciale est fautive ». Or, de même que les outils de l’IA utilisent des œuvres protégées et s’exposent à des risques de contrefaçon, leur utilisation peut consister à reproduire l’image ou la voix de personnes existantes ou décédées, par exemple en réalisant la fausse interview d’une personne défunte ou en faisant tenir à une personnalité politique un discours à l’encontre des opinions qu’elle défend. Ces usages sont-ils licites ?
Quels sont les droits des personnes concernées ? Les exemples ne manquent pas. A l’été 2023, un beatmaker (compositeur de rythmiques) nancéen, nommé Lnkhey, a remixé au moyen de l’IA une chanson des rappeurs Heuss l’Enfoiré et Gazo avec la voix de la chanteuse Angèle, dont les œuvres sont bien évidemment très éloignées de celles de ces rappeurs. Le remix (5) a eu un succès tel qu’Angèle l’a elle-même repris en public lors de la Fête de l’Humanité en septembre 2023. La même année, l’éditeur d’une application (Lisa AI) a utilisé la voix de l’actrice Scarlett Johansson dans un spot publicitaire. La publicité précisait avoir été créée par un procédé d’intelligence artificielle. Scarlett Johansson a annoncé avoir porté plainte. Le même type de mésaventure est arrivé, entre autres, à Tom Hanks et Bruce Willis. D’autres images ont aussi fait le tour du monde : celles du Pape François en doudoune blanche, d’Emmanuel Macron manifestant dans les rues de Paris, ou de Barack Obama et Angela Merkel construisant un château de sable ou tendrement enlacés à la plage. Les images de nombreuses stars de cinéma ont même été réutilisées en mars 2023 dans des vidéos à caractère pornographique diffusées sur les réseaux sociaux pour la promotion de Face Mega, un logiciel de « deepfakes », ces « hypertrucages » vidéo. Une autre vidéo diffusée sur la chaîne d’informations Ukraine 24 a montré Volodymyr Zelensky tenant un discours en faveur de la reddition du pays.
Ces différents exemples sont intéressants à rapprocher car ils montrent que l’usage de l’image d’une personnalité peut : être totalement inoffensif, voire relever de la liberté d’expression ; être approuvés implicitement ou explicitement par la « victime » ; ou porter une atteinte grave à la victime, voire présenter un danger pour la démocratie. Les photographies de Barack Obama et d’Angela Merkel sont humoristiques et ne portent aucun tort aux intéressés. Elles pourraient relever de la parodie ou de la satire légitime appliquées à des dirigeants politiques, dès lors que les images sont clairement identifiées comme ayant été créées par IA. La reprise par Angèle elle-même, en concert, de la chanson créée avec sa voix et sans son autorisation peut faire penser qu’elle aurait avalisé a posteriori cette atteinte à ses droits. Mais les propos qu’elle a tenus par ailleurs dénotent une certaine gêne et une pression pesant sur elle : « Et pourquoi je ne ferais pas ce que les gens me demandent depuis des semaines ? » ; « Je sais pas quoi penser de l’intelligence artificielle. J’trouve que c’est une dinguerie mais en même temps j’ai peur pour mon métier » (6). Il est en tout cas significatif qu’elle ait préféré « surfer » sur le succès du remix plutôt que de faire valoir judiciairement une atteinte à son droit à l’image, comme le droit français lui en donne la possibilité.

En cas d’avantage économique indu
C’est une attitude différente qu’a choisie Scarlett Johansson. La violation de son image par la reprise de sa voix dans un cadre commercial, et non artistique, est en effet moins « excusable » dans la mesure où les célébrités monnayent fréquemment l’utilisation de leur image et de leur voix par des marques, et sont en droit de refuser d’être associées à tel ou tel annonceur, même de manière rémunérée. Utiliser la voix de Scarlett Johansson sans autorisation n’est motivé par aucune prétention artistique ou satirique, mais par la volonté de profiter de sa notoriété pour en tirer un avantage économique indu. Le droit français offre, bien sûr, des fondements (articles 9 et 1240 du code civil) pour faire sanctionner ce type d’atteinte.

Code pénal durci contre les deepfakes ?
La France dispose également, depuis 1994, d’un texte qui condamne d’un an d’emprisonnement et de 15.000 euros d’amende « le montage réalisé avec les paroles ou l’image d’une personne sans son consentement, s’il n’apparaît pas à l’évidence qu’il s’agit d’un montage ou s’il n’en est pas expressément fait mention » (article 226-8 du code pénal). Pour que ce texte couvre mieux les deepfakes, il a fait l’objet d’un amendement du gouvernement adopté au Sénat (7) et modifié par un autre amendement toujours discuté à l’Assemblée nationale (8) dans le cadre du projet de loi visant à sécuriser et réguler l’espace numérique (9). Le projet prévoit qu’« est assimilé à l’infraction mentionnée au présent alinéa et puni des mêmes peines le fait de porter à la connaissance du public ou d’un tiers, par quelque voie que ce soit, un contenu visuel ou sonore généré par un traitement algorithmique et représentant l’image ou les paroles d’une personne, sans son consentement, s’il n’apparaît pas à l’évidence qu’il s’agit d’un contenu généré algorithmiquement ou s’il n’en est pas expressément fait mention » (10). Une circonstance aggravante serait caractérisée lorsque le contenu deepfake est publié sur les réseaux sociaux (ou tout service de communication en ligne) : en ce cas, les peines pourraient être portées à deux ans d’emprisonnement et 45.000 euros d’amende.
A aussi été proposée l’introduction d’un nouvel article 226- 8-1 dans le code pénal, permettant la condamnation de la diffusion non consentie d’un hypertrucage à caractère sexuel, assortie d’une peine de deux ans d’emprisonnement et de 60.000 euros d’amende (article 5 ter du projet de loi). Quid cette fois de l’image « ressuscitée » de personnes décédées ? L’émission de télévision « L’Hôtel du Temps » diffusée sur France 3 a « ressuscité » différentes personnalités (Dalida, François Mitterrand ou encore Lady Di) grâce à des procédés d’IA tels que Face Retriever et Voice Cloning. Ces « résurrections » ont suscité de vifs débats : la personne dont on reproduit l’image et la voix aurait-elle réellement tenu ces propos ? Les héritiers disposent-ils de recours et d’un droit de regard sur les réponses de leurs ascendants ? Les archives utilisées aux fins de création de deepfakes sont-elles toutes utilisées légalement ? Une « démocratisation » de cette pratique semble se dessiner. Lors de sa conférence « re:Mars » (11) du 22 juin 2022, Amazon avait annoncé une nouvelle fonctionnalité d’IA dont serait dotée son logiciel Alexa, à savoir la capacité de reproduire la parole d’un défunt, à partir d’un très court extrait d’enregistrement de sa voix, ce qui pourrait aider les personnes survivantes à faire leur deuil. Mais dans le cas d’un usage non sollicité par les survivants, le fondement de l’article 9 du code civil n’est pas disponible car les droits de la personnalité sont intransmissibles aux héritiers. Ces derniers ne pourraient guère que se prévaloir d’un préjudice personnel résultant de l’atteinte à la mémoire d’un défunt. Par exemple, l’utilisation de l’image du défunt ne doit pas porter atteinte à la vie privée de ses héritiers.
Que prévoit alors le projet d’AI Act européen pour protéger les droits de la personnalité ? En avril 2021, la Commission européenne a proposé d’encadrer l’IA juridiquement. Ce n’est que le 9 décembre 2023 que les institutions européennes se sont accordées provisoirement sur un premier texte. Ce texte prévoit notamment une quasiinterdiction de pratiques présentant un « risque inacceptable », notamment en matière de droit à l’image et de protection des données personnelles : extractions non ciblées d’images faciales sur Internet à des fins de création de bases de données de reconnaissance faciale, systèmes de reconnaissance des émotions sur le lieu de travail ou d’études, ou encore systèmes de catégorisation biométrique. Le projet prévoit également que « les utilisateurs d’un système d’IA, qui génère ou manipule des images ou des contenus audio ou vidéo présentant une ressemblance avec des personnes, des objets, des lieux ou d’autres entités ou événements existants et pouvant être perçus à tort comme authentiques ou véridiques (“hypertrucage”), précisent que les contenus ont été générés ou manipulés artificiellement » (article 52). La difficulté est que le processus législatif ne progresse pas aussi rapidement que les outils d’IA et qu’il existe un risque d’obsolescence avant même l’adoption du texte final. D’autre part, la négociation a révélé des tensions non dissipées entre Etats membres.

Emmanuel Macron veut assouplir l’AI Act
Ainsi, Emmanuel Macron a plaidé lundi 11 décembre 2023, lors du premier bilan du plan d’investissement France 2030, en faveur d’une accélération de l’innovation, en affirmant que l’« on peut décider de réguler beaucoup plus vite et plus fort, mais on régulera ce qu’on n’inventera pas ». La France, dont la position consistant à faire primer l’innovation sur le droit d’auteur et sur la protection des droits humains est inhabituelle, est allée jusqu’à considérer que le projet sur lequel les institutions européennes se sont accordées n’était pas définitif et pourrait encore être amendé dans le sens de moins de régulation (12). @

* Article rédigé avec l’aide de Bérénice Leg.

Pour la protection de leurs œuvres, les auteurs ont un droit d’opt-out, mais est-il efficace ?

Les IA génératives sont voraces et insatiables : elles ingurgitent de grandes quantités de données pour s’améliorer sans cesse. Problème : les ChatGPT, Midjourney et autres Bard utilisent des œuvres protégées sans avoir toujours l’autorisation. Pour les auteurs, l’opt-out est une solution insuffisante.

Par Anne-Marie Pecoraro*, avocate associée, UGGC Avocats

L’utilisation de l’intelligence artificielle (IA) dans les domaines artistiques tend à révolutionner la manière dont nous analysons, créons et utilisons les œuvres cinématographiques, littéraires ou encore musicales. Si, dans un premier temps, on a pu y voir un moyen presque anecdotique de créer une œuvre à partir des souhaits d’un utilisateur ayant accès à une IA, elle inquiète désormais les artistes.

Des œuvres utilisées comme inputs
Les algorithmes et les AI peuvent être des outils très efficaces, à condition qu’ils soient bien conçus et entraînés. Ils sont par conséquent très fortement dépendants des données qui leur sont fournies. On appelle ces données d’entraînement des « inputs », utilisées par les IA génératives pour créer des « outputs ». Malgré ses promesses, l’IA représente cependant un danger pour les ayants droit, dont les œuvres sont intégrées comme données d’entraînement. A titre d’exemple, la version 3.5 de ChatGPT a été alimentée avec environ 45 téraoctets de données textuelles. On peut alors se poser la question de la protection des œuvres utilisées comme inputs : l’ayant droit peut-il s’opposer ? La législation a prévu un droit d’« opt-out », que peuvent exercer les auteurs pour s’opposer à l’utilisation de leurs œuvres par une IA. A travers le monde, l’IA est encore peu règlementée.
Aux Etats Unis, il n’existe pas encore de lois dédiées portant spécifiquement sur l’IA, mais de plus en plus de décisions font office de « guidelines ». Au sein de l’Union européenne (UE), l’utilisation croissante de l’IA, à des fins de plus en plus variées et stratégiques, a conduit à faire de son encadrement une priorité. En effet, dans le cadre de sa stratégie numérique, l’UE a mis en chantier l’ « AI Act », un projet de règlement (1) visant à encadrer « l’usage et la commercialisation des intelligences artificielles au sein de l’UE » qui a été voté le 14 juin 2023 par le Parlement européen (2). Son adoption est prévue pour fin 2023 ou début 2024, avec une mise application 18 à 24 mois après son entrée en vigueur. A travers ce texte, le principal objectif du Parlement européen est d’établir un cadre juridique uniforme permettant l’innovation via l’IA, et de garantir que les systèmes d’intelligence artificielle utilisés dans l’UE soient sécurisés, transparents, traçables, non discriminatoires et respectueux de l’environnement. Au niveau national, l’encadrement de l’IA fait également couler beaucoup d’encre comme en témoigne, en France, la proposition de loi visant à encadrer l’intelligence artificielle par le droit d’auteur (3), déposée mi-septembre 2023. Trouver un équilibre entre deux objectifs – à savoir la protection des œuvres par le droit d’auteur et la libre utilisation des données nécessaire au bon fonctionnement des IA – constitue le but que cherche à atteindre l’UE, notamment à travers sa directive « Droit d’auteur dans le marché unique numérique » (4) de 2019, où elle établit un cadre qui permet aux IA de se développer – droit de fouilles de données – tout en offrant un contrôle aux auteurs sur leurs données – droit d’opt-out. Mais ce dernier droit suffit il à assurer la protection des œuvres ?
L’article 4 de cette directive dédiée au droit d’auteur permet les reproductions et les extractions d’objets protégés accessibles de manière licite, aux fins de la fouille de textes et de données, ou TDM (5). Elle permet la fouille de textes et de données tout en recherchant « un équilibre entre deux éléments : protéger les droits, et faciliter l’exploration de textes et de données ». En effet, la directive prévoit en son article 3 les fouilles de données dans un but scientifique tandis que l’article 4 prévoit la fouille effectuée par toute autre personne, peu importe la finalité. A la différence de l’article 3, l’article 4 prévoit une exception permettant aux auteurs de s’opposer à la fouille de données prévue dans ce même article : le droit d’opt-out (6). Précisons que les données utilisées peuvent être « conservées aussi longtemps que nécessaire aux fins de la fouille de textes et de données » (7).

Plaintes contre les IA « non autorisées »
On connaît le cas de Radio France qui a interdit l’accès d’OpenAI – la société californienne à l’origine de ChatGPT – à ses contenus, suivi par d’autres médias tels que France Médias Monde ou TF1. L’écrivain américain de science-fiction et de fantasy George R.R Martin, ainsi que d’autres auteurs tels que John Grisham, ont également porté plainte contre OpenAI pour avoir utilisé leurs œuvres pour se développer. Plus récemment, entre autres cas, la Sacem a utilisé ce droit afin de conditionner l’utilisation des données de ses membres par une IA à une « autorisation préalable et à une négociation financière » (8). Quant à la transposition de la directive « Droit d’auteur » de 2019 en droit français par une ordonnance de 2021 (9), elle rend l’exercice du droit d’opt-out plus restrictif. En effet, l’article L. 122-5-3 du code de la propriété intellectuelle (CPI) réserve ce droit aux auteurs alors que la directive ouvre ce droit aux ayants droits.

L’opt-out est-il efficace pour protéger ?
La propriété littéraire et artistique peut-elle protéger contre l’utilisation des données par les IA ? Il y a tout d’abord les difficultés de mise en œuvre du droit d’opt-out. La directive « Droit d’auteur » de 2019 a été votée à une époque où le législateur ne mesurait pas encore pleinement l’importance qu’allait prendre l’IA, et le système d’opt-out semble désormais insuffisant pour protéger les auteurs car il est difficile à appliquer. Tout d’abord, il existe une insuffisance d’information relative aux moyens d’exercer ce droit. Ensuite, Internet permet une multiplication des occurrences d’un même contenu en ligne, donc exercer son droit d’opt-out, alors que l’œuvre a déjà été diffusée et relayée par des internautes, semble inefficace. De surcroît, il a été mis en place en 2019, après qu’un nombre gigantesque d’œuvres aient déjà été rendues accessibles sur de nombreuses bases de données. Se pose donc la question du sort des œuvres qui ont déjà été utilisées précédemment par autrui ou par une IA pour générer un autre élément. Le droit d’opt-out n’a-t-il d’effet que sur les utilisations futures ?
Devant la difficulté d’exercer ce droit, certains acteurs tentent de mettre en place des solutions pour pallier ce problème, notamment en assurant une meilleure transparence quant au fonctionnement de l’IA. Google, par exemple, a mis en avant « Google-Extended » pour permettre aux auteurs d’avoir un meilleur contrôle sur leur contenu et sur la manière dont il pourrait être utilisé par des IA génératives (10). Il faut aussi sécuriser les droits d’auteur dans l’ère de l’intelligence artificielle : discernement, transparence, contreparties, protections de l’humain, … Les artistes et ayants droit réclament un droit d’accès leur permettant de savoir quelles œuvres et quelles données sont utilisées dans la fouille de données. Et ce, quand bien même ils auraient consenti à l’utilisation de certaines de leurs œuvres – leur autorisation ne couvrant pas nécessairement toutes leurs œuvres ni tous les systèmes d’IA. Dans le cas où ils se seraient opposés, ce dispositif d’information leur permettrait aussi de s’assurer qu’une autorisation n’a pas été accordée indûment par des tiers. La plupart des ayants droit estiment que, dans la mesure où le fonctionnement des algorithmes d’IA implique une reproduction d’objets protégés, « l’humain doit rester prioritaire et la titularité des droits doit revenir en priorité aux humains » (11). C’est d’ailleurs dans cette logique que s’est inscrite la table ronde de la Federal Trade Commission (FTC) sur l’« économie créative et les IA génératives » (12), organisée le 4 octobre 2023 pour que le législateur américain et les différentes autorités compétentes prennent en considération, dans leur mission de régulation, le point de vue des artistes, auteurs, compositeurs, réalisateurs et de toute personne dont les œuvres pourraient être utilisées par une IA générative.
Des syndicats américains tels que SAG-AFTRA ou WGA, rassemblant des centaines de milliers d’acteurs et de professionnels des médias, étaient présents lors de cette table ronde pour défendre une utilisation de l’IA saine, qui soit bénéfique à l’ensemble de leurs membres, aux travailleurs d’autres industries et au public en général. Pour s’assurer que l’ensemble des individus de cette industrie soient justement payés pour leur travail, plusieurs syndicats n’ont pas hésité à faire une grève générale de plusieurs mois à Hollywood (13) pour s’assurer du bon équilibre entre l’utilisation des IA génératives et les intérêts des individus car « les humains ont beau essayer de créer des IA de plus en plus intelligentes, elles ne remplaceront jamais la créativité humaine ». La grève – historique – a d’ailleurs porter ses fruits dans la mesure où elle a abouti sur un accord qui « permettra de construire des carrières de façon durable ». Outre des compensations financières obtenues des studios, le SAG-AFTRA affirme qu’ils ont négocié des « provisions sans précédent pour s’assurer du consentement et de la compensation [des acteurs], afin de protéger [ses] membres de la menace de l’IA » (15). @

* Anne-Marie Pecoraro est avocate spécialisée
en droit de la propriété intellectuelle,
des médias et des technologies numériques.

ZOOM

L’IA générative : quésaco ?
ChatGPT, Dall-E, Midjourney, Bard, Claude, … On connaît des exemples d’intelligence artificielle générative qui produisent de nouvelles données à partir de celles créées par des êtres humains, que ce soit sous forme de texte, d’images ou encore de musique. L’IA générative se concentre sur la création de données, de contenu ou de productions artistiques, de façon indépendante, tandis que l’IA classique se concentre, elle, sur des tâches spécifiques telles que la classification, la prédiction ou la résolution de problèmes. L’IA, qu’elle soit générative ou classique, repose sur l’apprentissage automatique (machine learning) et donc sur des algorithmes conçus de sorte que leur comportement évolue dans le temps en fonction des données qui leur sont fournies. L’IA générative utilise la puissance d’un modèle de langage naturel (GPT-3 et GPT-4 pour ChatGPT, par exemple). On parle d’« invite » pour une simple instruction donnée à l’IA générative en langage naturel (texte ou voix), sinon d’« ingénierie rapide » (prompt engineering, en anglais) lorsque les demandes sont plus élaborées. @

En Europe : les 5 ans du marché unique numérique

En fait. Le 6 mai, il y a 5 ans, le marché unique numérique – Digital Single Market (DSM) – était lancé par la Commission européenne, dont l’ancien président Jean-Claude Juncker avait fait l’une de ses priorités. Entre mai 2010 et mai 2020, des e-frontières sont tombées et des silos ont été cassés.

En clair. C’est Jean-Claude Juncker – alors au début de son mandat de président de la Commission européenne – qui avait fixé l’objectif ambitieux du marché unique numérique au sein des Vingt-huit (aujourd’hui Vingt-sept) : « Nous devons tirer un bien meilleur parti (…) des technologies numériques qui ne connaissent aucune frontière. Pour cela, nous devrons avoir le courage de briser les barrières nationales en matière de réglementation des télécommunications, de droit d’auteur et de protection des données, ainsi qu’en matière de gestion des ondes radio et d’application du droit de la concurrence », avait-il prévenu dans sa communication du 6 mai 2010 sur « la stratégie pour un marché unique numérique en Europe » (1).
Le Luxembourgeois l’avait aussi exprimé mot pour mot dans chacune des lettres de mission remises aux deux principaux commissaires européennes concernés de l’époque, Andrus Ansip et Günther Oettinger (2). Ce projet de Digital Single Market (DSM) avait été conçu un an auparavant – sous la présidence de José Manuel Barroso – par la commissaire européenne qui était chargée de la Société de l’information et des Médias, Viviane Reding, avec son homologue à la Concurrence, Neelie Kroes, devenue par la suite vice-présidente, en charge de la Société numérique. Le 19 mai 2010, l’exécutif européen publiait son plan d’action quinquennal (2010-2015) pour une « stratégie numérique », dont les deux premières mesures consistaient à créer un « marché unique numérique » et à réformer « le droit d’auteur et les droits voisins » (3). Ce programme s’inscrivait dans le cadre la stratégie « Europe 2020 » (4) lancée en mars 2010 en remplacement de celle de Lisbonne. Les mondes de la culture et de leurs ayants-droits – particulièrement en France – se sont arc-boutés sur leur « exception culturelle ».
Finalement, en 2020, nous y sommes : outre la fin des frais d’itinérance de roaming mobile en 2017, l’Europe s’est dotée : en 2019 d’une directive sur le droit d’auteur « dans le marché unique numérique » (5), en 2018 d’une directive sur les « services de médias audiovisuel » (SMAd), en 2018 aussi d’un règlement mettant fin au géo-blocage (hors audiovisuel), en 2017 d’un règlement sur « la portabilité transfrontalière des services de contenu en ligne » (audiovisuel compris), sans oublier le RGPD (6) applicable depuis deux ans maintenant. Prochaine étape sensible : le DSA, Digital Services Act (7). @

Avec le « RGPD » californien, les GAFAM garderont le pouvoir en 2020 sur les données personnelles

Le partage des données des consommateurs avec les entreprises s’est généralisé en dix ans. Or le droit californien n’avait pas suivi cette évolution, laissant aux entreprises de la Silicon Valley la liberté d’exploiter la vie privée des individus sans contrainte. Ce que change partiellement le CCPA.

Dans le sillage du règlement général sur la protection des données (RGPD), le California Consumer Privacy Act (CCPA) est entré en vigueur le 1er janvier 2020. Cette loi applicable dans l’Etat américain le plus peuplé des Cinquante vient renforcer le contrôle des consommateurs californiens sur leurs données personnelles en leur octroyant de nouveaux droits. Et ce, afin de leur permettre de reprendre le contrôle de leurs vies privées.

Droit local d’inspiration populaire
A la suite du scandale Cambridge Analytica et de la fuite massive de données d’Equifax, concernant 143 millions de personnes, soit près de la moitié de la population américaine (1), a été formulée en 2018 une proposition de loi d’initiative populaire visant à protéger les données personnelles des Américains. Deux militants pour la protection de la vie privée, issus de la société civile, l’homme d’affaires Alastair Mactaggart et une juriste spécialiste de droit à la protection de la vie privée, Mary Stone Ross, ont rédigé dès 2017 un projet de loi sous le nom de California Consumer Privacy Act (CCPA) soumis aux électeurs californiens par la voie pétitionnaire (2). Le droit californien permet en effet aux citoyens de cet Etat de faire adopter des textes législatifs ou de provoquer un référendum au niveau local en recueillant 366.000 signatures. Le CCPA a recueilli 600.000 signatures, révélant par là une véritable volonté des Californiens de reprendre le contrôle de leurs vies privées et d’empêcher les intrusions répétées des GAFAM dont ils ont été victimes ces dernières années.
Mise sous pression, la Silicon Valley – dont la collecte des données personnelles est le fer de lance de son modèle économique – a milité auprès des chambres législatives californiennes pour que ces dernières concluent un accord avec les promoteurs du texte et que soit évité un référendum. Le 28 juin 2018, et après moins d’une semaine de débat, la loi initialement proposée a alors été adoptée par le législateur californien sous une version plus timorée que le projet initial. Le texte continue cependant à se heurter à la résistance des entreprises de nouvelles technologies qui militent pour l’adoption d’un texte fédéral moins contraignant. En effet, des lois prises par le Congrès à Washington s’imposeraient sur le droit des Etats fédérés et empêcheraient le CCAP de s’appliquer. Dans le sillage du CCPA, d’autres projets de loi se sont faits jour au niveau fédéral visant à réglementer la collecte des données personnelles des citoyens américains. Certaines propositions sont spécifiques et visent uniquement les données transmises via les réseaux sociaux. D’autres projets sont plus ambitieux dans leur champ d’application et cherchent à imposer un traitement loyal, équitable et non discriminatoire aux responsables de traitements, à l’instar du RGPD. Si aucun de ces projets n’a l’ambition portée par le texte européen, ils s’en inspirent dans la forme et constitueraient néanmoins une avancée considérable dans la conquête des droits des internautes quant au respect de leurs vies privées. Le CCPA intégré dans le Code civil de Californie (3) s’applique à toutes les informations à caractère personnel collectées, électroniquement ou non, auprès de consommateurs.
Les consommateurs sont définis comme des personnes physiques résidant en Californie, ce qui confère un champ d’application aux bénéficiaires du texte aussi large que le RGPD. La loi californienne s’applique donc très largement et pas seulement aux données collectées sur Internet. Toutefois, de façon plus pragmatique que le RGPD, les assujettis du CCPA sont uniquement des entreprises d’envergure. Ces dernières doivent en effet réaliser un chiffre d’affaires annuel supérieur à 25 millions de dollars, ou acheter, vendre ou partager à des fins commerciales des informations personnelles de plus de 50.000 consommateurs, ou encore obtenir plus de 50 % de leurs revenus annuels de la vente d’informations personnelles du consommateur.

Champ d’application du CCPA
Ainsi, les associations comme les petites et moyennes entreprises ne sont pas concernées par le texte. Les pouvoirs publics peuvent également continuer à collecter les données personnelles des individus sans que ceux-ci puissent s’y opposer, même s’il est prévu que les données issues de ces traitements et réutilisées pour d’autres finalités sont des informations sur lesquels les citoyens californiens pourront exercer les droits prévus par le texte. Le texte de loi californien vise les informations à caractère personnel comme les noms, les adresses, le numéro de sécurité sociale, les adresses IP, les renseignements commerciaux (registre de la publicité foncière, historique de crédit, …), les informations biométriques, les historiques de navigation, les données de géolocalisation, les informations audio, électroniques, visuelles, thermiques, olfactives, les informations professionnelles ou liées à l’emploi, ou encore les informations sur l’éducation. Sont également concernées toutes déductions tirées de ces différentes informations afin de créer un profil. Toutefois, un certain nombre de domaines sont exclus du champ d’application de la loi. Il en va ainsi du domaine financier, des agences de notation des consommateurs ou encore des informations visant les conducteurs.

Droits nouveaux pour les Californiens
Pâle copie du RGPD, le CCPA impose des obligations aux entités assujetties et des droits aux citoyens bénéficiaires. L’entreprise qui collecte des données doit informer le consommateur californien sur les catégories de données collectées, les sources auprès desquelles les données sont collectées, les finalités de la collecte et les catégories de tiers avec lesquelles l’entreprise partage les données. Les consommateurs doivent pouvoir exercer leurs droits dans des conditions faciles et gratuites : description du droit d’accès, du droit à l’effacement, du droit à l’égal accès aux services, description des méthodes pour présenter les requêtes. La loi californienne donne aussi aux consommateurs la possibilité de refuser la vente de leurs informations personnelles à des tiers, obligeant les entreprises concernées à publier un lien clair et visible intitulé « Ne pas vendre mes informations personnelles » sur leur site web national ou leur page spécifique à la Californie.
Un consommateur a le droit de demander à une entreprise de supprimer toute information personnelle le concernant que l’entreprise a collectée auprès de lui, et l’entreprise doit répercuter la demande auprès de ses sous-traitants. Toutefois, l’entreprise peut refuser cet effacement pour des raisons légitimes telles que l’exécution du contrat conclu entre l’entreprise et le consommateur. Enfin, la loi californienne confère le droit à un égal accès aux services, interdisant en principe toute discrimination à l’encontre des consommateurs qui exercent leurs droits en vertu de la loi. Les entreprises peuvent cependant être autorisées à appliquer des tarifs différents ou à fournir différents niveaux de service, si ces différences sont en lien raisonnable avec la « valeur fournie au consommateur par les données du consommateur », conférant un droit à la discrimination. Enfin, et à la grande différence du RGPD, les entreprises peuvent proposer des incitations financières – notamment des paiements aux consommateurs à titre de compensation – pour la collecte de leurs données personnelles. Cette option, pour laquelle de nombreux think tank militent en Europe, est à ce stade exclu par l’Union européenne pour qui les données personnelles sont des droits extrapatrimoniaux, incessibles. En cas de non-respect du CCPA, une amende de 2.500 dollars par violation, et de 7.500 dollars si la violation est intentionnelle, est infligée. Ce qui est peu, au regard du chiffre d’affaires des entreprises visées par le texte. Néanmoins, la loi californienne prévoit des dommages et intérêts dans le cadre d’une action intentée par un consommateur, compris entre 100 et 700 dollars par infraction et par consommateur, ce qui peut s’avérer important à l’aune du système de la class action. La procédure des actions collectives, bien éprouvée aux Etats-Unis, devrait en effet pouvoir contraindre les entreprises à respecter cette nouvelle loi, moins pour la sanction financière que pour la mauvaise publicité que représenterait une sanction prononcée à la demande de centaines de milliers de plaignants. A noter qu’en Europe, la commission des Affaires juridiques (JURI) a confirmé en janvier dernier (4) la position de négociation du Parlement européen sur une nouvelle législation introduisant des règles de recours collectif (5). En France, l’action de groupe a été introduite par la loi du 17 mars 2014 sur la consommation (loi dite « Hamon »).
Si le CCPA est timide au regard de l’enjeu que représentent les données personnelles pour les entreprises du numérique, il marque néanmoins un réel progrès quant à la protection des droits des données personnelles des citoyens californiens. Déjà, cette initiative a conduit d’autres Etats à réfléchir à une législation dans ce sens, et une loi fédérale devra inévitablement voir le jour pour éviter des législations disparates au sein d’un même pays. Dans le même temps, le parti communiste chinois a annoncé vouloir protéger les données personnelles de ses citoyens.

Vers des règles internationales unifiées
La collecte des données personnelles représente l’or noir du XXIe siècle et constitue un outil de concurrence majeur au sein du commerce international. Les législations nationales ne manqueront donc pas de s’affronter afin de contraindre les entreprises extérieures à limiter leur pouvoir d’intrusion de la vie privée de leurs citoyens tout en cherchant à poursuivre cette conquête des données, outil indispensable de la compétitivité économique. A moins qu’en guise d’apaisement, le G20 qui se tiendra à Riyad en novembre 2020 mette à son ordre du jour la recherche de règles internationales unifiées, seuls moyens de réguler la tentation intrusive des GAFAM. @

* Alexandre Lazarègue est avocat au Barreau de Paris,
spécialisé en droit du numérique.