Archives par mot-clé : Data Act

Le smart contract est déjà là : osons la vitesse sans la précipitation, tant en France qu’en Europe

Publié le par

Le Data Act, en vigueur depuis le 11 janvier 2024, est le premier texte européen à prendre en compte les « smart contracts ». C’est l’occasion de revenir sur ces « contrats à exécution automatique conditionnelle » qui avaient fait l’objet l’an dernier d’un livre blanc paru en France (1).

Par Fabrice Lorvo*, avocat associé, FTPA

La révolution numérique poursuit son œuvre de digitalisation, notamment de l’économie. Son développement ultime va probablement aboutir d’abord à la dématérialisation des actifs (à savoir les produits, les services et la monnaie permettant de les échanger), puis à l’automatisation de leurs échanges. Pour ce faire, l’outil idoine est connu sous l’appellation anglo-saxonne de « smart contract » (2) Il s’agit d’un protocole informatique organisant l’échange automatique d’actifs dématérialisés enregistré sur une blockchain.

Les smart contrats devancent la loi
Nous partons du postulat que cet outil – qui peut être traduit en français par « contrat à exécution automatique conditionnelle » (3) – a un très bel avenir et qu’il rencontrera la faveur des consommateurs, en raison de son apparence de facilité et de rapidité. Le smart contract est donc une nouvelle page blanche de notre histoire économique.
Les enjeux. Il appartient aux professionnels français et européens de contribuer à la détermination des standards du smart contract et/ou des sujets sur lesquels une vigilance particulière sera nécessaire. A ce jour, le smart contract constitue ce que l’on peut appeler un « OJNI » : un objet juridique non-identifié. Pourtant, il est aujourd’hui omniprésent, comme en attestent les millions de transactions – permettant la conversion entre la monnaie dite « fiat » (relevant de la politique monétaire des banques centrales des Etat) et la cryptomonnaie – opérées quotidiennement sur les différentes blockchains. Le fait précède donc la règle de droit.
Même si le smart contract semble actuellement s’affranchir significativement des lois existantes, c’est uniquement parce que lesdites lois ne sont pas (encore) adaptées aux situations nouvelles créées par ce type de contrat à exécution automatique conditionnelle. Le smart contract ne pourra pas durablement se développer, sur le territoire français, dans l’ignorance des règles juridiques européennes, qui sont le fruit de la lente recherche d’un équilibre entre les deux parties au contrat. C’est cet équilibre ancien qui va devoir être adapté à la situation nouvelle du smart contract. Le premier pas a été franchi par l’Union européenne (UE) avec l’adoption du Data Act (4). Dans son article 36, ce règlement européen pose à la fois des principes et organise des procédures (voir encadré page suivante). Alors que les entreprises commencent à réimaginer leur avenir, elles ont la possibilité d’explorer comment la technologie blockchain va pouvoir stimuler leur croissance. L’un des principaux avantages de la blockchain est son potentiel de création, de stockage et de partage d’informations sensibles en ligne. Les contrats, les documents d’identité, les certificats, les dossiers officiels et les accords peuvent tous être vérifiés de manière sûre et sécurisée. Dans cette logique, le smart contract apparaît être un outil essentiel et une étape supplémentaire. En effet, ce contrat à exécution automatique conditionnelle exécute justement automatiquement des conditions prédéfinies et inscrites dans une blockchain.
Dans ce contexte, réguler le smart contract et se préparer à son essor apparaissent comme des priorités pour les droits européen et français. Cela d’autant plus que les principaux systèmes juridiques ont déjà entrepris de démontrer en quoi ils étaient les mieux adaptés à l’essor du smart contract. C’est ainsi que, dès 2018, un rapport est paru en Grande-Bretagne en vue de démontrer que le système juridique britannique était le seul à même d’assurer un essor pérenne du smart contract. Même si on doit rendre hommage au travail réalisé par nos collègues anglais, nous sommes au regret de ne pas partager leurs conclusions selon laquelle c’est le droit anglais qui serait le mieux adapté pour réguler le smart contract – surtout depuis le Brexit…

Enjeux de souveraineté et d’équité
Le contrat à exécution automatique conditionnelle relève aussi d’un enjeu de souveraineté. La nécessité de réguler le développement du smart contract s’impose, d’abord, dans une démarche de souveraineté européenne. Ne pas contribuer à la détermination des standards reviendra de fait à la soumission au standard adopté par d’autres. Il relève aussi d’enjeu d’équité. Cette nécessité d’équité s’impose afin que le smart contract ne devienne pas un outil de spoliation au service d’une minorité. Le smart contract n’est en réalité qu’un simple outil qui n’est ni bon ni mauvais par nature. Dès lors, selon ce que nous en ferons, il pourrait devenir soit un outil de progrès contribuant à l’amélioration des affaires humaines, soit un outil de spoliation… En ce qu’ils placent la personne et non la marchandise en leur centre, les droits français et européen possèdent tous les atouts pour une régulation du smart contract permettant de faire peser la balance du bon côté entre « outil progrès » et « outil spoliation ».
Les recommandations. Huit recommandations concrètes ont vocation à permettre à l’UE, et donc à la France, de devenir une terre d’accueil pour des smart contracts conformes aux règles et valeurs françaises et européennes. Ces recommandations visent à la fois les « sujets » du smart contract et l’« objet » du smart contract.

Livre blanc : ses huit recommandations
Les recommandations relatives aux « sujets » du smart contract :
Eduquer les consommateurs. Même s’il n’est qu’un outil, le smart contract est aussi la pièce d’un puzzle beaucoup plus large. Ce faisant, appréhender le smart contract impose de comprendre les autres pièces avec lesquels il est destiné à s’emboîter de manière à former le puzzle numérique. L’étude du smart contract ne peut donc être décorrélée de celle du Web3. Le développement durable du smart contract suppose la confiance du consommateur et du professionnel. Parce qu’une telle confiance ne peut être construite sur une méconnaissance des risques induits par le recours au smart contract, il est indispensable d’éduquer les consommateurs et de forger leur esprit critique pour leur permettre de déjouer d’éventuels pièges.
Eduquer les professionnels vendeurs. En parallèle de l’éducation des consommateurs, il est au moins aussi essentiel d’éduquer les professionnels vendeurs. En effet, ces derniers devront apprendre à recourir au smart contract afin de répondre à la demande de simplification du processus contractuel émanant des consommateurs.
Développer les développeurs. Disposer, d’une part, de consommateurs désireux d’avoir recours à la technologie pour se simplifier leur quotidien et, d’autre part, de professionnels susceptibles d’offrir leurs produits et leurs services ne suffira pas pour permettre l’essor des smart contracts. Encore faudra-t-il que des développeurs puissent les coder conformément aux attentes des parties.
Impliquer les juridictions et créer une juridiction spécialisée. Dès lors que le juge ne saurait être écarté du smart contract, il est indispensable d’impliquer les juridictions dès aujourd’hui dans la supervision de ces contrats à exécution automatique conditionnelle. Cette implication devra toutefois être pensée avec attention, notamment quant au moment d’intervention du juge dans les litiges impliquant des smart contracts.
Impliquer les autorités répressives. Des smart contracts frauduleux pourraient voir le jour. Aussi, convient-il d’envisager une implication des autorités répressives afin de permettre notamment une éradication sans délais de tels smart contracts qui auraient été signalés par des consommateurs.
Les recommandations relatives à l’objet du smart contract :
Encourager et accélérer l’essor des monnaies numériques de banque centrale (MNBC). L’essor de l’euro numérique constituerait un remède à l’instabilité de la valeur des cryptomonnaies, qui est de nature à entraver le développement des smart contracts. Dans ce contexte, il faudra non seulement que l’euro numérique soit effectivement mis en circulation dans l’UE, mais encore que la pratique se saisisse de cette monnaie.
Encourager la standardisation sous condition du smart contract. L’établissement de standards internationaux de smart contracts suppose deux volets : les conditions d’établissement de tels standards (dans la transparence) et leur contenu. Il pourrait notamment être envisagé que ces standards contiennent, d’une part, une liste des instruments à mobiliser lors du recours à un smart contract et, d’autre part, un tronc commun assimilable à des conditions générales (auquel pourraient s’ajouter des modalités de personnalisation).
Anticiper une nouvelle conception du règlement des litiges liés à l’utilisation des smart contracts. Les smart contracts n’engendreront pas une disparition des litiges ; il serait donc opportun d’anticiper une nouvelle conception du règlement des litiges les concernant. Dans cette optique, il pourrait notamment être envisagé d’opérer un traitement différent des litiges tenant aux conditions objectives du smart contract et des litiges tenant à ses conditions subjectives. Dans tous les cas, le développement de modes alternatifs de règlement des différends est à favoriser.

Un OJNI en cours d’identification
Ainsi, ce n’est que le tout début de l’histoire des contrats à exécution automatique conditionnelle. Cet OJNI est en passe d’être régulé et encadré par le droit positif, afin que le quasi vide juridique l’entourant fasse place à une sécurité juridique pour favoriser des smart contracts dans toutes les strates de l’économie numérique. La régulation est en marche, à commencer par le Data Act : c’est maintenant qu’il faut s’impliquer. @

* Fabrice Lorvo est l’auteur du livre « Numérique : de la
révolution au naufrage ? », paru en 2016 chez Fauves Editions.

Projet de loi SREN : procédure accélérée… ralentie

Publié le par

En fait. Le 10 avril, l’Assemblée nationale discutera en séance publique du texte élaboré le 26 mars par la commission mixte paritaire (CMP) sur le projet de loi visant à « sécuriser et réguler l’espace numérique » (SREN). Et ce, après que le Sénat a amendé le 2 avril dernier ce texte de la CMP.

Bilan de Thierry Breton à la Commission européenne

Publié le par

En fait. Le 1er mars, Thierry Breton, commissaire européen au Marché intérieur, était l’invité de l’Association des journalistes économiques et financiers (Ajef). A neuf mois de la fin de son mandat, il estime que « l’Union européenne a fait un pas gigantesque sur la régulation numérique », malgré « les lobbies ».

Data Act et AI Act, ou l’art de ménager la chèvre (innovation) et le chou (droits individuels)

Publié le par

Le Data Act et l’AI Act ont un objectif commun : tirer profit des opportunités offertes par les données, qu’elles soient issues d’objets connectés pour le premier, ou de modèles d’intelligence artificielle pour le second, tout en protégeant les droits des individus contre les dérives.

Par Anne-Marie Pecoraro*, avocate associée, UGGC Avocats

Les premiers mois de l’année 2024 ont été marqués par des développements substantiels sur le plan réglementaire concernant les données en Europe, développements à la lumière desquels le règlement général sur la protection des données (RGPD) est pensé de manière dynamique. Avec deux autres règlements que sont le Data Act (déjà en vigueur) et le AI Act (toujours en cours d’examen), l’Union européenne (UE) tente de préserver cet élan innovateur tout en assurant une protection efficace des droits individuels.

Socle solide de règles sur les données
Adoption du Data Act : le 11 janvier 2024, le Conseil de l’UE a adopté le règlement portant sur des règles harmonisées en matière d’accès et d’utilisation équitables des données. Le texte vise à « relever les défis et à libérer les opportunités offertes par les données dans l’[UE], en mettant l’accent sur l’accès équitable et les droits des utilisateurs, tout en assurant la protection des données à caractère personnel » (1). Il s’inscrit dans une stratégie européenne pour les données afin de créer un marché unique des données garantissant la compétitivité et la souveraineté de l’Europe.
Projet d’AI Act : le 2 février 2024, le Conseil de l’UE a adopté à l’unanimité la proposition de règlement du Parlement européen et du Conseil de l’UE établissant des règles harmonisées concernant l’intelligence artificielle, texte pour lequel un accord avait été trouvé dès décembre 2023 (2). Ce texte est pour le moment d’une ambition unique au monde. Le Data Act et prochainement l’AI Act prendront donc place aux côtés du Digital Services Act (entré en vigueur le 25 août 2023 dans le but de responsabiliser les plateformes numériques et de lutter contre la diffusion de contenus illicites ou préjudiciables ou de produits illégaux), du Digital Markets Act (entré en vigueur le 2 mai 2023 et visant à mieux encadrer les activités économiques des grandes plateformes numériques) et du RGPD (entré en application le 25 mai 2018 dans le but de protéger les droits des personnes concernées par un traitement de leurs données personnelles).
A eux cinq, ces règlements européens forment les principaux piliers de la régulation des plateformes et données en Europe. Un sixième texte, le Digital Governance Act, entré en vigueur le 23 juin 2022, concerne également les données, en traitant principalement du secteur public. Il s’agit de réglementer par-delà les frontières en s’appliquant aussi à l’international. Cette réglementation, devenue cruciale pour rechercher un usage éthique, transparent et équitable des données traitées massivement, demeurera exceptionnelle en ce qu’elle s’érige à un échelon européen et transnational capable d’atteindre des entreprises de toutes tailles, y compris les plus grandes, installées hors d’Europe. L’article 3 du Data Act prévoit que le règlement s’applique dès qu’un produit connecté ou un service connexe est mis à disposition sur le territoire de l’UE et/ou qu’un utilisateur ou destinataire de données sont situés dans les Vingt-sept. Et ce, quel que soit le lieu d’établissement du détenteur de données ou du fournisseur de services de traitement de données.
De la même manière, l’article 2 de l’AI Act prévoit que le règlement s’appliquera dès qu’un système d’IA sera mis sur le marché de l’UE ou qu’un utilisateur de système d’IA est établi ou est localisé sur le territoire des Vingt-sept, ou encore que le contenu généré par l’IA est utilisé au sein de l’UE. Le but est de ne pas favoriser les acteurs non européens au détriment des entreprises locales. Il s’agit donc, comme pour le RGPD, d’assurer une protection efficace des citoyens européens sans entraver la compétitivité des entreprises européennes. Les textes cherchent aussi à ne pas décourager les entreprises européennes à innover, en ayant notamment pour effet d’imposer de manière extraterritoriale, même aux plus grandes entreprises internationales, des obligations. Les Gafam ont mis en avant les risques liés notamment au AI Act, la mise en conformité entraînant des coûts importants.

Transparence et secret des affaires : équilibre
Un enjeu du Data Act et de l’AI Act est de trouver un équilibre entre la transparence dans le traitement des données et la préservation du secret des affaires, afin de ne pas freiner l’innovation :
• Le Data Act : la maîtrise par l’utilisateur de ses données limitée par le secret des affaires. L’article 3 du Data Act prévoit l’obligation pour les entreprises concevant et fabriquant des objets connectés et des services connexes de rendre, par défaut, les données et métadonnées générées par ces objets et/ou services connexes facilement accessibles à l’utilisateur, voire lorsque cela est « pertinent et techniquement possible » directement accessibles à l’utilisateur par une simple demande électronique. A ce sujet, l’article 3.2 du Data Act prévoit qu’un certain nombre d’informations précontractuelles doivent être délivrées par le vendeur, le loueur ou le bailleur d’objets connectés « de manière claire et compréhensible ». Ces informations sont notamment relatives au type, format et volume estimé de données générées par l’objet en question ou encore à la capacité de l’objet de générer des données en continu et en temps réel (3). Aussi, l’article 5 du Data Act prévoit le droit pour l’utilisateur de partager des données avec des tiers.

Les obligations du détenteur de données
Cependant, afin d’assurer la compétitivité des entreprises en Europe, le texte prévoit, que ce soit au sujet du droit d’accès ou du droit de partage des données par l’utilisateur à des tiers, le respect du secret des affaires par lequel seraient protégées certaines données. Le détenteur de la donnée a ainsi l’obligation de recenser les données ou métadonnées protégées en tant que secret des affaires et de mettre en place des « mesures techniques et organisationnelles proportionnées » nécessaires à la préservation de la confidentialité des données partagées. Le texte prévoit notamment la possibilité d’élaboration de clauses de confidentialité entre le détenteur de données et l’utilisateur et/ou le tiers, ou encore l’adoption de « codes de conduite ».
A défaut d’accord ou si l’utilisateur ou le tiers contrevient aux mesures convenues avec le détenteur du secret des affaires, le détenteur de données peut bloquer ou suspendre le partage des données confidentielles. Il devra alors avertir l’utilisateur ou le tiers concerné et le notifier à l’autorité compétente. De surcroît, même si l’utilisateur ou le tiers respecte les mesures convenues avec le détenteur de données, ce dernier peut démontrer « qu’il est très probable qu’il subisse un préjudice économique grave du fait de la divulgation de secrets d’affaires » et ainsi refuser une demande d’accès pour les données en question en avertissant et en expliquant les raisons précises de sa décision et en le notifiant à l’autorité compétente. La décision du détenteur de données est toutefois susceptible de recours par l’utilisateur ou le tiers devant une juridiction d’un Etat membre et peut aussi être l’objet d’une réclamation auprès de l’autorité compétente. Enfin, l’utilisateur ou le tiers ont l’interdiction de se servir des données obtenues pour concurrencer le produit connecté en question.
L’AI Act : la « synthèse suffisamment détaillée » des données d’entraînement au cœur des interrogations. L’AI Act réalisera en substance le même compromis que le Data Act en ce qui concerne les données d’entraînement qui sont utilisées par les IA pour générer du contenu (4). En effet, le texte prévoit que les fournisseurs d’IA à usage général devront prendre des mesures pour respecter le droit d’auteur, en particulier le droit d’opposition des ayants droit, peu importe la juridiction où l’entraînement a lieu. Ces mêmes fournisseurs devront également, afin d’accroître la transparence sur les données d’entrainement, publier une « synthèse suffisamment détaillée » de ces données. Cette synthèse devra être globalement exhaustive dans sa portée plutôt que techniquement détaillée afin de faciliter aux parties ayant des intérêts légitimes, notamment les ayants-droits, l’exercice de leurs droits. Le texte donne simplement de vagues exemples d’informations fournies au titre de la synthèse détaillée, comme l’énumération des principales collections de données ou les ensembles utilisés pour former le modèle. Les fournisseurs de modèles d’IA gratuits et open source seront exemptés de cette obligation sauf s’ils présent un risque systémique, afin d’inciter leur développement dans la mesure où ils contribuent à la recherche à l’innovation sur le marché et peuvent être des sources de croissance importante pour l’économie de l’UE. Le « Bureau de l’IA » – « AI Office » tel que prévu dans la version consolidée de l’AI Act (5) datée du 21 janvier (6) – devrait entrer en vigueur le 21 février 2024 (7). Il fournira des modèles de synthèses à destination des fournisseurs d’IA concernés et veillera au respect de ces dispositions. La Commission européenne a d’ailleurs, dans une déclaration (8) publiée après l’adoption du texte, réaffirmé le rôle primordial du Bureau de l’IA dans la nouvelle réglementation et dans lequel la France a bien l’intention d’être représentée afin de faire entendre sa voix (9).
Cependant, afin de préserver l’innovation d’une règlementation trop encombrante, l’AI Act prévoit que les rédacteurs de cette synthèse suffisamment détaillée devront prendre en considération le besoin de protéger le secret des affaires et les informations confidentielles. Attention toutefois, à la différence du Data Act, cette mention figure dans les considérants et non pas dans le corps du texte du règlement.
Le Data Act a été pensé pour favoriser l’accès par les petites et moyennes entreprises (PME) à des données pertinentes et leur permettre ainsi d’innover et de rivaliser face à de grandes entreprises qui possèdent déjà une puissance économique considérable sur le marché. C’est précisément pour cette raison que le texte a exclu les entreprises désignées en tant que « contrôleur d’accès » au sens de l’article 3 du DMA (10) du bénéfice de la désignation en tant que « tiers »au sens du Data Act et donc de l’accès aux données issues d’objets connectés et services connexes par le biais du droit de partage de l’utilisateur.

Ménager les PME, éviter les monopoles
Concernant l’AI Act, la Commission européenne a lancé le 24 janvier 2024 des mesures visant à soutenir les jeunes pousses et les PME européennes dans le développement de l’IA (11). Cette volonté se retrouve donc logiquement dans le texte de l’AI Act dont les rédacteurs ont souhaité accélérer l’accès au marché pour les PME en éliminant les obstacles. Le texte entend ainsi permettre des moyens simplifiés de conformité pour les entreprises de plus petite taille et éviter un monopole des plus grandes entreprises dotées d’une grande force de frappe, comme OpenAI. @

* Anne-Marie Pecoraro est avocate spécialisée en droit de la
propriété intellectuelle, des médias et des technologies

Données produites par l’Internet des objets et l’informatique en nuage : ce que dit le Data Act

Publié le par

Le législateur européen poursuit ses travaux en vue de créer un marché unique des données. La dernière avancée en date : le règlement sur les données, dit « Data Act », entré en vigueur le 11 janvier 2024. Il sera applicable à compter du 12 septembre 2025. Tour d’horizon de ses principales dispositions.