Archives par mot-clé : AI Act

L’ex-secrétaire d’Etat au Numérique Cédric O fait toujours polémique avec son « Mistral gagnant »

Publié le par

Le lobbying dans l’IA de l’ancien secrétaire d’Etat au Numérique, Cédric O, continue de faire polémique sur fond de soupçons de conflits d’intérêts. La Haute autorité pour la transparence de la vie publique (HATVP) avait exprimé des réserves en juin 2022. Et depuis ?

(Le 11 juin 2024, soit le jour suivant la publication de cet article dans le n°323 de Edition Multimédi@, Mistral AI annonçait une levée de fonds de 600 millions d’euros)

Cédric O, cofondateur et actionnaire de la start-up Mistral AI via sa propre société de conseil Neopunteo, est-il juge et partie – voire en conflits d’intérêts – vis-à-vis du gouvernement dont il fut secrétaire d’Etat au Numérique (mars 2019 à mai 2022) ? La question est lancinante mais légitime puisque cela concerne l’ancien secrétaire d’Etat au Numérique. Contactée par Edition Multimédi@, la Haute autorité pour la transparence de la vie publique (HATVP), présidée par Didier Migaud, nous a assuré qu’elle s’était bien prononcée dans sa délibération du 14 juin 2022 sur la demande que lui avait soumise Cédric O (photo) concernant notamment sa société Neopunteo. Cédric O a créé le 11 juillet 2022 Neopunteo, qui a notamment pour objet social la prise de participation, directe ou indirecte, dans toutes opérations financières, immobilières ou mobilières ou entreprises commerciales ou industrielles pouvant se rattacher à l’objet social, notamment par voie de création de sociétés nouvelles, le tout directement ou indirectement, pour son compte ou pour le compte de tiers », nous a précisé un porte-parole de la HATVP. Et celui-ci de nous confirmer en outre : « C’est la société Neopunteo qui a souscrit des parts au capital de la société Mistral AI ».

Neopunteo, société de conseil au bras long
C’est ainsi que l’ancien secrétaire d’Etat au Numérique a pu affirmer auprès de l’AFP en décembre dernier qu’ « [il] respect[ait] toutes les obligations demandées par la HATVP ». Cédric O a investi dans la start-up Mistral AI, créée le 28 avril 2023, dont il est coactionnaire et « conseiller-cofondateur » via sa société Nopeunteo qui était encore à l’état de projet au moment du rendu de l’avis contraignant du gendarme de la transparence de la vie publique. Comme Cédric O a occupé ses fonctions ministérielles du 31 mars 2019 au 20 mai 2022, il avait en effet l’obligation – dans les trois ans suivant la cessation de ses fonctions à Bercy, soit jusqu’en mai 2025 – de saisir la HATVP avant de s’engager professionnellement. La haute autorité se prononce sur la compatibilité ou pas de l’exercice d’une activité rémunérée au sein d’une entreprise avec les fonctions de membre du gouvernement exercées au cours des trois années précédant le début de l’activité. Objectif : éviter le risque de prise illégale d’intérêts, laquelle relève d’une infraction pénale passible de trois ans d’emprisonnement et d’une amende de 200.000 euros. Il s’agit aussi de lutter contre Continuer la lecture

Acteurs de l’IA, la Cnil vous adresse ses premières recommandations : à vous de jouer !

Publié le par

La Commission nationale de l’informatique et des libertés (Cnil) a publié le 8 avril 2024 sept premières fiches « pour un usage de l’IA respectueux des données personnelles ». D’autres sont à venir. Ces règles du jeu, complexes, sont les bienvenues pour être en phase avec le RGPD et l’AI Act.

Par Anne-Marie Pecoraro*, avocate associée, UGGC Avocats

L’intelligence artificielle (IA) conduit à questionner de manière plus exigeante et approfondie la protection des données personnelles. Les principes fondateurs du RGPD (1) doivent non seulement être pleinement rappelés et appliqués, mais ils doivent même l’être de manière plus dynamique et exigeante. Un exemple : des données qui auraient précédemment pu être considérées pseudonymisées ou même anonymisées, pourront faire l’objet de calculs et de recoupements massifs, qui pourraient aboutir à identifier à nouveau les personnes, grâce à l’utilisation de l’IA.

Sept premières fiches pratiques
L’entraînement des IA appelle des données personnelles comme l’image et la voix des personnes, d’une quantité sidérale sans précédent. Il appartient aux entreprises et organisations nationales et internationales de procéder à la mise en conformité avec l’AI Act, lequel a été adopté 13 mars 2024 par le Parlement européen (2). Parallèlement et le même jour en France, la commission de l’IA – installée depuis septembre 2023 auprès du Premier ministre – a remis au président de la République son rapport (3) qui recommande notamment un assouplissement des contraintes liées à l’utilisation, par l’IA, de données personnelles. Cette commission IA appelle à « transformer notre approche de la donnée personnelle pour protéger tout en facilitant l’innovation au service de nos besoins ».

IA génératives, contrefaçons, exceptions au droit d’auteur et opt out : où se situent les limites ?

Publié le par

Adopté par les eurodéputés le 13 mars 2024, l’AI Act – approuvé par les Etats membres en décembre 2023 – va être définitivement voté en plénière par le Parlement européen. Mais des questions demeurent, notamment sur les limites du droit d’auteur face aux intelligences artificielles génératives.

Par Vanessa Bouchara, avocate associée, et Claire Benassar, avocate collaboratrice, Bouchara & Avocats.

Si l’utilisation des intelligences artificielles (1) est désormais largement répandue, ces techniques et technologies capables de simuler l’intelligence humaine restent au cœur de nombreux questionnements – tant éthiques que juridiques. Alors même que le projet de règlement européen visant à encadrer l’usage et la commercialisation des intelligences artificielles au sein de l’Union européenne, dit AI Act (2), a été adopté en première lecture le 13 mars 2024 par le Parlement européen (3), c’est l’intelligence artificielle générative – IAg, AIG ou GenAI – qui est aujourd’hui sujette à controverse.

Droit d’auteur et procès en contrefaçon
A l’origine du débat les concernant, il importe de rappeler que les systèmes d’IAg ont pour particularité de générer du contenu (textes, images, vidéos, musiques, graphiques, etc.) sur la base, d’une part, des informations directement renseignées dans l’outil par son utilisateur, et, d’autre part et surtout, des données absorbées en amont par l’outil pour enrichir et entraîner son système. Les systèmes d’intelligence artificielle générative sont ainsi accusés d’être à l’origine d’actes de contrefaçon, et pour cause : l’ensemble des données entrantes dont ils se nourrissent peuvent potentiellement être protégées par des droits de propriété intellectuelle. Où se situe donc la limite entre l’utilisation licite de ces données et la caractérisation d’un acte de contrefaçon ? Si, par principe, la reproduction de telles données est interdite, le droit européen semble désormais entrouvrir la possibilité d’utiliser celles-ci dans le seul cadre de l’apprentissage de l’IAg.

Le Bureau européen de l’IA forme son bataillon

Publié le par

En fait. Le 27 mars à midi est la date limite pour se porter candidat à l’une des offres d’emploi du « Bureau de l’IA » (AI Office) créé au sein de la Commission européenne par l’AI Act dont la version finale sera soumise le 22 avril au vote du Parlement européen. Sont recrutés des techniciens et des administratifs.

Data Act et AI Act, ou l’art de ménager la chèvre (innovation) et le chou (droits individuels)

Publié le par

Le Data Act et l’AI Act ont un objectif commun : tirer profit des opportunités offertes par les données, qu’elles soient issues d’objets connectés pour le premier, ou de modèles d’intelligence artificielle pour le second, tout en protégeant les droits des individus contre les dérives.

Par Anne-Marie Pecoraro*, avocate associée, UGGC Avocats

Les premiers mois de l’année 2024 ont été marqués par des développements substantiels sur le plan réglementaire concernant les données en Europe, développements à la lumière desquels le règlement général sur la protection des données (RGPD) est pensé de manière dynamique. Avec deux autres règlements que sont le Data Act (déjà en vigueur) et le AI Act (toujours en cours d’examen), l’Union européenne (UE) tente de préserver cet élan innovateur tout en assurant une protection efficace des droits individuels.

Socle solide de règles sur les données
Adoption du Data Act : le 11 janvier 2024, le Conseil de l’UE a adopté le règlement portant sur des règles harmonisées en matière d’accès et d’utilisation équitables des données. Le texte vise à « relever les défis et à libérer les opportunités offertes par les données dans l’[UE], en mettant l’accent sur l’accès équitable et les droits des utilisateurs, tout en assurant la protection des données à caractère personnel » (1). Il s’inscrit dans une stratégie européenne pour les données afin de créer un marché unique des données garantissant la compétitivité et la souveraineté de l’Europe.
Projet d’AI Act : le 2 février 2024, le Conseil de l’UE a adopté à l’unanimité la proposition de règlement du Parlement européen et du Conseil de l’UE établissant des règles harmonisées concernant l’intelligence artificielle, texte pour lequel un accord avait été trouvé dès décembre 2023 (2). Ce texte est pour le moment d’une ambition unique au monde. Le Data Act et prochainement l’AI Act prendront donc place aux côtés du Digital Services Act (entré en vigueur le 25 août 2023 dans le but de responsabiliser les plateformes numériques et de lutter contre la diffusion de contenus illicites ou préjudiciables ou de produits illégaux), du Digital Markets Act (entré en vigueur le 2 mai 2023 et visant à mieux encadrer les activités économiques des grandes plateformes numériques) et du RGPD (entré en application le 25 mai 2018 dans le but de protéger les droits des personnes concernées par un traitement de leurs données personnelles).
A eux cinq, ces règlements européens forment les principaux piliers de la régulation des plateformes et données en Europe. Un sixième texte, le Digital Governance Act, entré en vigueur le 23 juin 2022, concerne également les données, en traitant principalement du secteur public. Il s’agit de réglementer par-delà les frontières en s’appliquant aussi à l’international. Cette réglementation, devenue cruciale pour rechercher un usage éthique, transparent et équitable des données traitées massivement, demeurera exceptionnelle en ce qu’elle s’érige à un échelon européen et transnational capable d’atteindre des entreprises de toutes tailles, y compris les plus grandes, installées hors d’Europe. L’article 3 du Data Act prévoit que le règlement s’applique dès qu’un produit connecté ou un service connexe est mis à disposition sur le territoire de l’UE et/ou qu’un utilisateur ou destinataire de données sont situés dans les Vingt-sept. Et ce, quel que soit le lieu d’établissement du détenteur de données ou du fournisseur de services de traitement de données.
De la même manière, l’article 2 de l’AI Act prévoit que le règlement s’appliquera dès qu’un système d’IA sera mis sur le marché de l’UE ou qu’un utilisateur de système d’IA est établi ou est localisé sur le territoire des Vingt-sept, ou encore que le contenu généré par l’IA est utilisé au sein de l’UE. Le but est de ne pas favoriser les acteurs non européens au détriment des entreprises locales. Il s’agit donc, comme pour le RGPD, d’assurer une protection efficace des citoyens européens sans entraver la compétitivité des entreprises européennes. Les textes cherchent aussi à ne pas décourager les entreprises européennes à innover, en ayant notamment pour effet d’imposer de manière extraterritoriale, même aux plus grandes entreprises internationales, des obligations. Les Gafam ont mis en avant les risques liés notamment au AI Act, la mise en conformité entraînant des coûts importants.

Transparence et secret des affaires : équilibre
Un enjeu du Data Act et de l’AI Act est de trouver un équilibre entre la transparence dans le traitement des données et la préservation du secret des affaires, afin de ne pas freiner l’innovation :
• Le Data Act : la maîtrise par l’utilisateur de ses données limitée par le secret des affaires. L’article 3 du Data Act prévoit l’obligation pour les entreprises concevant et fabriquant des objets connectés et des services connexes de rendre, par défaut, les données et métadonnées générées par ces objets et/ou services connexes facilement accessibles à l’utilisateur, voire lorsque cela est « pertinent et techniquement possible » directement accessibles à l’utilisateur par une simple demande électronique. A ce sujet, l’article 3.2 du Data Act prévoit qu’un certain nombre d’informations précontractuelles doivent être délivrées par le vendeur, le loueur ou le bailleur d’objets connectés « de manière claire et compréhensible ». Ces informations sont notamment relatives au type, format et volume estimé de données générées par l’objet en question ou encore à la capacité de l’objet de générer des données en continu et en temps réel (3). Aussi, l’article 5 du Data Act prévoit le droit pour l’utilisateur de partager des données avec des tiers.

Les obligations du détenteur de données
Cependant, afin d’assurer la compétitivité des entreprises en Europe, le texte prévoit, que ce soit au sujet du droit d’accès ou du droit de partage des données par l’utilisateur à des tiers, le respect du secret des affaires par lequel seraient protégées certaines données. Le détenteur de la donnée a ainsi l’obligation de recenser les données ou métadonnées protégées en tant que secret des affaires et de mettre en place des « mesures techniques et organisationnelles proportionnées » nécessaires à la préservation de la confidentialité des données partagées. Le texte prévoit notamment la possibilité d’élaboration de clauses de confidentialité entre le détenteur de données et l’utilisateur et/ou le tiers, ou encore l’adoption de « codes de conduite ».
A défaut d’accord ou si l’utilisateur ou le tiers contrevient aux mesures convenues avec le détenteur du secret des affaires, le détenteur de données peut bloquer ou suspendre le partage des données confidentielles. Il devra alors avertir l’utilisateur ou le tiers concerné et le notifier à l’autorité compétente. De surcroît, même si l’utilisateur ou le tiers respecte les mesures convenues avec le détenteur de données, ce dernier peut démontrer « qu’il est très probable qu’il subisse un préjudice économique grave du fait de la divulgation de secrets d’affaires » et ainsi refuser une demande d’accès pour les données en question en avertissant et en expliquant les raisons précises de sa décision et en le notifiant à l’autorité compétente. La décision du détenteur de données est toutefois susceptible de recours par l’utilisateur ou le tiers devant une juridiction d’un Etat membre et peut aussi être l’objet d’une réclamation auprès de l’autorité compétente. Enfin, l’utilisateur ou le tiers ont l’interdiction de se servir des données obtenues pour concurrencer le produit connecté en question.
L’AI Act : la « synthèse suffisamment détaillée » des données d’entraînement au cœur des interrogations. L’AI Act réalisera en substance le même compromis que le Data Act en ce qui concerne les données d’entraînement qui sont utilisées par les IA pour générer du contenu (4). En effet, le texte prévoit que les fournisseurs d’IA à usage général devront prendre des mesures pour respecter le droit d’auteur, en particulier le droit d’opposition des ayants droit, peu importe la juridiction où l’entraînement a lieu. Ces mêmes fournisseurs devront également, afin d’accroître la transparence sur les données d’entrainement, publier une « synthèse suffisamment détaillée » de ces données. Cette synthèse devra être globalement exhaustive dans sa portée plutôt que techniquement détaillée afin de faciliter aux parties ayant des intérêts légitimes, notamment les ayants-droits, l’exercice de leurs droits. Le texte donne simplement de vagues exemples d’informations fournies au titre de la synthèse détaillée, comme l’énumération des principales collections de données ou les ensembles utilisés pour former le modèle. Les fournisseurs de modèles d’IA gratuits et open source seront exemptés de cette obligation sauf s’ils présent un risque systémique, afin d’inciter leur développement dans la mesure où ils contribuent à la recherche à l’innovation sur le marché et peuvent être des sources de croissance importante pour l’économie de l’UE. Le « Bureau de l’IA » – « AI Office » tel que prévu dans la version consolidée de l’AI Act (5) datée du 21 janvier (6) – devrait entrer en vigueur le 21 février 2024 (7). Il fournira des modèles de synthèses à destination des fournisseurs d’IA concernés et veillera au respect de ces dispositions. La Commission européenne a d’ailleurs, dans une déclaration (8) publiée après l’adoption du texte, réaffirmé le rôle primordial du Bureau de l’IA dans la nouvelle réglementation et dans lequel la France a bien l’intention d’être représentée afin de faire entendre sa voix (9).
Cependant, afin de préserver l’innovation d’une règlementation trop encombrante, l’AI Act prévoit que les rédacteurs de cette synthèse suffisamment détaillée devront prendre en considération le besoin de protéger le secret des affaires et les informations confidentielles. Attention toutefois, à la différence du Data Act, cette mention figure dans les considérants et non pas dans le corps du texte du règlement.
Le Data Act a été pensé pour favoriser l’accès par les petites et moyennes entreprises (PME) à des données pertinentes et leur permettre ainsi d’innover et de rivaliser face à de grandes entreprises qui possèdent déjà une puissance économique considérable sur le marché. C’est précisément pour cette raison que le texte a exclu les entreprises désignées en tant que « contrôleur d’accès » au sens de l’article 3 du DMA (10) du bénéfice de la désignation en tant que « tiers »au sens du Data Act et donc de l’accès aux données issues d’objets connectés et services connexes par le biais du droit de partage de l’utilisateur.

Ménager les PME, éviter les monopoles
Concernant l’AI Act, la Commission européenne a lancé le 24 janvier 2024 des mesures visant à soutenir les jeunes pousses et les PME européennes dans le développement de l’IA (11). Cette volonté se retrouve donc logiquement dans le texte de l’AI Act dont les rédacteurs ont souhaité accélérer l’accès au marché pour les PME en éliminant les obstacles. Le texte entend ainsi permettre des moyens simplifiés de conformité pour les entreprises de plus petite taille et éviter un monopole des plus grandes entreprises dotées d’une grande force de frappe, comme OpenAI. @

* Anne-Marie Pecoraro est avocate spécialisée en droit de la
propriété intellectuelle, des médias et des technologies