L’enjeu de la base légale et de l’information dans la conformité au RGPD des fournisseurs d’IA

Depuis peu, les fournisseurs de systèmes d’intelligence artificielle (IA) font l’objet d’une attention accrue de la part des autorités de contrôle européennes, lesquelles analysent leur conformité au règlement sur la protection des données (RGPD), de l’information des personnes à la base légale.

Par Sandra Tubert, avocate associée et Alicia Forgues, docteure en droit, Algo Avocats

Après avoir sanctionné OpenAI en décembre 2024 pour ses manquements au RGPD en lien avec son IA générative ChatGPT (1), l’autorité italienne de protection des données – la GPDP (2) – vient cette fois d’ordonner, le 30 janvier dernier (3), le blocage immédiat de l’application et du site web DeepSeek en Italie en raison de manquements présumés au RGPD. Avant d’ordonner la limitation du traitement, la GPDP avait adressé le 28 janvier une demande d’informations à DeepSeek, afin qu’elle précise les données traitées, les finalités poursuivies, leurs bases légales, le lieu de stockage, ainsi que la typologie de données utilisées pour entraîner les modèles d’IA, leurs sources et les modalités d’information des personnes (4).

Modèles d’IA, systèmes d’IA et données
D’autres « Cnil » européennes ont ouvert des enquêtes. Si le recours à l’IA n’impacte pas véritablement les réponses à apporter à certaines de ces questions, les bases légales de traitement et modalités d’information des personnes posent plus de difficultés lorsqu’il s’agit des traitements mis en œuvre dans le cadre de l’entraînement des modèles d’IA. En effet, ces derniers sont entraînés à l’aide d’un grand nombre de données, parmi lesquelles figurent parfois des données personnelles. Celles-ci se divisent en deux catégories : les données fournies directement par des personnes concernées ou les utilisateurs du système d’IA intégrant le modèle d’IA, auxquelles se rajoutent les données collectées durant l’utilisation du service (données first-party) et les données de non-utilisateurs collectées par web scraping ou grâce à la signature de contrats de licences d’utilisation de contenus (données third-party).
Lorsque le fournisseur se contente d’utiliser des données first-party pour entraîner ses modèles d’IA, le contact direct dont il dispose avec les personnes concernées par le traitement lui permet de les informer de manière classique, notamment via une politique de confidentialité – à laquelle il sera renvoyé depuis un formulaire de collecte ou un courriel – qui devra être précise et claire sur les finalités d’entraînement des modèles (notamment en distinguant l’information portant sur l’entraînement des modèles des autres traitements). A l’inverse, s’il utilise également (suite)

L’affaire Death Moon rappelle que les hébergeurs doivent retirer « promptement » un contenu illicite

Notes L’auteur de « Death Moon » avait demandé à la justice de condamner la plateforme audio SoundCloud à lui payer environ 6,7 millions d’euros pour contrefaçon de son affiche en partenariat avec la major Universal Music. Mais le statut d’hébergeur « non responsable » lui a finalement été opposé.

Le litige en question : Mathieu Pequignot, un auteur d’oeuvres graphiques – qu’il exploite sous le pseudonyme de Elvisdead (1) et dont il commercialise les tirages par le biais de sa boutique en ligne (2) – contacte le 12 juin 2020 SoundCloud pour lui reprocher une exploitation non autorisée de son oeuvre « Death Moon » à travers des publications mises en ligne (3). La plateforme de streaming musical et audio lui a répondu le même jour que la reproduction avait été fournie par Universal Music et que toute demande devrait être adressée à cette major de la musique enregistrée. Et dans la foulée, SoundCloud a supprimé le contenu et estimé qu’il n’y avait pas à indemniser l’auteur.

6,7 millions d’euros en jeu en 2021
L’auteur de « Death Moon » ne l’a pas entendu de cette oreille et a assigné le 18 décembre 2020 la société SoundCloud – fondée et présidée par Alexander Ljung (photo) – devant le tribunal judiciaire de Marseille pour contrefaçon de droits d’auteur. La société de la plateforme de streaming audio a d’abord contesté le droit à agir de l’auteur de l’affiche intitulée « Death Moon » car celui-ci ne justifiait pas que l’oeuvre, soi-disant contrefaite, était « originale », et, « n’était donc pas investi des droits attribués à l’auteur d’une oeuvre de l’esprit » que prévoit le code de la propriété intellectuelle (CPI). Mais l’auteur a assuré devant le juge en 2021 que l’oeuvre en question était bien originale et qu’il y avait bien contrefaçon de « Death Moon », amenant SoundCloud à ne plus maintenir sa demande de nullité de l’assignation et à reconnaître le plaignant comme étant l’auteur de l’oeuvre « Death Moon ».

Projet de loi SREN : procédure accélérée… ralentie

En fait. Le 10 avril, l’Assemblée nationale discutera en séance publique du texte élaboré le 26 mars par la commission mixte paritaire (CMP) sur le projet de loi visant à « sécuriser et réguler l’espace numérique » (SREN). Et ce, après que le Sénat a amendé le 2 avril dernier ce texte de la CMP.

En clair. Le projet de loi « Sécuriser et réguler l’espace numérique » (SREN) – émanant donc du gouvernement qui avait engagé une procédure accélérée le 10 mai 2023 – termine son marathon parlementaire. Il aura duré près d’un an ! Pourtant, le Sénat avait adopté un texte le 5 juillet 2023, suivi par l’Assemblée nationale le 17 octobre.
Bien que la commission mixte paritaire (CMP) ait été convoquée le 18 octobre, celle-ci n’a pu se réunir que le… 26 mars 2024, soit près de six mois après. Pourquoi un tel délai, alors que le gouvernement avait opté pour une « procédure accélérée » ? C’est que « ce texte relève pour une très large partie des domaines de compétence de l’Union européenne, et qu’en la matière des législations sont ou bien déjà adoptées ou bien en cours d’adoption [DSA, DMA, AI Act ou encore Data Act, ndlr], ce qui ne nous a pas facilité la tâche », a expliqué la présidente de cette CMP, la sénatrice (centriste) Catherine Morin-Desailly. Le gouvernement a dû notifier à la Commission européenne son projet de loi « SREN » par trois fois (texte gouvernemental, texte des sénateurs et texte des députés), puis attendre à chaque fois la réponse de Bruxelles. La Commission européenne avait même rendu un « avis circonstancié » – voire très critique, notamment au regard du Data Act. Paris a dû revoir sa copie à l’aune des nouvelles législations du marché unique numérique.

Données produites par l’Internet des objets et l’informatique en nuage : ce que dit le Data Act

Le législateur européen poursuit ses travaux en vue de créer un marché unique des données. La dernière avancée en date : le règlement sur les données, dit « Data Act », entré en vigueur le 11 janvier 2024. Il sera applicable à compter du 12 septembre 2025. Tour d’horizon de ses principales dispositions.

Par Sandra Tubert, avocate associée, et Antoine Tong, avocat, Algo Avocats

Numérique soutenable : l’Arcep collecte les données

En fait. Le 6 mars, trois ministres ont reçu de l’Arcep et de l’Agence de la transition écologique (Ademe) leur étude prospective sur l’empreinte environnementale du numérique en France à l’horizon 2030 et 2050 (1). Une façon aussi de justifier la collecte des données environnementales auprès de tout l’écosystème. En clair. Pendant que le gouvernement appelle à « un effort collective » pour réduire l’empreinte carbone du numérique, voire à « un changement radical » (dixit le ministre délégué chargé de la Transition numérique et des Télécommunications, Jean-Noël Barrot), l’Arcep, elle, généralise la collecte des données environnementales auprès de tous les acteurs du numérique. Non seulement les opérateurs télécoms et fournisseurs d’accès à Internet – au premier rang desquels Orange, Bouygues Telecom, Free et SFR – doivent montrer pattes blanches depuis un an pour tendre vers « un numérique soutenable », mais aussi – depuis cette année – les fabricants de terminaux (smartphones, ordinateurs, télés connectés, …), d’équipements (box, répéteur wifi, décodeur, prise CPL, …) et les centres de données (data center, cloud, hébergeur, …). Ces derniers ont jusqu’au 31 mars prochain pour transmettre à l’Arcep leurs données environnementales : émissions de gaz à effet de serre, terres rares et métaux précieux utilisés, nombre de terminaux neufs et reconditionnés vendus, consommation électrique et énergétique, volumes d’eau consommés, etc. Les opérateurs télécoms, eux, ont commencé avec une première édition 2022 (2) avec trois catégories de données fournies à l’Arcep (émissions de gaz à effet de serre, énergie consommée, sort des téléphones mobiles). La deuxième édition, toujours limitée à Orange, Bouygues Telecom, Free et SFR (données 2021), paraîtra au printemps prochain. La troisième édition – prévue, elle, à la fin de cette année 2023 – portera sur les « telcos » (données 2022) mais aussi sur les autres acteurs de l’écosystème numérique. Cette quantité d’indicateurs à fournir au désormais « régulateur environnemental du numérique » est un vrai casse-tête annuel pour tous les professionnels, d’autant qu’ils ont l’obligation de fournir aux agents assermentés de l’Arcep ces informations et documents dès lors qu’ils concernent de près ou de loin « l’empreinte environnementale du secteur des communications électroniques ou des secteurs étroitement liés à celui-ci ». Et ce, sans pouvoir opposer le secret des affaires ni la confidentialité à l’Arcep (3), laquelle est dotée de ces nouveaux super-pouvoirs d’enquête depuis la loi « Chaize » du 23 décembre 2021 (4). Une décision dite « de collecte », prise par le régulateur le 22 novembre dernier (5), a précisé les données attendues. @