Archives par mot-clé : Juridique

Acteurs de l’IA, la Cnil vous adresse ses premières recommandations : à vous de jouer !

Publié le par

La Commission nationale de l’informatique et des libertés (Cnil) a publié le 8 avril 2024 sept premières fiches « pour un usage de l’IA respectueux des données personnelles ». D’autres sont à venir. Ces règles du jeu, complexes, sont les bienvenues pour être en phase avec le RGPD et l’AI Act.

Par Anne-Marie Pecoraro*, avocate associée, UGGC Avocats

L’intelligence artificielle (IA) conduit à questionner de manière plus exigeante et approfondie la protection des données personnelles. Les principes fondateurs du RGPD (1) doivent non seulement être pleinement rappelés et appliqués, mais ils doivent même l’être de manière plus dynamique et exigeante. Un exemple : des données qui auraient précédemment pu être considérées pseudonymisées ou même anonymisées, pourront faire l’objet de calculs et de recoupements massifs, qui pourraient aboutir à identifier à nouveau les personnes, grâce à l’utilisation de l’IA.

Sept premières fiches pratiques
L’entraînement des IA appelle des données personnelles comme l’image et la voix des personnes, d’une quantité sidérale sans précédent. Il appartient aux entreprises et organisations nationales et internationales de procéder à la mise en conformité avec l’AI Act, lequel a été adopté 13 mars 2024 par le Parlement européen (2). Parallèlement et le même jour en France, la commission de l’IA – installée depuis septembre 2023 auprès du Premier ministre – a remis au président de la République son rapport (3) qui recommande notamment un assouplissement des contraintes liées à l’utilisation, par l’IA, de données personnelles. Cette commission IA appelle à « transformer notre approche de la donnée personnelle pour protéger tout en facilitant l’innovation au service de nos besoins ».

Le 8 avril 2024, c’était au tour de la Cnil de publier des fiches pratiques consacrées à la phase de développement des systèmes d’IA. L’autorité administrative indépendante accompagne les acteurs de l’IA depuis deux ans déjà, comme elle ne manque pas de le rappeler dans son dernier rapport annuel (4), à travers notamment la création d’un service dédié, la publication de ressources et webinaires, ainsi que l’établissement d’une feuille de route articulée autour de quatre piliers : appréhender, guider, fédérer et accompagner, auditer. Ces recommandations font suite à la consultation publique entreprise en octobre 2023, laquelle a réuni une quarantaine de contributions d’acteurs divers (5). Afin de présenter ces fiches pratiques (6), un webinaire a été organisé par la Cnil le 23 avril dernier. L’occasion pour celle-ci d’apporter ses derniers éclairages. Concernant le périmètre d’application, il convient premièrement de préciser que ces fiches pratiques n’ont vocation à s’intéresser qu’à la phase de développement de systèmes d’IA (conception de base de données, entraînement, apprentissage) impliquant un traitement de données personnelles pour les cas d’usage pour lesquels le RGPD est applicable (7). Celles-ci n’ont donc pas vocation à régir la phase dite de « déploiement » d’un système d’IA. Retenant la même définition des « systèmes d’IA » que l’AI Act, sont notamment concernés par ces recommandations : les systèmes fondés sur l’apprentissage automatique, ceux fondés sur la logique et les connaissances (moteurs d’inférence, bases de connaissance, systèmes experts, …), ou encore les systèmes hybrides.
Afin d’aider les professionnels dans leur mise en conformité, la Cnil a défini, à travers sept fiches de recommandations, les bonnes pratiques à respecter sans que celles-ci soient toutefois contraignantes. Ces recommandations tiennent compte des dispositions de l’AI Act et ont vocation à les compléter. La Cnil profite de ces lignes directrices pour rappeler les principes fondamentaux (licéité, transparence, minimisation, exactitude, limitation de conservation des données, …) et obligations majeures découlant du RGPD inhérentes à tout traitement, en les précisant et les adaptant au mieux à l’objet traité : les systèmes d’IA.
Si les recommandations qui suivent concernent majoritairement les responsables de traitement, les sous-traitants ne sont pas délaissés, repartant également avec leur lot de bonnes pratiques. Peuvent à ce titre être cités : un respect strict des instructions du responsable de traitement, la conclusion d’un contrat de sous-traitance conforme à la réglementation en matière de données personnelles ou encore, l’obligation de s’assurer de la sécurité des données sous-traitées (8).

Apports majeurs des recommandations
Prenez soin de définir une finalité déterminée, explicite et légitime pour le traitement projeté. Deux situations sont clairement distinguées par la Cnil, selon que l’usage opérationnel en phase de déploiement du système d’IA est d’ores et déjà identifié, ou non, dès la phase de développement. Dans la première hypothèse, il est considéré que la finalité en phase de développement suivra celle poursuivie en phase de déploiement. De sorte que si celle-ci est suffisamment déterminée, explicite et légitime, alors la finalité en phase de développement le sera également. Dans la seconde hypothèse, et notamment en présence de systèmes d’IA à usage général, la Cnil insiste sur la nécessité de prévoir une finalité « conforme et détaillée ». Elle livre des exemples de finalités qu’elle considère, ou non conformes, précisant à ce titre que le simple « développement d’une IA générative » n’est pas une finalité conforme car jugée trop large et imprécise.

Finalité conforme et responsabilités précises
La méthode à suivre est alors révélée : une finalité ne sera conforme que si elle se réfère « cumulativement au“type” du système développé et aux fonctionnalités et capacités techniquement envisageables » (9). Le secteur de la recherche n’est bien sûr pas oublié. Une tolérance dans le degré de précision de l’objectif ou encore dans la spécification des finalités est évoquée, sans laisser de côté les éventuelles dérogations ou aménagements applicables.
Déterminez votre rôle et vos responsabilités : suis-je responsable de traitement, sous-traitant, ou encore responsableconjoint ? Le développement d’un système d’IA peut nécessiter l’intervention de plusieurs acteurs. Dès lors, identifier son rôle au sens du RGPD peut être parfois délicat et les éclairages de la Cnil sur la question sont les bienvenus. Pour rappel, le responsable de traitement est « la personne […] qui, seul ou conjointement détermine les objectifs et moyens du traitement » (10). Cette qualité emporte son lot d’obligations et de responsabilités, d’où la nécessité de la déterminer avec précision. Les acteurs pourront se référer à la fiche donnant des exemples d’analyse permettant d’identifier son rôle au cas par cas (11).
Effectuez un traitement licite et respectueux des principes fondamentaux. Un rappel des principes à respecter pour tout traitement ne mange pas de pain mais épargne bien des soucis en cas de contrôle. La Cnil s’attarde notamment sur l’obligation de choisir, parmi celles prévues par le RGPD, la base légale la plus adéquate au traitement projeté. Pour le développement de systèmes d’IA, elle explore cinq bases légales envisageables (12) : le consentement, l’intérêt légitime, l’obligation légale, la mission d’intérêt public ou encore le contrat. En cas de réutilisation de données, des vérifications seront à mener et, là encore, les recommandations de la Cnil différent selon l’hypothèse rencontrée et notamment en fonction de la source desdites données (données publiquement accessibles ou collectées par des tiers, …). A titre d’exemple, pour une réutilisation de données collectées par le fournisseur lui-même pour une finalité initiale différente, la Cnil impose, sous certaines conditions, un « test de comptabilité » (13) permettant de s’assurer que la finalité poursuivie est compatible avec la finalité initiale, et rappelle les obligations de fonder son traitement ultérieur sur une base légale valable sans oublier la nécessité d’informer les personnes concernées. Par ailleurs, la Cnil révèle les cas possibles de réutilisation de données collectées par des tiers, ainsi que les obligations qui incombent au tiers et ainsi qu’au réutilisateur de ces données.
Respectez les principes fondamentaux. Le gendarme des données insiste également sur la nécessité de respecter les principes fondamentaux. Ce respect doit s’imposer à tout stade du développement d’un système d’IA, dès sa conception « privacy by design » (14), mais également lors de la collecte et de la gestion des données (15). La Cnil s’attarde particulièrement sur le principe de minimisation, lequel impose de ne traiter que les données « adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités » (16) déterminées. Si la Cnil s’attache à soutenir que le respect de ce principe « n’empêche pas l’utilisation de larges bases de données » (17) et notamment de données publiquement accessibles (18), il implique nécessairement pour un responsable de traitement de repenser l’entraînement et la conception de ses systèmes d’IA en se posant concrètement les questions suivantes : « Les données utilisées et/ou collectées sont-elles vraiment utiles au développement du système souhaité ? Ma sélection est-elle pertinente ? Pourrais-je mettre en place une méthode à suivre plus respectueuse des droits et libertés des personnes concernées ? Si oui, par quels moyens techniques ? ».
A titre de bonnes pratiques, la Cnil recommande d’ailleurs d’associer au développement du projet un comité éthique et de mener une étude pilote afin de s’assurer de la pertinence de ses choix en matière de conception d’un système d’IA (19). Par ailleurs et conformément au principe de limitation des données de conservation (20), les durées de conservation des données utilisées seront à déterminer préalablement au développement du système d’IA. La Cnil appelle, à ce titre, à consulter son guide pratique sur les durées de conservation (21). Ces durées devront faire l’objet de suivi, de sorte que les données qui ne seront plus nécessaires devront être supprimées. Le respect de ce principe ne s’oppose pas à ce que, sous certaines conditions, des données soient conservées pour des durées plus longues, notamment à des fins de maintenance ou d’amélioration du produit.

Analyse d’impact (AIPD) nécessaire
Enfin, réalisez une analyse d’impact quand c’est nécessaire. L’analyse d’impact sur la protection des données (AIPD) permet d’évaluer et de recenser les risques d’un traitement en vue d’établir un plan d’action permettant de les réduire. Cette analyse AIPD (22) est, selon les cas, obligatoire ou bien fortement recommandée. A la lumière de la doctrine de la Cnil et de l’AI Act, les entreprises et organisations doivent à présent mettre en place leur mise en conformité, avec des points très réguliers. @

* Anne-Marie Pecoraro est avocate spécialisée en droit de
la propriété intellectuelle, des médias et des technologies.

IA génératives, contrefaçons, exceptions au droit d’auteur et opt out : où se situent les limites ?

Publié le par

Adopté par les eurodéputés le 13 mars 2024, l’AI Act – approuvé par les Etats membres en décembre 2023 – va être définitivement voté en plénière par le Parlement européen. Mais des questions demeurent, notamment sur les limites du droit d’auteur face aux intelligences artificielles génératives.

Par Vanessa Bouchara, avocate associée, et Claire Benassar, avocate collaboratrice, Bouchara & Avocats.

Si l’utilisation des intelligences artificielles (1) est désormais largement répandue, ces techniques et technologies capables de simuler l’intelligence humaine restent au cœur de nombreux questionnements – tant éthiques que juridiques. Alors même que le projet de règlement européen visant à encadrer l’usage et la commercialisation des intelligences artificielles au sein de l’Union européenne, dit AI Act (2), a été adopté en première lecture le 13 mars 2024 par le Parlement européen (3), c’est l’intelligence artificielle générative – IAg, AIG ou GenAI – qui est aujourd’hui sujette à controverse.

Droit d’auteur et procès en contrefaçon
A l’origine du débat les concernant, il importe de rappeler que les systèmes d’IAg ont pour particularité de générer du contenu (textes, images, vidéos, musiques, graphiques, etc.) sur la base, d’une part, des informations directement renseignées dans l’outil par son utilisateur, et, d’autre part et surtout, des données absorbées en amont par l’outil pour enrichir et entraîner son système. Les systèmes d’intelligence artificielle générative sont ainsi accusés d’être à l’origine d’actes de contrefaçon, et pour cause : l’ensemble des données entrantes dont ils se nourrissent peuvent potentiellement être protégées par des droits de propriété intellectuelle. Où se situe donc la limite entre l’utilisation licite de ces données et la caractérisation d’un acte de contrefaçon ? Si, par principe, la reproduction de telles données est interdite, le droit européen semble désormais entrouvrir la possibilité d’utiliser celles-ci dans le seul cadre de l’apprentissage de l’IAg.

Le smart contract est déjà là : osons la vitesse sans la précipitation, tant en France qu’en Europe

Publié le par

Le Data Act, en vigueur depuis le 11 janvier 2024, est le premier texte européen à prendre en compte les « smart contracts ». C’est l’occasion de revenir sur ces « contrats à exécution automatique conditionnelle » qui avaient fait l’objet l’an dernier d’un livre blanc paru en France (1).

Par Fabrice Lorvo*, avocat associé, FTPA

La révolution numérique poursuit son œuvre de digitalisation, notamment de l’économie. Son développement ultime va probablement aboutir d’abord à la dématérialisation des actifs (à savoir les produits, les services et la monnaie permettant de les échanger), puis à l’automatisation de leurs échanges. Pour ce faire, l’outil idoine est connu sous l’appellation anglo-saxonne de « smart contract » (2) Il s’agit d’un protocole informatique organisant l’échange automatique d’actifs dématérialisés enregistré sur une blockchain.

Les smart contrats devancent la loi
Nous partons du postulat que cet outil – qui peut être traduit en français par « contrat à exécution automatique conditionnelle » (3) – a un très bel avenir et qu’il rencontrera la faveur des consommateurs, en raison de son apparence de facilité et de rapidité. Le smart contract est donc une nouvelle page blanche de notre histoire économique.
Les enjeux. Il appartient aux professionnels français et européens de contribuer à la détermination des standards du smart contract et/ou des sujets sur lesquels une vigilance particulière sera nécessaire. A ce jour, le smart contract constitue ce que l’on peut appeler un « OJNI » : un objet juridique non-identifié. Pourtant, il est aujourd’hui omniprésent, comme en attestent les millions de transactions – permettant la conversion entre la monnaie dite « fiat » (relevant de la politique monétaire des banques centrales des Etat) et la cryptomonnaie – opérées quotidiennement sur les différentes blockchains. Le fait précède donc la règle de droit.
Même si le smart contract semble actuellement s’affranchir significativement des lois existantes, c’est uniquement parce que lesdites lois ne sont pas (encore) adaptées aux situations nouvelles créées par ce type de contrat à exécution automatique conditionnelle. Le smart contract ne pourra pas durablement se développer, sur le territoire français, dans l’ignorance des règles juridiques européennes, qui sont le fruit de la lente recherche d’un équilibre entre les deux parties au contrat. C’est cet équilibre ancien qui va devoir être adapté à la situation nouvelle du smart contract.

La régulation veille à ce que les opérateurs télécoms intègrent des principes RSE/ESG

Publié le par

Alors que vient tout juste d’être publié le 3e volet de l’étude menée par l’Arcep et l’Ademe sur l’impact environnemental du numérique en France, les opérateurs télécoms intègrent de plus en plus des principes « RSE » et « ESG » pour notamment être éco-responsables.

Par Marta Lahuerta Escolano, avocate of counsel, Jones Day

L’empreinte environnementale des réseaux de télécommunications suscite un intérêt croissant dans le paysage numérique, compte tenu de la pénétration croissante des technologies de l’information et des communications dans notre société. Alors que ces réseaux sont vitaux pour assurer les besoins en connectivité de nos différentes activités, leur déploiement et leur utilisation génèrent des répercussions significatives sur l’environnement.

Emission CO2 du numérique en hausse
Les centres de données, les câbles sous-marins et les pylônes requièrent une alimentation électrique constante pour assurer la transmission des données. Ce qui a des conséquences en termes d’émissions de gaz à effet de serre (GES). Selon une étude de l’Agence de la transition écologique (Ademe) et l’Autorité de régulation des communications électroniques et des postes (Arcep), publiée en 2023 (1), l’empreinte carbone du numérique pourrait tripler entre 2020 et 2050 si aucune action n’était prise pour limiter la croissance de l’impact environnemental du numérique (2). Face aux enjeux environnementaux et sociaux croissants et l’essor de la régulation européenne en matière de durabilité, l’intégration des principes dits de « responsabilité sociale des entreprises » (RSE) est devenue une priorité pour les opérateurs télécoms qui sont désormais tenus de répondre à des normes plus strictes pour réduire leur impact environnemental. Le secteur numérique représente de 3 % à 4 % des émissions mondiales de GES, soit environ deux fois plus que l’aviation civile, selon le « Telco Sustainability Index » du cabinet de conseil américain BCG (3), et, selon cette fois l’Ademe, il contribue à hauteur de 2,5 % à l’empreinte carbone en France (4).

Les enjeux du droit d’auteur à l’ère de l’intelligence artificielle (IA) : entre exceptions et interprétations

Publié le par

La propriété intellectuelle est entrée dans une zone de turbulences provoquées par les IA génératives. L’utilisation d’œuvres reste soumise à l’autorisation des auteurs, mais le droit d’auteur est limité dans certains cas comme la fouille de textes et de données. L’AI Act sera à interpréter.

Par Jade Griffaton et Emma Hanoun, avocates, DJS Avocats*

La récente législation européenne sur l’intelligence artificielle (IA) – l’AI Act dans sa dernière version de compromis final datée du 26 janvier 2024 (1) (*) (**) – adopte une définition flexible de « système d’IA », désigné comme « un système basé sur des machines conçues pour fonctionner avec différents niveaux d’autonomie et d’adaptabilité après leur déploiement et qui, à partir des données qu’il reçoit, génère des résultats tels que des prédictions, du contenu, des recommandations ou des décisions pouvant influencer des environnements physiques ou virtuels » (2).

Exception de « fouille de textes et de données »
La question de la relation entre le droit de la propriété littéraire et artistique et l’IA est une préoccupation ancienne. Lors de la phase d’entraînement, le système d’IA reçoit des données. A ce stade, se pose la question de l’intégration de contenus protégés par le droit d’auteur aux fins du développement du système. Lors de la phase de génération, le système d’IA génère des résultats, voire des créations, à la demande de l’humain. Se pose alors la question de l’encadrement juridique de ces créations générées, en tout ou partie, par un système d’IA. Ces problématiques juridiques actuelles doivent être envisagées à la lumière des nouveaux textes destinés à réguler le domaine de l’IA, et notamment la récente proposition de règlement européen sur l’IA, et la proposition de loi française visant à encadrer l’utilisation de l’IA par le droit d’auteur (3).
De nouveaux contours de la possibilité d’utiliser des œuvres pour entraîner l’IA ? Les systèmes d’IA ont besoin, au stade de leur apprentissage et développement, d’avoir accès à de grands volumes de textes, images, vidéos et autres données. Ces contenus sont susceptibles d’être protégés par le droit d’auteur. L’objectif principal du règlement IA, dévoilé en 2021 par la Commission européenne, consiste à réguler les systèmes d’IA introduits sur le marché européen, en adoptant une approche axée sur les risques et en assurant un niveau élevé de protection des droits fondamentaux, de la santé publique, de la sécurité et de l’environnement.