Archives par mot-clé : RGPD

Le groupe Meta Platforms peut-il vraiment retirer Facebook et Instagram de l’Union européenne ?

Publié le par

Dans son rapport annuel, Meta n’exclut pas de supprimer d’Europe ses réseaux sociaux – Facebook, Instagram ou WhatsApp – s’il ne peut pas transférer les données personnelles européennes aux Etats-Unis. Retour sur cette menace qui soulève des questions économiques et juridiques.

Par Arnaud Touati, avocat associé, Hashtag Avocats

La société américaine Meta Platforms a-t-elle le droit et le pouvoir de retirer Facebook et Instagram du marché européen ? Techniquement, elle pourrait retirer Facebook et Instagram du marché européen, notamment des Vingt-sept Etats membres de l’UE. En effet, une société est libre de déterminer son marché et de proposer ou de retirer librement ses services sur le territoire d’un Etat. Cependant, économiquement parlant, le marché européen est considérable pour la firme de Mark Zuckerberg qui en est le PDG et fondateur.

Europe : 25 % des revenus de Meta
Le groupe a annoncé que l’Europe représentait, pour le dernier trimestre 2021, plus de 8,3 milliards de dollars de chiffre d’affaires, soit près du quart du total réalisé par Meta à l’échelle mondiale. De même, le revenu moyen par utilisateur sur Facebook en Europe (Messenger, Instagram et WhatsApp compris) se situe en moyenne à 19,68 dollars sur ce quatrième trimestre 2021, en deuxième position derrière la région « Etats-Unis & Canada » (1). Au total, l’Europe a généré 25% du chiffre d’affaires trimestriel.
De même, si la maison mère Meta Platforms décidait de mettre fin à ses services en Europe, il lui appartiendrait de résoudre la délicate question du sort des données des utilisateurs européens – au nombre de 427 millions à la fin de l’année dernière (2). En effet, Facebook, Messenger, Instagram ou encore WhatsApp ont obtenu de nombreuses données des utilisateurs. Cela impliquerait donc nécessairement de restituer aux utilisateurs toutes leurs données. Dans quelles conditions ? Comment ? La question est ouverte.
Au-delà des questions économiques que soulèverait pour Meta la mise à exécution de sa menace de retirer ses réseaux sociaux, cela poserait également des questions juridiques. Le règlement général sur la protection des données (RGPD), adopté en 2016 par le Parlement européen (3) et en vigueur depuis mai 2018, prévoit l’encadrement des transferts des données à caractère personnel vers des pays tiers. Les dispositions du règlement doivent donc être appliquées, afin que le niveau de protection des personnes physiques garanti par ledit règlement ne soit pas compromis. Peut-il y avoir des passe-droits en matière de RGPD ? (4) Plutôt que de « passe-droit », parlons plutôt de « tempérament », c’est-à-dire de l’assouplissement de certaines dispositions réglementaires dans des hypothèses bien déterminées. Il conviendrait ainsi de dire qu’il n’existe pas a priori de tempérament en matière de RGPD, au vu de l’importance du respect de la protection des données et de l’obligation d’encadrement des transferts de données. Néanmoins, il convient de relativiser cet état de fait. En effet, en France, la Commission nationale de l’informatique et des libertés (Cnil) prévoit une procédure de mise en demeure, dans l’hypothèse où un organisme ne respecterait pas les obligations relatives à l’encadrement des transferts de données. Elle précise qu’une « mise en demeure est une procédure qui intervient après une plainte ou un contrôle et ne constitue pas une sanction » (5). Dans pareille situation, deux issues sont possibles. Si l’organisme se conforme aux dispositions pendant le délai imparti, le transfert des données sera considéré comme légal et conforme. Dans le cas contraire, l’organisme peut se voir attribuer des sanctions, lesquelles sont, pour la majeure partie d’entre elles, pécuniaires. Cependant, cette sanction ne garantit pas le respect postérieur du RGPD, ce qui pourrait donc in fine valoir tempérament implicite, pour peu que ledit organisme ait des capacités financières significatives.
Par ailleurs, les transferts de données vers des pays tiers à l’Union européenne (UE) doivent respecter les principes du RGPD (6). Ainsi, la Commission européenne peut prévoir des décisions d’adéquation avec certains pays lorsqu’elle estime qu’ils assurent « un niveau de protection adéquat » (7). Les transferts de données vers ces pays-là ne nécessitent alors pas d’autorisation spécifique.

Dérogations pour cas particuliers
A l’inverse, lorsqu’un pays n’est pas reconnu comme garantissant une protection adéquate, l’article 46 du RGPD permet au responsable de traitement d’assurer lui-même que les transferts envisagés sont assortis de garanties appropriées, grâce à des clauses contractuelles types, des règles d’entreprise contraignantes, un code de conduite ou un mécanisme de certification. Dans les situations dans lesquelles un pays tiers n’est pas reconnu comme offrant un niveau de protection adéquat et en l’absence de garanties appropriées encadrant ce transfert, le transfert peut néanmoins, par exception, être opéré en vertu des dérogations listées à l’article 49 du RGPD. Tempérament du tempérament : ces dérogations – telles que le consentement explicite, l’exécution d’un contrat ou les motifs d’intérêt public – ne peuvent néanmoins être utilisées que dans des situations particulières et les responsables de traitement doivent, selon la Cnil, « s’efforcer de mettre en place des garanties appropriées et ne doivent recourir à ces exceptions qu’en l’absence de telles garanties » (8).

Marge de manœuvre des « Cnil »
A l’instar de son confrère irlandais, la Data Protection Commission (DPC), la Cnil pourrait-elle décider de modifier ses accords en matière de transfert des données vers les Etats-Unis ? Pour rappel, la DPC a refusé que les données des Européens soient collectées pour être stockées sur des serveurs américains, malgré la possibilité accordée par le RGPD, sous réserve des conditions (9). En effet, l’autorité de contrôle irlandaise considère que la loi américaine FISA (Foreign Intelligence Surveillance Act) est problématique, puisqu’elle autorise expressément la NSA (National Security Agency) à collecter les données de personnes étrangères si elles sont stockées sur des serveurs américains.
A l’origine, le RGPD pose des règles relatives aux autorités de contrôle tenant notamment à leurs indépendance, compétences, missions et pouvoirs (10). Ces autorités ont une large marge de manœuvre. En effet, en France par exemple, la loi « Informatique et Libertés » modifiée dispose que « la [Cnil] est une autorité administrative indépendante » (11), et le règlement européen permet, lui, de réduire la protection des personnes dans des cas particuliers afin de tenir compte des exigences nationales. Ce n’est donc pas parce que l’autorité irlandaise a pris cette décision que la Cnil doit nécessairement suivre la même analyse. Pour autant, dans une affaire concernant Google, la Cnil a conclu, prenant une inflexion similaire à son homologue irlandaise, que, à l’heure actuelle, les transferts de données vers les Etats-Unis ne sont pas suffisamment encadrés : dans une décision du 10 février 2022, elle a en effet mis en demeure un gestionnaire de site de mettre en conformité avec le RGPD ses traitements de données, en retirant Google Analytics si besoin (12). Pour rendre pareille décision, la Cnil se fonde sur l’arrêt « Schrems II » (13) de la Cour de justice de l’Union européenne (CJUE) ayant invalidé en 2020 le « Privacy Shield » (voir encadré ci-dessous).
Toutefois, même si les autorités de contrôle protègent les données personnelles en refusant le transfert des données sur les serveurs américains, une loi américaine datant de 2018 – le Cloud Act (14) – pose problème. En effet, le « Clarifying Lawful Overseas Use of Data Act » est une loi fédérale des Etats-Unis sur l’accès aux données personnelles, notamment opérées dans le nuage informatique. Elle permet aux instances judiciaires américaines d’émettre un mandat de perquisition contraignant les fournisseurs de cloud américains – même si les données sont stockées à l’étranger –, de fournir toutes les données d’un individu, sans qu’aucune autorisation ne soit demandée à la justice du pays dans lequel se situent l’individu ou les données.
Cette loi a été largement critiquée, étant entendu qu’elle se soustrait ainsi au contrôle des autorités réglementaires au sein du territoire de l’UE. Pour limiter, voire éviter une telle situation, la Commission européenne pourrait, à l’avenir, tenter de trouver un accord avec les Etats-Unis, et ainsi assurer la conformité avec le RGPD du transfert des données personnelles outre-Atlantique. En attendant, même si l’entreprise Meta a assuré le 8 février 2022, « n’avoir absolument aucune envie de se retirer de l’Europe, bien sûr que non » (15), la Commission européenne ne contournera pas l’arrêt « Schrems II » ayant annulé le « Privacy Shield », pas plus qu’elle ne l’avait fait pour l’arrêt « Schrems I » de 2015 annulant l’accord antérieur, le « Safe Harbour ». @

FOCUS

« Privacy Shield » : la CJUE peut-elle annuler… son annulation de 2020 ?
La Cour de justice de l’Union européenne (CJUE) pourrait-elle faire machine arrière et revenir sur sa décision d’annuler l’accord entre l’Union européenne (UE) et les Etats-Unis sur la gestion des données personnelles des Européens par les entreprises américaines et certaines autorités américaines ? Cet accord dit « Privacy Shield » était une décision d’adéquation adoptée en 2016 et encadrant les transferts de données vers les Etats- Unis. Ce qui permettait aux entreprises de transférer les données personnelles de citoyens européens aux Etats-Unis sans garanties complémentaires. Il a été annulé par l’arrêt « Schrems II » (16) de la CJUE daté du 16 juillet 2020. La CJUE avait mis en avant le risque que les services de renseignement américains accèdent aux données personnelles transférées aux Etats-Unis, si les transferts n’étaient pas correctement encadrés.
Cet arrêt a donc impliqué le réexamen des transferts de données personnelles à destination des Etats-Unis et la nécessité d’apporter des garanties complémentaires.
La portée de cet arrêt a des conséquences sévères et démontre que, si les Etats-Unis ne respectent pas la protection des données, la CJUE n’acceptera pas d’accords sur ces mêmes termes. Dorénavant, il sera à nouveau possible de négocier un accord entre les Etats-Unis et l’UE si, et seulement si, les Etats-Unis acceptent de se soumettre aux dispositions du RGPD et de modifier leurs lois de surveillance des données risquées. Ce qui permettrait ainsi aux entreprises américaines d’évoluer sur le marché européen. Lors d’une conférence de presse le 23 février, à l’occasion de la présentation du Data Act (lire p. 6 et 7), la commissaire européenne à la Concurrence, Margrethe Vestager, s’est prononcée à ce propos : « Il est hautement prioritaire de conclure un tel accord avec les Américains (…), afin de permettre au milieu des affaires de tirer le meilleur parti des données (…) mais (….) dans des conditions transparentes et sûres » (17). Ainsi, les Etats-Unis et l’UE devront-ils trouver un accord alliant protection des données personnelles des utilisateurs européens et impératifs sécuritaires invoqués par l’administration américaine. @

Les alternatives aux cookies tiers, lesquels vont disparaître, veulent s’affranchir du consentement

Publié le par

Le numéro un mondial de la publicité en ligne, Google, a confirmé le 25 janvier qu’il bannira à partir de fin 2023 de son navigateur Chrome les cookies tiers – ces mouchards du ciblage publicitaire. Comme l’ont déjà fait Mozilla sur Firefox ou Apple sur Safari. Mais attention à la vie privée.

Il y a près d’un an, le 3 mars 2021, Google avait annoncé qu’il allait abandonner les cookies tiers – utilisés par les annonceurs et publicitaires à des fins de traçage des internautes et de ciblage personnalisé – au profit de « centres d’intérêts » de groupes d’individus, alors appelés « cohortes » ou, dans le jargon des développeurs «FLoC», pour Federated Learning of Cohorts (1). Une « cohorte » est un groupe d’utilisateurs aux comportements de navigation similaires et aux « intérêts communs » (2). Et ce, sans ne plus avoir à identifier les individus un par un, mais tous ensemble de façon non indentifiable.

Cohortes, fingerprinting, centres d’intérêt, …
Mais cette technique de traçage anonymisé soulevait toujours des questions au regard du consentement des internautes et de sa conformité avec le règlement général sur la protection des données (RGPD) en Europe. De plus, les « cohortes » laissaient la porte ouverte à de l’espionnage par browser fingerprinting, c’est-à-dire la prise d’empreinte à partir du navigateur web pour collecter une floppée d’information sur l’utilisateur et son équipement. Car les réseaux publicitaires s’appuient principalement sur deux méthodes pour mettre les internautes sous surveillance. Son donc dans le même bateau : le suivi par des mouchards déposés dans le terminal et les empreintes digitales issues du navigateur.
Si les cookies tombent à l’eau, qu’est-ce qui reste ? Le fingerprinting. Cette technique de traçage des internautes, indépendamment des cookies eux-mêmes, est en fait illégale sans consentement préalable de l’internaute. L’Electronic Frontier Foundation (EFF), une ONG internationale de protection des libertés sur Internet, basée à San Francisco et aujourd’hui dirigée par Cindy Cohn (photo), a mis en place il y a une dizaine d’année un outil – Cover Your Tracks (3) – qui permet à tout internaute de vérifier le niveau de traçage de son navigateur. « Lorsque vous visitez un site web, votre navigateur fait une “demande” pour ce site. En arrière-plan, le code publicitaire et les trackers invisibles sur ce site peuvent également amener votre navigateur à faire des dizaines ou même des centaines de demandes à d’autres tiers cachés. Chaque demande contient plusieurs informations sur votre navigateur et sur vous, de votre fuseau horaire aux paramètres de votre navigateur en passant par les versions de logiciels que vous avez installés », met en garde l’EFF. Si certaines de ces informations sont transmises par défaut pour simplement mieux visualiser la page sur votre écran (smartphone, ordinateur ou tablette) et en fonction du navigateur utilisé, bien d’autres informations aspirées par du navigateur peuvent remonter – de façon sournoise et à l’insu de l’intéressé – jusqu’aux réseaux publicitaires tiers. En naviguant sur le Web, chaque internaute laisse des traces comme en marchant dans la neige. C’est ce que l’on appelle une « empreinte digitale numérique », ou fingerprinting : il s’agit essentiellement de caractéristiques propres à un utilisateur, à son navigateur et à sa configuration informatique (jusqu’à la résolution de son écran et aux polices de caractère installées dans son ordinateur…). Et le tout collecté par des scripts de suivi (tracking scripts) qui constituent les multiples pièces d’un puzzle sur le profit de l’utilisateur, qui, une fois assemblées, révèlent l’image unique de l’individu ciblé. Contrairement aux cookies qui tombent sous le coup du RGPD imposant le consentement préalable de l’internaute concerné, lequel peut aussi supprimer les cookies voire bloquer les publicités en ligne à l’aide d’un adblocker (4), les empreintes digitales échappent à tout contrôle et restent difficilement modifiables et impossible à supprimer. « Cela équivaut à suivre un oiseau par son chant ou ses marques de plumes, ou une voiture par sa plaque d’immatriculation, sa marque, son modèle et sa couleur », compare l’EFF, laquelle suggère de désactiver JavaScript pour arrêter l’exécution des scripts de suivi. JavaScript est le fameux langage de programmation de scripts, créé il y a plus d’un quart de siècle maintenant et principalement employé dans les pages web interactives, autrement dit partout sur le Web. Mais désactiver JavaScript compliquera la vie de l’internaute…

Les requêtes JavaScript et le RGPD
« Le principal objectif de Cover Your Tracks est de vous aider à établir votre propre équilibre entre la confidentialité et la commodité, explique l’ONG américain. En vous donnant un résumé de votre protection globale et une liste des caractéristiques qui composent votre empreinte digitale numérique, vous pouvez voir exactement comment votre navigateur apparaît aux trackers, et comment la mise en oeuvre de différentes méthodes de protection change cette visibilité ». C’est pour éviter notamment que le fingerprinting, avec ses requêtes JavaScript, ne le mette en infraction visà- vis du RGPD et ne se retourne contre lui, que Google a abandonné FloC pour « Topics ». Quèsaco ? Fini les « cohortes », place aux « thèmes ». Moins d’intrusions dans la vie privée, plus d’information sur les centres d’intérêt, bien que cela ne sonne pas la fin du tracking publicitaire sur ordinateurs et smartphones… Ce changement de pied sera généralisé sur Chrome à partir de fin 2023, après une phase de transition dès le troisième trimestre prochain.

La Grande-Bretagne et l’Allemagne scrutent
Et l’avantage présenté par Google le 25 janvier dernier est que toute cette « cuisine thématique » reste dans le terminal de l’utilisateur et les thèmes y sont conservés durant trois semaines avant d’être effacés. Tandis que l’interface de programmation d’applications – l’API (5) – de Google exploite trois thèmes, à raison d’un thème par semaine. Explication de Vinay Goel (photo ci-contre), directeur Privacy chez Google, basé à New York : « Avec Topics, le navigateur identifie des thèmes (topics) représentatifs des principaux centres d’intérêt des utilisateurs pour une semaine donnée, tels que “fitness”ou “voyages”, en fonction de l’historique de navigation. Ces thèmes sont gardés en mémoire pendant seulement trois semaines avant d’être supprimés. Ce processus se déroule entièrement sur l’appareil utilisé, sans impliquer de serveurs externes, Google ou autre. Lorsqu’un internaute visite un site Web participant, Topics sélectionne seulement trois thèmes, un thème pour chacune des trois dernières semaines, que l’API transmet ensuite à ce même site ainsi qu’à ses annonceurs partenaires » (6). Tout cela en toute transparence : fini les mouchards, fini le suivi dissimulé et autres cookies indigestes, fini aussi le fingerprinting sournois. L’utilisateur garde la main sur ces données le concernant.
Du moins sur Chrome où il peut accéder aux paramètres de contrôle pour y voir les thèmes partagés avec les annonceurs, en supprimer certains, avec la possibilité de désactiver entièrement la fonctionnalité. « Plus important encore, souligne Vinay Goel, les thèmes sont sélectionnés avec attention afin d’exclure les catégories potentiellement sensibles, telles que le genre ou l’appartenance ethnique ». Google n’est pas le premier à bannir les cookies tiers de son navigateur Chrome. Avant lui, Mozilla, Apple, Microsoft et Brave Software les ont écartés de respectivement Firefox, Safari, Edge et Brave. Mais le plus souvent pas des filtres « anti-cookies ». L’aggiornamento du ciblage publicitaire est en tout cas venu, quitte à secouer certains acteurs comme ce fut le cas fin 2017 lorsque Criteo a dévissé en Bourse après l’annonce d’Apple contre les cookies sur iOS 11. Depuis l’adtech française a dû s’adapter (7). D’autres, comme Prisma Media ou Webedia (8), contournent le problème en imposant des « cookies walls ». Tôt ou tard, tout l’écosystème devra passer à la publicité basée sur les intérêts – Interest-based advertising (IBA) – qui est une forme de publicité personnalisée dans laquelle une annonce est sélectionnée pour l’utilisateur en fonction des intérêts dérivés des sites qu’il a visités antérieurement. « Les thèmes sont sélectionnés à partir d’une taxonomie publicitaire, qui comprendra entre quelques centaines et quelques milliers de sujets [entre 350 et 1.500 thèmes, ndlr], tout en excluant les sujets sensibles », précise par ailleurs la plateforme de développement de logiciels GitHub (9). Reste que le monde publicitaire (marques, régies, éditeurs, adtech, …) devra se faire une raison : l’IBA donnera des résultats d’affichages différents – moins performants ? – par rapport à la publicité contextuelle mais peut-être plus utiles pour l’internaute. Mais la démarche de Google – en position dominante sur le marché mondial de la publicité en ligne – inquiète de nombreux acteurs du numérique. La firme de Mountain View (Californie) a déjà eu à répondre l’an dernier devant l’autorité de la concurrence britannique, la Competition and Markets Authority (CMA), ainsi qu’à la « Cnil » britannique, l’Information Commissioner’s Office (ICO), en prenant des engagements vis-à-vis des autres acteurs du marché et envers la protection de la vie privée (10). En Allemagne, la fédération des éditeurs VDZ a fait savoir le 24 janvier dernier qu’elle en appelait – au nom de ses 500 membres – à la Commission européenne pour dénoncer « les distorsions de concurrence de Google », suite à sa décision de « bloquer les cookies de tiers dans le navigateur dominant Chrome ». La VDZ demande à ce « que l’utilisation de cookies fournis par des tiers reste autorisée, à condition, notamment, que les utilisateurs consentent eux-mêmes à leur utilisation » (11). Elle rappelle au passage qu’en avril 2021 elle a engagé avec d’autres organisations professionnelles une action antitrust contre Apple auprès de l’autorité fédérale allemande de lutte contre les cartels (12).

La Commission européenne enquête
En France, la Commission nationale de l’informatique et des libertés (Cnil) se penche sur « les alternatives aux cookies » (13) mais n’a encore rien dit sur les « Topics » de Google. De son côté, Margrethe Vestager, vice-présidente de la Commission européenne et en charge de la Concurrence et du Numérique, n’a pas attendu la requête de la VDZ pour s’interroger sur la fin des cookies tiers – notamment sur les intentions de Google – comme l’atteste un courrier daté du 23 avril 2021 et envoyé au Parlement européen (14). Deux mois après, le 22 juin 2021, la Commission européenne ouvrait une enquête sur les pratiques publicitaires de Google et sur la décision de ce dernier d’« interdire le placement de “cookies tiers” sur Chrome » (15) : « L’enquête se poursuit », nous indique Margrethe Vestager. La filiale Internet d’Alphabet est donc scrutée de toute part en Europe. Autant que les internautes eux-mêmes ? @

Charles de Laubier

Pourquoi WhatsApp a écopé en Europe d’une amende ré-évaluée à 225 millions d’euros

Publié le par

La « Cnil » irlandaise avait proposé fin 2020 à ses homologues européennes de mettre à l’amende WhatsApp et sa maison mère Facebook à hauteur de 30 à 50 millions d’euros. « Insuffisant ! », ont-elles estimé. Leur comité européen (CEPD) leur a donné raison et la note a plus que quadruplé.

La « Cnil » irlandaise, en l’occurrence la Data Protection Commission (DPC) dirigée par la commissaire Helen Dixon (photo de gauche), a annoncé le 2 septembre 2021 avoir infligé une amende de 225 millions d’euros à la société WhatsApp pour ne pas avoir respecté le règlement européen sur la protection des données personnelles (RGPD) – un record après la condamnation d’Amazon au Luxembourg à payer une sanction pécuniaire de 746 millions d’euros pour avoir aussi enfreint ce même RGPD.

Amende administrative insuffisante
WhatsApp devrait faire appel de cette décision. La filiale de Facebook, dont le siège européen est basé à Dublin (capitale de l’Irlande), a non seulement écopé d’une amende salée mais aussi reçu une « réprimande » – autrement dit un blâme – et une injonction de se mettre en conformité avec le RGPD (1), lequel est en vigueur depuis le 25 mai 2018. C’est d’ailleurs moins de six mois après cette date d’application que la « Cnil » irlandaise avait débuté son enquête (à partir du 10 décembre 2018) sur les pratiques de WhatsApp en termes de transparence des informations devant être fournies aux utilisateurs de cette messagerie instantanée comme aux non-utilisateurs du service.
« Cela comprend les informations fournies aux personnes concernées sur le traitement des données entre WhatsApp et d’autres entreprises Facebook [le réseau social Facebook, la plateforme de partage de photos et de vidéo Instagram, ou encore la messagerie Messenger, ndlr] », a précisé la DPC qui, conformément à l’article 60 du RGPD, s’est constituée en « chef de file » des autres autorités de contrôle (visà- vis donc des autres « Cnil » dans l’Union européenne) afin de « s’effor[cer] de parvenir à un consensus » entre elles. Après des mois d’enquête, la DPC avait soumis un projet de décision en décembre 2020 à toutes ses homologues européennes. Mais faut de consensus sur les objections de huit « Cnil » sur les vingt-sept, l’autorité irlandaise a déclenché le processus de règlement de différends le 3 juin dernier. Ce mécanisme de contrôle de la cohérence peu aboutir à ce que le Comité européen de la protection des données (CEPD) – ou European Data Protection Board (EDPB) – adopte une décision contraignante, comme ce fut le cas dans l’affaire « WhatsApp ». En effet, le 28 juillet 2021, cet organe européen indépendant présidé par Andrea Jelinek (photo de droite) – successeur du groupe de travail dit « Article 29 » sur la protection des données – a rendu sa décision. Notifiée à la « Cnil » irlandaise, celle-ci a été obligée « à réévaluer et à augmenter l’amende proposée sur la base d’un certain nombre de facteurs » détaillés dans la décision contraignante. C’est ainsi que la société WhatsApp Ireland Limited s’est vu imposer une amende de 225 millions d’euros. « Le CEPD charge la DPC de fixer un montant d’amende plus élevé pour les infractions constatées, par rapport à l’amende administrative envisagée dans le projet de décision, tout en restant conforme aux critères d’efficacité, la proportionnalité et la dissuasion », a notamment exigé le comité européen. Dans son projet de sanction établi en 2020, la « Cnil » irlandaise avait calculé son amende sur la base du chiffre d’affaires combiné du groupe Facebook (Inc.) et de sa filiale WhatsApp en Irlande pour l’année se terminant le 31 décembre 2019. Elle a cependant dû revoir à la hausse le montant, étant donné que sa décision finale allait intervenir cette année, donc devant se référer au chiffre d’affaires au 31 décembre 2020 – et en tenant compte de la hausse de 15 % environ de ces revenus annuels.
Quels sont les griefs faits à WhatsApp ? Plusieurs violations du RGPD ont été constatées non seulement pas la « Cnil » irlandaise mais aussi par ses homologues européennes qui ont obtenu auprès du CEPD un durcissement de la décision finale de la DPC sur certains points :
• Informations à fournir lorsque des données à caractère personnel sont collectées auprès de la personne concernée (article 13) : le CEPD charge la DPC de « constater dans sa décision finale qu’il y a eu infraction à [fournir les informations sur les intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, ndlr (2)] » sur la base des insuffisances qu’elle a identifiées.

Anonymisation des données personnelles
En outre, le CEPD exige que la DPC inclue dans sa décision finale une constatation de violation – « au lieu de formuler une simple recommandation » – de l’obligation pour WhatsApp de fournir aux personnes concernées les informations complémentaires, notamment « sur la question de savoir si l’exigence de fourniture de données à caractère personnel a un caractère réglementaire ou contractuel ou si elle conditionne la conclusion d’un contrat et si la personne concernée est tenue de fournir les données à caractère personnel, ainsi que sur les conséquences éventuelles de la non-fourniture de ces données » (3) .
• Risques pour les libertés et droits fondamentaux des personnes concernées (article 4) : le CEPD conclut que le « tableau des hachures avec perte » (dans le cadre de la procédure dite de Lossy Hashing censée anonymiser les données personnelles), ainsi que les numéros de téléphone des utilisateurs associés en tant que liste de non-utilisateurs, constituent des données personnelles, et demande à la DPC de modifier son projet de décision en conséquence pour éviter un risques pour les libertés et droits fondamentaux des personnes concernées (4).

Objections et griefs des autres « Cnil »
De plus, le CEPD exige de la DPC qu’elle modifie son projet de décision « de manière à ce que le délai de six mois pour la conformité soit réduit à une période de trois mois » – à savoir a priori jusqu’au 2 décembre 2021 par rapport au 2 septembre de la décision finale.
• Principes relatifs au traitement des données à caractère personnel (article 5) : Compte tenu de la gravité, de la nature générale et de l’impact des infractions, la DPC est tenue d’inclure dans sa décision finale une constatation de violation du principe de transparence (5) selon lequel « les données à caractère personnel doivent être traitées de manière licite, loyale et transparente au regard de la personne concernée (licéité, loyauté, transparence) ».
• Informations à fournir lorsque les données à caractère personnel n’ont pas été collectées auprès de la personne concernée (article 14) : La DPC est tenue, là aussi, de modifier son projet de décision pour tenir compte du fait que la violation de l’obligation d’informations à fournir sur le traitement des données des non-utilisateurs sous la forme de listes de non-utilisateurs après la procédure d’anonymisation des données personnelles (Lossy Hashing).
• Concernant l’amende administrative : le CEPD charge la DPC de modifier son projet de décision afin de tenir compte du chiffre d’affaires total de toutes les sociétés composant l’entreprise unique Facebook (WhatsApp, Instagram inclus) pour calculer le montant de l’amende elle-même, et considérer la date de la décision finale (2021) à partir de laquelle les revenus de l’exercice précédent (2020) devrait être considéré.
• Concernant l’amende administrative (article 83) : la DPC a été contrainte d’amender son projet de décision afin de prendre également en compte les autres infractions – en plus de l’infraction la plus grave – dans le calcul de l’amende (6), sous réserve des critères d’efficacité, de proportionnalité et de dissuasion (7). Compte tenu du chiffre d’affaires annuel global de Facebook, ainsi que des infractions constatées et des facteurs aggravants correctement identifiés par la DPC, le CEPD a estimé que l’amende administrative initiale envisagée par la « Cnil » irlandaise – à savoir entre 30 et 50 millions d’euros – n’était pas suffisante et lui a demandé de la réévaluer. Pour autant, bien que les 225 millions d’euros représentent plus de quatre fois l’amende initialement envisagée par l’Irlande et qu’elle soit la deuxième plus élevée dans les sanctions pécuniaires sur les données personnelles en Europe, la somme à payer par Facebook ne représente que… 0,08 % de son chiffre d’affaires concerné. Mais pour la firme de Mark Zuckerberg, qui avait tenté en vain de bloquer l’enquête de la « Cnil » irlandaise devant la Haute cour de justice du pays, la sanction est jugée disproportionnée. « Le RGPD prévoit des amendes allant jusqu’à 4 % du chiffre d’affaires. Cela montre à quel point la DPC est encore extrêmement dysfonctionnelle », a taclé le 2 septembre l’Autrichien Max Schrems (photo ci-dessous), président de l’organisation à but non lucratif Noyb dont il est le fondateur (8).
Cette décision contraignante (9) adoptée par le CEPD dans la torpeur de l’été (le 28 juillet 2021 donc) a non seulement été adressée à la « Cnil » irlandaise mais aussi à ses homologues de l’Union européenne. La DPC a ainsi durci et annoncé sa décision finale rectifiée début septembre (10). La DPC avait un délai d’un mois à compter de la réception de la décision contraignante pour transmettre sa décision finale corrigée à la présidente du CEPD, actuellement Andrea Jelinek. La décision contraignante et la décision finale (11) qui en découle ont été rendues publiques (12).
Ce verdict à l’encontre de Facebook-WhatsApp fera date, en Europe mais aussi dans le monde. Cela restera un cas d’école pour tous les praticiens et les garants de la vie privée. Bien d’autre plaintes sont déjà sur le bureau de la DPC. Mais Facebook n’est pas au bout de ses peines, notamment depuis que WhatsApp a annoncé en début d’année à ses 2milliards d’utilisateurs de nouvelles conditions d’utilisation permettant – depuis mi-mai (13) – des transferts de données personnelles vers le réseau social.

Les « amis » consommateurs se rebiffent
C’est sur ces nouvelles règles controversées de WhatsApp que le Bureau européen des unions de consommateurs (Beuc) et huit de ses membres – dont l’association UFC-Que Choisir en France – ont déposé plainte contre la filiale de Facebook le 12 juillet dernier auprès de la Commission européenne et du CPC, réseau européen des autorités de consommateurs (14). Le Beuc accuse le numéro un mondial des réseaux sociaux de « violations multiples des droits des consommateurs de l’UE » et de « pressions indues sur ses utilisateurs pour qu’ils acceptent ses nouvelles conditions d’utilisation et sa politique de confidentialité » (15), alors qu’elles ne sont ni transparentes ni compréhensibles pour les internautes. @

Charles de Laubier

Les cookies non-sollicités ont la vie dure, mais les sanctions pécuniaires commencent à tomber

Publié le par

En France, les éditeurs de sites web – au premier rang desquels une quarantaine mis en demeure en juillet par la Cnil, après une vingtaine en mai – sont censés s’être mis en conformité depuis le 6 septembre. La Grande-Bretagne, elle, tente de réhabiliter les cookies.

Permettre aux internautes et aux mobinautes de refuser les cookies aussi simplement que de les accepter. Telle est la philosophie des « Cnil » européennes, conformément à la directive sur la protection des données électroniques (ePrivacy) et le règlement général sur la protection des données (RGPD). En France, après une soixantaine de mises en demeures sur les cookies par la Commission nationale de l’informatique et des libertés (Cnil), présidée par Marie-Laure Denis (photo), les sociétés et organisations contrevenantes à la nouvelle réglementation sur les cookies avaient jusqu’au 6 septembre pour s’y conformer.

Le site web Lefigaro.fr sanctionné
Par exemple, le 27 juillet dernier, le groupe Le Figaro a été sanctionné et mis à l’amende par la Cnil – à hauteur de 50.000 euros – « en raison du dépôt de cookies publicitaires à partir du site lefigaro.fr sans recueil du consentement préalable des internautes ». Ces petits fichiers, mouchards ou témoins des « faits et gestes » des internautes enregistrés lors de leurs navigations personnelles, étaient automatiquement logés dans l’ordinateur du visiteur du site web du quotidien Le Figaro par des partenaires de la société éditrice, mais sans action de la part de cet utilisateur ou malgré son refus. Une plainte d’une utilisatrice du Figaro.fr avait été déposée le 16 août 2018 auprès de la Cnil, la plaignante faisant notamment état de l’installation de cookies sur son terminal avant toute action de sa part sur le site web du quotidien et sans recueil de son consentement. L’éditeur du Figaro a tenté de faire valoir le fait que « l’ensemble des cookies identifiés dans le rapport [de la Cnil] comme étant des cookies “internes”, c’est-à-dire déposés par les domaines du site qu’elle édite [lefigaro.fr, player-video.lefigaro.fr], sont en réalité déposés par des tiers au moyen d’un code Javascript exécuté par la page du site web de l’éditeur visitée par l’internaute ». Le Figaro a indiqué que, dans ce cas, « [elle] n’est pas au courant de l’existence de ce cookie et n’a pas le moyen d’en contrôler le dépôt ou la lecture ». La Cnil ne l’a pas entendu de cette oreille : « Plusieurs de ces cookies poursuivaient un objectif publicitaire et auraient dû être soumis au consentement de l’utilisateur », a estimé la Cnil qui a décidé de mettre à l’amende la filiale média du groupe Dassault et de rendre publique cette décision (1) – en plus d’être publiée au Journal Officiel (2). Ce non-respect des règles sur les cookies par Lefigaro.fr remontait avant l’entrée en application du RGPD européen et s’est poursuivi malgré les nouvelles lignes directrices et la recommandation de la Cnil datant du 1er octobre 2020 – faisant suite aux directives « cookies » (3) prises par cette dernière à l’été 2019 et abrogeant la recommandation de 2013.
La Cnil a estimé que le cas du Figaro, mais aussi dans de nombreuses autres affaires, que le fait que les cookies proviennent de partenaires n’affranchit pas l’éditeur de sa propre responsabilité dans la mesure où il a la maîtrise de son site web et de ses serveurs informatiques. « Cette décision s’inscrit dans le prolongement de la décision du Conseil d’Etat dite “Editions Croque Futur” du 6 juin 2018 (4), qui précisait déjà la répartition des responsabilités entre les éditeurs de site [web] et leurs partenaires », a justifié le gendarme des données personnelles et de la vie privée. Le Conseil d’Etat a en particulier jugé que « les éditeurs de site qui autorisent le dépôt et l’utilisation de tels cookies par des tiers à l’occasion de la visite de leur site doivent également être considérés comme responsables de traitement ». Entre 2020 et 2021, l’autorité administrative indépendante dit avoir signifié à ce jour environ 70 mesures correctrices – mises en demeure et sanctions – en lien avec le non-respect de la législation sur les cookies. Et que dans 60 % des cas, il s’agit de sociétés ou d’organismes « étrangers », à savoir que la société mère est établie en dehors de la France.

Amazon et Google condamnés en France
C’est ainsi que la Cnil a prononcé le 7 décembre 2020 deux sanctions sans précédente en Europe à l’encontre d’Amazon (5) et de Google (6), pour des montants respectifs de 35 et 100 millions d’euros. Le gendarme français de la protection des données personnelles a reproché aux deux géants du Net d’avoir déposé des cookies publicitaires sur les ordinateurs d’utilisateurs des sites web google.fr et de amazon.fr sans consentement préalable de ces utilisateurs ni information suffisamment claire. Comme Le Figaro et les autres récalcitrants (grandes plateformes numériques, fabricants de matériel informatique et de logiciels, sociétés de e-commerce, acteurs du tourisme en ligne, sociétés de location de véhicules, établissements bancaires, collectivités locales, fournisseur d’énergie, et même des services publics en ligne), ils ont été condamnés à une amende pour avoir violé l’article 82 de la loi « Informatique et libertés ».

La Grande-Bretagne veut des cookies !
Celui-ci impose au responsable de traitement des données, d’une part, une information claire et complète de la finalité de toute action tendant à accéder à des informations déjà stockées dans l’ordinateur de l’utilisateur et des moyens dont il dispose pour s’y opposer, et, d’autre part, un recueil préalable du consentement de l’utilisateur. Potentiellement, les amendes peuvent atteindre jusqu’à 2 % du chiffre d’affaires de l’entité condamnée pour non-conformité. La Cnil a déjà prévenu : les contrôles s’inscrivent dans la durée avec d’autres campagnes de vérifications et de mesures correctrices qui seront ainsi menées à partir de cette rentrée 2021-2022, « afin d’assurer le respect de la vie privée des internautes français ».
Au 14 septembre, sur la quarantaine d’éditeurs de sites web mis en demeure cet été, « 80 % des acteurs concernés se sont mis en conformité » – pas les 20 % restants… Et le gendarme des données personnelles, qui assume sa politique répressive, de prévenir les mauvais joueurs présents et futurs : « De nouvelles campagnes de contrôle sont en cours de préparation. Comme les précédentes, elles continueront à cibler des acteurs privés nationaux et internationaux, mais également des organismes publics dont les sites web génèrent un trafic important. Par ailleurs, une attention particulière sera portée aux sites des partis politiques en raison des élections présidentielles qui se dérouleront en 2022. Les vérifications continueront à porter sur la possibilité de refuser les cookies aussi simplement que de les accepter, mais également sur le respect effectif de ce choix » (7). Les cookies déposés sans consentement ou refus préalables sur les disques durs des ordinateurs ont donc la vie dure, tout comme ceux mis dans les mémoires de stockage des smartphones ou des tablettes.
Mais à force de vouloir protéger la vie privée des internautes, les bannières surgissantes sont devenues presque systématiques et gênent la fluidité de navigation sur le Web. Et des voix commencent à s’en plaindre. Fin août, dans une interview parue le 26 dans The Telegraph, le secrétaire d’Etat britannique au Numérique, à la Culture, aux Médias et au Sport, Oliver Dowden, il a prévenu qu’il a l’intention de supprimer les fenêtres surgissantes sans arrêt sur les écrans des visiteurs de sites web pour leur demander d’accepter ou de refuser le dépôt de cookies et, ce faisant, la permission stocker des renseignements personnels au sujet de chacun d’eux. Bien que le ministre britannique membre des conservateurs convienne que les cookies présentant « un risque élevé pour la vie privée des personnes » devront toujours recevoir un avis de consentement, il a affirmé que bon nombre de ces bannières intempestives sont « inutiles » et « devraient être supprimées ». Depuis que le Brexit est entré en vigueur le 1er janvier 2021, la Grande-Bretagne veut s’affranchir du RGPD et prépare sa propre réglementation sur la protection des données. Et l’assouplissement de l’autorisation demandée en ligne aux internautes concernant les cookies serait envisagé. Mais Oliver Dowden se veut prudent sur les intentions du gouvernement britannique dans ce domaine sensible, assurant que « nous pouvons toujours veiller à ce que des normes élevées de protection de la vie privée soient protégées » (8). Il s’agit aussi de ne pas heurter l’Union européenne, avec laquelle le Royaume-Uni a signé pour quatre ans des « accords d’adéquation sur les données » commerciales et policières. Si Bruxelles était amené à dire que Londres va trop loin dans sa réforme sur les données personnelles, une rupture de ces accords pourrait compliquer la vie des entreprises britanniques vis-à-vis de l’Europe.
Le ministre britannique se veut confiant pour la réforme à venir, prenant l’exemple de deux autres pays indépendants que sont le Japon et la Nouvelle-Zélande, dont les données sont considérées comme « adéquates » par l’Union européenne.

Noyb (Max Schrems) épingle
L’organisation autrichienne non gouvernementale Noyb (9) multiplie, elle, des actions en Europe en déposant des centaines de plaintes devant la justice de plusieurs pays européens contre des sites web contrevenant aux règles du RGPD sur le dépôt ou pas des cookies via une bannière simplifiée et sans ambiguïté. C’est oui ou bien c’est non.
Le 10 août dernier, Noyb a officiellement déposé 422 plaintes sur les 10.000 sites web mis sous surveillance. « Certains acteurs majeurs comme Seat, Mastercard ou Nikon ont instantanément changé leurs pratiques, s’est félicité Max Schrems, président de la Noyb (10). Cependant, de nombreux autres sites web n’ont cessé que les pratiques les plus problématiques. Par exemple, ils ont peut-être ajouté une option de “rejet”, mais celle-ci reste difficile à lire ». @

Charles de Laubier

Vers une régulation harmonisée des systèmes d’intelligence artificielle (IA) à risque en Europe

Publié le par

Le projet de règlement européen « Régulation harmonisée de l’IA », qui a entamé son parcours législatif, est ambitieux puisque la proposition est assortie d’une application extraterritoriale, à l’instar du RGPD. Très redouté par les GAFAM, ce cadre établie une échelle de risques des « systèmes d’IA ».

Par Laura Ziegler et Rémy Schlich, avocats, Algo Avocats

Faire de l’Union européenne (UE) la première région au monde pour le développement d’une intelligence artificielle de pointe, éthique et sûre, axée sur le facteur humain. Tel est l’objectif poursuivi depuis 2018 par la Commission européenne (1). Celle-ci est passée à la vitesse supérieure en proposant un règlement (2) établissant des règles harmonisées en matière d’intelligence artificielle (IA), afin d’encadrer une technologie stratégique et transversale, jusqu’alors habituée au droit souple.

Amorce d’une régulation de l’IA
En l’absence de cadre légal général spécifique, le développement de l’IA a été favorisé ces dernières années par une régulation souple, volontaire et sectorielle, par le prisme des chartes éthiques et de la soft law, visant à la fois à sensibiliser le marché aux enjeux attachés à son usage et à bâtir la confiance nécessaire à son expansion. Née d’une volonté de promouvoir l’IA en facilitant son développement au sein du marché européen par une approche harmonisée et d’encadrer les risques associés à son utilisation, la proposition présentée par la Commission européenne le 21 avril 2021 opte pour une régulation de l’lA via l’instrument juridique européen le plus contraignant – le règlement – en instaurant un cadre qu’elle veut toutefois souple. Elle tient compte des nombreux travaux conduits en ce sens à l’échelle européenne, notamment par le groupe d’experts désignés par elle (3), le Parlement européen (4) ou encore dans le cadre du Conseil de l’Europe (5). Si plusieurs approches ont été examinées par la Commission européenne (mise en place d’un schéma de labélisation volontaire, approche sectorielle, règles impératives applicables à tous les systèmes d’IA sans distinction), une approche fondée sur l’évaluation des risques emporte ainsi sa préférence. Il s’agit d’instaurer un cadre réglementaire impératif, applicable uniquement aux systèmes d’IA présentant des risques élevés, et de laisser la possibilité aux fournisseurs de systèmes d’IA ne présentant pas de tels risques de s’autoréguler par l’adoption de chartes de conduite. Le projet de règlement « Régulation harmonisée de l’IA », qui vient d’entamer son parcours législatif au sein du Conseil de l’UE et de ses instances préparatoires (6), se veut ambitieux puisque la proposition est assortie d’une application extraterritoriale, à l’instar du RGPD, les opérateurs établis hors de l’UE à l’origine de la mise sur le marché, de la mise en service et de l’utilisation d’un système d’IA dans l’UE se trouvant également exposés à cette nouvelle réglementation. S’affranchissant de la désormais classique opposition IA forte/IA faible et rejoignant ainsi la position du Comité ad hoc sur l’intelligence artificielle (CAHAI (7)) du Conseil de l’Europe (8), la proposition adopte une approche généralisée et « neutre » technologiquement visant les systèmes intégrant des logiciels développés à l’aide d’une ou plusieurs techniques – systèmes auto-apprenants, systèmes logiques et systèmes statistiques (9) – et qui, « pour un ensemble donné d’objectifs définis par l’homme, génèrent des résultats tels que du contenu, des prédictions, des recommandations ou des décisions influençant des environnements réels ou virtuels » (10). L’approche sectorielle n’est également pas retenue par la Commission européenne qui opère une classification des systèmes d’IA en fonction de leurs finalités et non de la technologie utilisée (11), excluant au passage de son champ d’application les systèmes d’IA développés pour des finalités militaires (12) ou utilisées dans le cadre d’activités non-professionnelles ou ponctuelles (13). Le régime applicable aux systèmes d’IA sera ainsi fonction des risques induits par la finalité poursuivie par ces systèmes et leurs impacts en matière de sécurité, de santé ou encore de respect des droits et libertés fondamentaux des individus. Cette approche par les risques répertorie les utilisations de l’IA selon plusieurs catégories.

De la prohibition à la libre utilisation
L’utilisation de certains systèmes d’IA est désormais prohibée, considérée comme contrevenant par nature aux valeurs de l’UE et notamment aux droits fondamentaux. Sont ainsi interdites par exemple : les pratiques – comme le nudging – présentant un risque potentiel significatif de manipulation des individus par l’usage de techniques subliminales ou exploitant les vulnérabilités de certaines catégories d’individus (enfants, etc.) ; les pratiques susceptibles de leur causer un préjudice physique ou psychologique, celles visant à évaluer, classer ou noter les personnes physiques sur la base de leur comportement social, de caractéristiques personnelles ou prédites et conduisant à un traitement préjudiciable ou défavorable ; celles encore utilisant des techniques d’identification biométrique en temps réel dans des espaces accessibles au public à des fins d’application de la loi – sous réserve de certaines exceptions strictement encadrées (14). En introduisant de telles exceptions, la Commission européenne écarte donc l’idée d’un moratoire sur l’usage de la reconnaissance faciale dans l’espace public, envisagé peu avant la publication de son livre blanc (15) et souhaité par le Contrôleur européen de la protection des données et le Comité européen de la protection des données (EDPB) dans leur récent avis conjoint (16) (*).

Les systèmes d’IA à haut risque
Véritable cœur de la proposition, les « système d’IA à haut risque », c’est-à-dire présentant un risque élevé en matière de santé, de sureté et/ou de respect des droits et libertés fondamentales, sont autorisés sur le marché européen sous réserve de respecter un certain nombre d’exigences réglementaires et de procéder à une évaluation préalable de conformité. Deux catégories principales de systèmes d’IA à haut risque sont identifiées par la Commission européenne : ceux destinés à être utilisés comme composants de sécurité de produits soumis à une évaluation de conformité préalable par un tiers (17), et ceux autonomes ayant principalement des incidences sur les droits fondamentaux (18). Les systèmes d’IA spécifiques, c’est-à-dire présentant des risques spécifiques de manipulation, sont quant à eux uniquement soumis à des obligations de transparence et d’informa-tion (19) : il s’agit de ceux utilisés pour interagir avec des individus (chatbots), détecter des émotions ou établir des catégories sur la base de données biométriques ou encore pour générer ou manipuler des images, du contenu audio ou vidéo (deepfakes). Tous les autres systèmes d’IA ne sont quant à eux soumis à aucun encadrement strict (20).
Quant aux obligations pesant sur les différents acteurs de la chaîne de valeur d’un système d’IA, elles dépendent du rôle de chacun des acteurs. Des obligations spécifiques sont ainsi imposées aux fournisseurs, importateurs, distributeurs, utilisateurs ainsi qu’aux autres tiers. En substance, plus l’acteur est éloigné de la phase de conception du système d’IA, moins ses obligations seront conséquentes. Ainsi, le fournisseur de système d’IA établi dans l’UE (21) qui le développe ou le fait développer sous son nom ou sa marque, est soumis à de plus nombreuses obligations (établir la documentation technique, conserver les logs générés, procéder à l’analyse de conformité avant sa mise sur le marché, notifier et coopérer avec les autorités compétentes). L’importateur, lui, devra s’assurer que le fournisseur a bien réalisé une analyse de conformité et établir une documentation technique, quand l’utilisateur devra, pour sa part, principalement se conformer aux instructions accompagnant le système d’IA. Le nombre de ces obligations, pesant par ailleurs principalement sur les fournisseurs de solutions d’IA (pourtant véritables moteurs de l’innovation), peut interroger, notamment sur la charge que représentera ces coûts de mise en conformité pour ces derniers et ses conséquences sur le marché. La Commission européenne affiche toutefois sa volonté de maintenir les coûts de mise en conformité à un niveau minimum applicables uniquement en fonction des risques encourus. Pour pallier d’éventuels effets négatifs, elle a mis en place des mesures dédiées pour soutenir l’innovation, notamment à l’attention des PME et des start-up. Elle encourage tout d’abord les autorités nationales compétentes à créer des «bac à sable réglementaire» (sandboxes) pour mettre en place, sous leur contrôle, un environnement permettant le développement, le test et la validation de systèmes d’IA innovants pendant une période déterminée avant leur mise sur le marché ou en service – avec l’objectif de les mettre en conformité avec ces exigences réglementaires. De la même manière, elle exige des Etats membres la mise en place d’un certain nombre de mesures visant à encourager les PME et les start-up de systèmes d’IA. Toutefois, le choix de la Commission européenne d’une approche par les risques et non par la technologie concernée implique de « qualifier » un système d’IA en fonction de la finalité de chaque projet concerné. Si dans certains cas la qualification du système d’IA sera toujours la même (d’autant plus lorsqu’il s’agit d’une offre standardisée), certains fournisseurs (22) pourraient en revanche voir leur systèmes d’IA soumis à des qualifications différentes. Un fournisseur pourrait ainsi se trouver soumis à la majorité des obligations prévues dans la proposition en raison des finalités du projet porté par son client, à moins que ce client ne circule le système d’IA sous son nom ou sa marque ou décide de modifier sa finalité ou son fonctionnement de façon substantielle pour éviter une telle qualification (23).
En cas de manquements, les lourdes sanctions encourues peuvent s’élever jusqu’à un maximum de 30 millions d’euros ou 6 % du chiffre d’affaires mondial. En parallèle, les recommandations et lignes directrices en matière d’IA sont de plus en plus nombreuses : l’Unesco examinera prochainement le projet de recomman-dation sur l’éthique de l’IA ; le Conseil de l’Europe a produit de nombreuses lignes directrices, rapports et recomman-dations ; l’EDPB et les autorités nationales ont adopté de nombreux textes venant encadrer l’utilisation de l’IA en général ou pour des technologies spécifiques telles que la reconnaissance faciale, la localisation et le traçage, les véhicules autonomes ou encore les assistants vocaux.

Entrée en vigueur en 2024 ?
Les initiatives sectorielles restent pour l’heure la norme en matière de régulation de l’IA. La phase des négociations entre le Parlement européen, le Conseil de l’UE et la Commission européenne commence à peine sur ce texte législatif qui n’entrera en vigueur que 24 mois après son adoption. Rendezvous en 2024. @