Archives par mot-clé : CJUE

L’enjeu de la base légale et de l’information dans la conformité au RGPD des fournisseurs d’IA

Publié le par

Depuis peu, les fournisseurs de systèmes d’intelligence artificielle (IA) font l’objet d’une attention accrue de la part des autorités de contrôle européennes, lesquelles analysent leur conformité au règlement sur la protection des données (RGPD), de l’information des personnes à la base légale.

Par Sandra Tubert, avocate associée et Alicia Forgues, docteure en droit, Algo Avocats

Après avoir sanctionné OpenAI en décembre 2024 pour ses manquements au RGPD en lien avec son IA générative ChatGPT (1), l’autorité italienne de protection des données – la GPDP (2) – vient cette fois d’ordonner, le 30 janvier dernier (3), le blocage immédiat de l’application et du site web DeepSeek en Italie en raison de manquements présumés au RGPD. Avant d’ordonner la limitation du traitement, la GPDP avait adressé le 28 janvier une demande d’informations à DeepSeek, afin qu’elle précise les données traitées, les finalités poursuivies, leurs bases légales, le lieu de stockage, ainsi que la typologie de données utilisées pour entraîner les modèles d’IA, leurs sources et les modalités d’information des personnes (4).

Modèles d’IA, systèmes d’IA et données
D’autres « Cnil » européennes ont ouvert des enquêtes. Si le recours à l’IA n’impacte pas véritablement les réponses à apporter à certaines de ces questions, les bases légales de traitement et modalités d’information des personnes posent plus de difficultés lorsqu’il s’agit des traitements mis en œuvre dans le cadre de l’entraînement des modèles d’IA. En effet, ces derniers sont entraînés à l’aide d’un grand nombre de données, parmi lesquelles figurent parfois des données personnelles. Celles-ci se divisent en deux catégories : les données fournies directement par des personnes concernées ou les utilisateurs du système d’IA intégrant le modèle d’IA, auxquelles se rajoutent les données collectées durant l’utilisation du service (données first-party) et les données de non-utilisateurs collectées par web scraping ou grâce à la signature de contrats de licences d’utilisation de contenus (données third-party).
Lorsque le fournisseur se contente d’utiliser des données first-party pour entraîner ses modèles d’IA, le contact direct dont il dispose avec les personnes concernées par le traitement lui permet de les informer de manière classique, notamment via une politique de confidentialité – à laquelle il sera renvoyé depuis un formulaire de collecte ou un courriel – qui devra être précise et claire sur les finalités d’entraînement des modèles (notamment en distinguant l’information portant sur l’entraînement des modèles des autres traitements). A l’inverse, s’il utilise également (suite)

« Résumé suffisamment détaillé » : 2025 sera l’année de vérité dans la mise en œuvre de l’AI Act

Publié le par

Le rapport du CSPLA sur la mise en œuvre du règlement européen établissant des règles harmonisées sur l’IA fournit les ingrédients mais… pas la recette ! Le Bureau européen de l’IA, créé par l’AI Act, doit publier prochainement un « modèle européen » à suivre par les Vingt-sept.

Par Anne-Marie Pecoraro*, avocate associée, UGGC Avocats

Le rapport « IA et Transparence des données d’entraînement » (1), publié le 11 décembre 2024 par le Conseil supérieur de la propriété littéraire et artistique (CSPLA), s’inscrit dans la préparation de la mise en œuvre du règlement européen sur l’intelligence artificielle (AI Act) et a pour objectif de clarifier l’interprétation et la portée des dispositions imposant un modèle de « résumé suffisamment détaillé » (2). Ce modèle sera présenté au nom de la France dans le cadre du processus d’adoption d’un modèle européen par le Bureau européen de l’IA (AI Office), autorité créée par l’AI Act et chargée d’accompagner les fournisseurs d’IA dans leur mise en conformité. La publication du modèle européen est attendue pour janvier 2025.

Transparence des données d’entraînement
La collecte de données de qualité, notamment de données culturelles, est d’une importance stratégique pour les fournisseurs d’IA, puisque les systèmes d’IA ont besoin d’ingurgiter de grandes quantités de données, leur servant de modèles dans leurs productions. Or, des données contenant des créations protégées par un droit de propriété intellectuelle peuvent avoir été obtenues sans autorisation ou sans tenir compte d’un « opt-out », et avoir été effectivement exploitées. Il en va de même concernant des données personnelles (posts Facebook, Instagram, …) potentiellement utilisées pour l’entraînement de modèles d’IA. L’enjeu est alors d’avoir accès à l’information sur les données d’entraînement utilisées par une IA, pour bien des raisons et notamment ouvrir une visibilité aux ayants droits dont des données et/ou créations auraient été mobilisées, quelles qu’en soient les modalités.
Pour ce faire, les fournisseurs d’IA sont désormais soumis à une obligation de transparence qui se concrétise par la mise en place d’une politique de conformité, ainsi que par la mise à disposition au public d’un « résumé suffisamment détaillé » (sufficiently detailed summary) des contenus utilisés pour l’entraînement du modèle d’IA. Ce résumé permet le développement d’une IA de confiance souhaitée au niveau européen (3), en remédiant aux difficultés rencontrées par les titulaires de droits, confrontés à une charge de la preuve disproportionnée concernant l’utilisation de leurs contenus. Pour autant, le résumé doit répondre aux enjeux de la création d’un marché dynamique et équitable de l’IA. Ce qui impose un compromis pour restreindre la quantité d’informations mise à disposition afin de protéger le secret des affaires, moteur d’innovation pour les fournisseurs d’intelligence artificielle. (suite)

La revente numérique de jeux vidéo interdite en France : une « exception culturelle » qui interroge

Publié le par

Retour sur la décision de la Cour de cassation qui, le 23 octobre 2024, clôt l’affaire opposant depuis 2015 UFC Que-Choisir à la société américaine Valve, laquelle interdit la revente de jeux vidéo dématérialisés. Pas d’« épuisement des droits » pour ces derniers, contrairement aux logiciels…

La plus haute juridiction française, la Cour de cassation, a eu le dernier mot dans l’affaire qui opposait depuis près de dix ans en France l’Union fédérale des consommateurs-Que choisir (UFC-Que choisir) et la société américaine Valve Corporation. Cofondée en 1996 par son président Gabe Newell (photo de gauche), Valve opère la plateforme numérique Steam créée en 2002 pour distribuer et diffuser en ligne des jeux vidéo, des logiciels, des films ou encore des séries. L’arrêt du 23 octobre 2024 a tranché en faveur de Valve qui n’autorise pas la revente de jeux vidéo dématérialisés.

Directive : « DADVSI » ou « Logiciels » ?
La Cour de cassation a estimé dans cette décision du 23 octobre 2024 (1) que la cour d’appel a eu raison de dire dans son arrêt du 21 octobre 2022 (2) qu’« un jeu vidéo n’est pas un programme informatique à part entière mais une œuvre complexe en ce qu’il comprend des composantes logicielles ainsi que de nombreux autres éléments tels des graphismes, de la musique, des éléments sonores, un scénario et des personnages [“dont certains deviennent cultes”, ajoutait même Valve, ndlr] ». Et que, « à la différence d’un programme d’ordinateur destiné à être utilisé jusqu’à son obsolescence, le jeu vidéo se retrouve rapidement sur le marché une fois la partie terminée et peut, contrairement au logiciel, être encore utilisé par de nouveaux joueurs plusieurs années après sa création ». Dans ses arguments distinguant logiciel et jeu vidéo, la cour d’appel avait aussi affirmé qu’« il ne peut être considéré que la fourniture d’un jeu vidéo sur un support matériel et la fourniture d’un jeu vidéo dématérialisé sont équivalentes d’un point de vue économique et fonctionnel, le marché des copies immatérielles d’occasion des jeux vidéo risquant d’affecter beaucoup plus fortement les intérêts des titulaires de droit d’auteur que le marché d’occasion des programmes d’ordinateur ».
La plus haute juridiction française, qui avait déjà fait sienne cette définition d’« œuvre complexe » pour les jeux vidéo dans l’arrêt « Cryo » du 25 juin 2009 (3), a donc finalement donné raison à la cour d’appel et, partant, à la société Valve contre l’association UFC-Que Choisir, tout en ajoutant que la cour d’appel « a déduit à bon droit que seule la directive 2001/29 [directive européenne “Droit d’auteur et des droits voisins dans la société de l’information” ou DADVSI (4), ndlr] est applicable aux jeux vidéo, que la règle de l’épuisement du droit ne s’applique pas en l’espèce et qu’en l’absence de doute raisonnable quant à l’interprétation du droit de l’Union européenne, il n’y a pas lieu de saisir la Cour de justice de l’Union européenne [CJUE, ndlr] d’une question préjudicielle ». Donc, circulez, il n’y a rien à voir. (suite)

Projet de loi SREN : procédure accélérée… ralentie

Publié le par

En fait. Le 10 avril, l’Assemblée nationale discutera en séance publique du texte élaboré le 26 mars par la commission mixte paritaire (CMP) sur le projet de loi visant à « sécuriser et réguler l’espace numérique » (SREN). Et ce, après que le Sénat a amendé le 2 avril dernier ce texte de la CMP.

En clair. Le projet de loi « Sécuriser et réguler l’espace numérique » (SREN) – émanant donc du gouvernement qui avait engagé une procédure accélérée le 10 mai 2023 – termine son marathon parlementaire. Il aura duré près d’un an ! Pourtant, le Sénat avait adopté un texte le 5 juillet 2023, suivi par l’Assemblée nationale le 17 octobre.
Bien que la commission mixte paritaire (CMP) ait été convoquée le 18 octobre, celle-ci n’a pu se réunir que le… 26 mars 2024, soit près de six mois après. Pourquoi un tel délai, alors que le gouvernement avait opté pour une « procédure accélérée » ? C’est que « ce texte relève pour une très large partie des domaines de compétence de l’Union européenne, et qu’en la matière des législations sont ou bien déjà adoptées ou bien en cours d’adoption [DSA, DMA, AI Act ou encore Data Act, ndlr], ce qui ne nous a pas facilité la tâche », a expliqué la présidente de cette CMP, la sénatrice (centriste) Catherine Morin-Desailly. Le gouvernement a dû notifier à la Commission européenne son projet de loi « SREN » par trois fois (texte gouvernemental, texte des sénateurs et texte des députés), puis attendre à chaque fois la réponse de Bruxelles. La Commission européenne avait même rendu un « avis circonstancié » – voire très critique, notamment au regard du Data Act. Paris a dû revoir sa copie à l’aune des nouvelles législations du marché unique numérique.

Quel rapport entre le e-commerçant Zalando et trois sites pornos ? Le Digital Services Act !

Publié le par

Les plateformes de e-commerce Zalando et pornographiques Pornhub et Stripchat – mais pas XVideos – ont en commun de contester devant la Cour de justice de l’Union européenne (CJUE) leur inscription dans la liste des « très grandes plateformes en ligne » dans les Vingt-sept régies par le DSA.

Le e-commerçant allemand Zalando avait été désigné le 25 avril 2023 par la Commision européenne – dans le cadre du Digital Services Act (DSA) – comme « très grande plateformes » ou VLOP (1) dans le jargon bruxellois, aux côtés de Alibaba/AliExpress, Amazon Store, Apple/AppStore, Booking, Facebook, Google Play, Google Maps, Google Shopping, Instagram, LinkedIn, Pinterest, Snapchat, TikTok, Twitter, Wikipedia et YouTube, ainsi que des « très grands moteurs de recherche en ligne » ou VLOSE (2), Bing et Google Search (3). A ce « Big 19 » sont venus s’ajouter le 28 décembre 2023 trois autres VLOP, les plateformes pornographiques Pornhub, Stripchat et XVideos (4).

La Commission européenne devant la CJUE
Chacune de ces vingt-deux plateformes très fréquentées présentent autant de « risque systémique » qu’elles ont l’obligation de gérer pour l’éviter sous peine d’amendes. Mais depuis juin 2023, Zalando demande à la Cour de justice de l’Union européenne (CJUE) l’annulation de la décision de la Commission européenne, celle du 25 avril 2023 listant les dix-neuf géants du Net qui présentent chacun un « risque systémique » et qui sont soumis de ce fait à des obligations renforcées. Et, selon les informations de Edition Multimédi@, la société Aylo Freesites éditrice du site pornographique Pornhub et basée à Chypre – elle-même rachetée il y a un an par le fonds d’investissement québécois Ethical Capital Partners (ECP) –, vient de déposer, le 1er mars 2024, son recours devant la CJUE. Également basée à Chypre, la société Technius – éditrice du site pornographique Stripchat – avait fait de même le 29 février 2024.