Archives par mot-clé : droit

L’année 2024 sera-t-elle plus « intelligente » que les précédentes ? Les acteurs de l’IA y travaillent

Publié le par

Edition Multimédi@ est partenaire média du 3e World AI Cannes Festival (WAICF), rendez-vous mondial consacré à l’intelligence artificielle et organisé du 8 au 10 février 2024 au Palais des festivals de Cannes. L’occasion de faire le point sur quelques forces en présence d’envergue mondiale.

L’intelligence artificielle, c’est désormais le foisonnement permanent sur fond de bataille des LLM (Large Language Model), ces grands modèles de langage utilisés par les agents conversationnels et les IA génératives, capables d’exploiter en temps réel des milliards voire des dizaines de milliards de paramètres. Depuis le 30 novembre 2022, date du lancement fracassant de ChatGPT (1) d’OpenAI, cornaqué par Microsoft (2), le marché mondial de l’IA ne cesse de prendre de l’ampleur. Alors que les questions sur les IA responsables (éthique, biais, droit d’auteur, droit à l’image, …) sont autant de défis à relever. Parmi les derniers prétendants aux premières places de la course à l’intelligence numérique potentiellement utilisable par des milliards d’êtres humains connectés : Mistral AI, Gemini, Anthropic et Llama, en attendant Ferret… d’Apple.

Mistral AI. La start-up française, devenue licorne (non cotée en Bourse mais valorisée près de 2 milliards d’euros), a été fondée en avril 2023 par Arthur Mensch, Guillaume Lample et Timothée Lacroix. Le 10 décembre dernier, elle a annoncé avoir levé 385 millions d’euros auprès d’investisseurs et a ouvert à l’intention des développeurs sa plateforme open source de modèles génératifs « les plus puissants » dans leur version bêta (3). Arthur Mensch, un ancien « scientist » de chez DeepMind, filiale de Google (tandis que les deux autres cofondateurs viennent de Facebook/Meta), a l’ambition de « créer un champion européen à vocation mondiale dans l’intelligence artificielle ». Son modèle d’IA, baptisé « Mixtral 8x7B », a été présenté comme étant six fois plus rapide que le langage Llama 2 70B du groupe Meta qu’il « surpasse » dans « la plupart des benchmarks ». De plus, « il égale ou surpasse GPT 3.5 [d’OpenAI] » (4).

Gemini. C’est le modèle d’IA « le plus grand et le plus performant » que Google a annoncé le 6 décembre dernier dans un post (5) cosigné par Sundar Pichai, PDG de Google et de sa maison mère Alphabet, et par Demis Hassabis, directeur général et cofondateur en 2010 de la start-up DeepMind Technologies que Google a rachetée il y a dix ans (en janvier 2014) pour quelque 628 millions de dollars. Rebaptisée Google DeepMind et filiale d’Alphabet, elle a rendu disponible la version 1.0 de Gemini (6) qui est déployé dans plusieurs produits et plateformes de la firme de Mountain View (où se trouve le QG Googleplex). L’IA générative Bard, que Google a lancée précipitamment il y aura un an le 6 février (7), profite désormais d’« une version affinée de Gemini Pro pour un raisonnement plus avancé » et il s’agit de « la plus grande mise à jour de Bard depuis son lancement ». Gemini est présenté comme un modèle multimodal (texte, images, audio et vidéo).

Anthropic. Fondée en décembre 2020 par d’anciens d’OpenAI, Dario Amodei et sa sœur Daniela Amodei, la startup Anthropic – dont ils sont respectivement directeur général et présidente – est basée à San Francisco (Californie) comme OpenAI. Ils ont été suivis par sept autres de leurs collègues d’OpenAI. Amazon avait annoncé le 25 septembre 2023 l’injection de 4 milliards de dollars dans Anthropic (8), qui avait levé 1,5 milliard de dollars dix-huit mois auparavant auprès d’investisseurs – dont 300 millions de dollars de Google qui a pris 10 % du capital et a promis à la start-up de lui apporter jusqu’à 2 milliards de dollars en plus. Anthropic, qui recourt au cloud AWS d’Amazon, a lancé en mars 2023 son IA générative appelée Claude (9) (claude.ai), dont la version 2 est disponible depuis juillet dernier. Mais avec son futur « Claude-Next », la rival d’OpenAI se positionne déjà pour se mesurer au futur ChatGPT-5 attendu cette année.

Llama. Cela fera un an, le 24 février prochain, que Meta Platforms (ex-Facebook) a lancé « LLaMA » (Large Language Model Meta AI), son grand modèle de langage en open source (10). La firme de Mark Zuckerberg a ensuite annoncé le 18 juillet dernier la version Llama 2 en partenariat avec Microsoft (pour utiliser son cloud Azure), mais en la rendant aussi disponible chez Amazon Web Services (AWS), Hugging Face et d’autres fournisseurs. « Llama 2 est gratuit pour la recherche et l’utilisation commerciale », précise Meta (11). Le géant de Menlo Park (Californie) utilise aussi son IA pour créer de nouvelles fonctions sur ses réseaux sociaux Instagram, Facebook et WhatsApp. Le 7 décembre, il a présenté « Purple Llama », une boîte à outils également en open source pour la sécurité et la confiance en matière d’IA responsable (12). Rappelons que le directeur général de l’intelligence artificielle de Meta est le Français Yann Le Cun, recruté il y a dix ans maintenant (en décembre 2013) et basé à New-York. @

Charles de Laubier

L’AI Act devra limiter les risques élevés de l’IA pour les droits humains, sans freiner l’innovation

Publié le par

L’émergence fulgurante et extraordinaire de l’intelligence artificielle (IA) soulève aussi des préoccupations légitimes. Sur l’AI Act, un accord entre les Etats membres tarde avant un vote des eurodéputés, alors que 2024 va marquer la fin de la mandature de l’actuelle Commission européenne.

Pour la protection de leurs œuvres, les auteurs ont un droit d’opt-out, mais est-il efficace ?

Publié le par
Les IA génératives sont voraces et insatiables : elles ingurgitent de grandes quantités de données pour s’améliorer sans cesse. Problème : les ChatGPT, Midjourney et autres Bard utilisent des œuvres protégées sans avoir toujours l’autorisation. Pour les auteurs, l’opt-out est une solution insuffisante. Par Anne-Marie Pecoraro*, avocate associée, UGGC Avocats L’utilisation de l’intelligence artificielle (IA) dans les domaines artistiques tend à révolutionner la manière dont nous analysons, créons et utilisons les œuvres cinématographiques, littéraires ou encore musicales. Si, dans un premier temps, on a pu y voir un moyen presque anecdotique de créer une œuvre à partir des souhaits d’un utilisateur ayant accès à une IA, elle inquiète désormais les artistes. Des œuvres utilisées comme inputs Les algorithmes et les AI peuvent être des outils très efficaces, à condition qu’ils soient bien conçus et entraînés. Ils sont par conséquent très fortement dépendants des données qui leur sont fournies. On appelle ces données d’entraînement des « inputs », utilisées par les IA génératives pour créer des « outputs ». Malgré ses promesses, l’IA représente cependant un danger pour les ayants droit, dont les œuvres sont intégrées comme données d’entraînement. A titre d’exemple, la version 3.5 de ChatGPT a été alimentée avec environ 45 téraoctets de données textuelles. On peut alors se poser la question de la protection des œuvres utilisées comme inputs : l’ayant droit peut-il s’opposer ? La législation a prévu un droit d’« opt-out », que peuvent exercer les auteurs pour s’opposer à l’utilisation de leurs œuvres par une IA. A travers le monde, l’IA est encore peu règlementée. Aux Etats Unis, il n’existe pas encore de lois dédiées portant spécifiquement sur l’IA, mais de plus en plus de décisions font office de « guidelines ». Au sein de l’Union européenne (UE), l’utilisation croissante de l’IA, à des fins de plus en plus variées et stratégiques, a conduit à faire de son encadrement une priorité. En effet, dans le cadre de sa stratégie numérique, l’UE a mis en chantier l’ « AI Act », un projet de règlement (1) visant à encadrer « l’usage et la commercialisation des intelligences artificielles au sein de l’UE » qui a été voté le 14 juin 2023 par le Parlement européen (2). Son adoption est prévue pour fin 2023 ou début 2024, avec une mise application 18 à 24 mois après son entrée en vigueur. A travers ce texte, le principal objectif du Parlement européen est d’établir un cadre juridique uniforme permettant l’innovation via l’IA, et de garantir que les systèmes d’intelligence artificielle utilisés dans l’UE soient sécurisés, transparents, traçables, non discriminatoires et respectueux de l’environnement. Au niveau national, l’encadrement de l’IA fait également couler beaucoup d’encre comme en témoigne, en France, la proposition de loi visant à encadrer l’intelligence artificielle par le droit d’auteur (3), déposée mi-septembre 2023. Trouver un équilibre entre deux objectifs – à savoir la protection des œuvres par le droit d’auteur et la libre utilisation des données nécessaire au bon fonctionnement des IA – constitue le but que cherche à atteindre l’UE, notamment à travers sa directive « Droit d’auteur dans le marché unique numérique » (4) de 2019, où elle établit un cadre qui permet aux IA de se développer – droit de fouilles de données – tout en offrant un contrôle aux auteurs sur leurs données – droit d’opt-out. Mais ce dernier droit suffit il à assurer la protection des œuvres ? L’article 4 de cette directive dédiée au droit d’auteur permet les reproductions et les extractions d’objets protégés accessibles de manière licite, aux fins de la fouille de textes et de données, ou TDM (5). Elle permet la fouille de textes et de données tout en recherchant « un équilibre entre deux éléments : protéger les droits, et faciliter l’exploration de textes et de données ». En effet, la directive prévoit en son article 3 les fouilles de données dans un but scientifique tandis que l’article 4 prévoit la fouille effectuée par toute autre personne, peu importe la finalité. A la différence de l’article 3, l’article 4 prévoit une exception permettant aux auteurs de s’opposer à la fouille de données prévue dans ce même article : le droit d’opt-out (6). Précisons que les données utilisées peuvent être « conservées aussi longtemps que nécessaire aux fins de la fouille de textes et de données » (7). Plaintes contre les IA « non autorisées » On connaît le cas de Radio France qui a interdit l’accès d’OpenAI – la société californienne à l’origine de ChatGPT – à ses contenus, suivi par d’autres médias tels que France Médias Monde ou TF1. L’écrivain américain de science-fiction et de fantasy George R.R Martin, ainsi que d’autres auteurs tels que John Grisham, ont également porté plainte contre OpenAI pour avoir utilisé leurs œuvres pour se développer. Plus récemment, entre autres cas, la Sacem a utilisé ce droit afin de conditionner l’utilisation des données de ses membres par une IA à une « autorisation préalable et à une négociation financière » (8). Quant à la transposition de la directive « Droit d’auteur » de 2019 en droit français par une ordonnance de 2021 (9), elle rend l’exercice du droit d’opt-out plus restrictif. En effet, l’article L. 122-5-3 du code de la propriété intellectuelle (CPI) réserve ce droit aux auteurs alors que la directive ouvre ce droit aux ayants droits. L’opt-out est-il efficace pour protéger ? La propriété littéraire et artistique peut-elle protéger contre l’utilisation des données par les IA ? Il y a tout d’abord les difficultés de mise en œuvre du droit d’opt-out. La directive « Droit d’auteur » de 2019 a été votée à une époque où le législateur ne mesurait pas encore pleinement l’importance qu’allait prendre l’IA, et le système d’opt-out semble désormais insuffisant pour protéger les auteurs car il est difficile à appliquer. Tout d’abord, il existe une insuffisance d’information relative aux moyens d’exercer ce droit. Ensuite, Internet permet une multiplication des occurrences d’un même contenu en ligne, donc exercer son droit d’opt-out, alors que l’œuvre a déjà été diffusée et relayée par des internautes, semble inefficace. De surcroît, il a été mis en place en 2019, après qu’un nombre gigantesque d’œuvres aient déjà été rendues accessibles sur de nombreuses bases de données. Se pose donc la question du sort des œuvres qui ont déjà été utilisées précédemment par autrui ou par une IA pour générer un autre élément. Le droit d’opt-out n’a-t-il d’effet que sur les utilisations futures ? Devant la difficulté d’exercer ce droit, certains acteurs tentent de mettre en place des solutions pour pallier ce problème, notamment en assurant une meilleure transparence quant au fonctionnement de l’IA. Google, par exemple, a mis en avant « Google-Extended » pour permettre aux auteurs d’avoir un meilleur contrôle sur leur contenu et sur la manière dont il pourrait être utilisé par des IA génératives (10). Il faut aussi sécuriser les droits d’auteur dans l’ère de l’intelligence artificielle : discernement, transparence, contreparties, protections de l’humain, … Les artistes et ayants droit réclament un droit d’accès leur permettant de savoir quelles œuvres et quelles données sont utilisées dans la fouille de données. Et ce, quand bien même ils auraient consenti à l’utilisation de certaines de leurs œuvres – leur autorisation ne couvrant pas nécessairement toutes leurs œuvres ni tous les systèmes d’IA. Dans le cas où ils se seraient opposés, ce dispositif d’information leur permettrait aussi de s’assurer qu’une autorisation n’a pas été accordée indûment par des tiers. La plupart des ayants droit estiment que, dans la mesure où le fonctionnement des algorithmes d’IA implique une reproduction d’objets protégés, « l’humain doit rester prioritaire et la titularité des droits doit revenir en priorité aux humains » (11). C’est d’ailleurs dans cette logique que s’est inscrite la table ronde de la Federal Trade Commission (FTC) sur l’« économie créative et les IA génératives » (12), organisée le 4 octobre 2023 pour que le législateur américain et les différentes autorités compétentes prennent en considération, dans leur mission de régulation, le point de vue des artistes, auteurs, compositeurs, réalisateurs et de toute personne dont les œuvres pourraient être utilisées par une IA générative. Des syndicats américains tels que SAG-AFTRA ou WGA, rassemblant des centaines de milliers d’acteurs et de professionnels des médias, étaient présents lors de cette table ronde pour défendre une utilisation de l’IA saine, qui soit bénéfique à l’ensemble de leurs membres, aux travailleurs d’autres industries et au public en général. Pour s’assurer que l’ensemble des individus de cette industrie soient justement payés pour leur travail, plusieurs syndicats n’ont pas hésité à faire une grève générale de plusieurs mois à Hollywood (13) pour s’assurer du bon équilibre entre l’utilisation des IA génératives et les intérêts des individus car « les humains ont beau essayer de créer des IA de plus en plus intelligentes, elles ne remplaceront jamais la créativité humaine ». La grève – historique – a d’ailleurs porter ses fruits dans la mesure où elle a abouti sur un accord qui « permettra de construire des carrières de façon durable ». Outre des compensations financières obtenues des studios, le SAG-AFTRA affirme qu’ils ont négocié des « provisions sans précédent pour s’assurer du consentement et de la compensation [des acteurs], afin de protéger [ses] membres de la menace de l’IA » (15). @

* Anne-Marie Pecoraro est avocate spécialisée en droit de la propriété intellectuelle, des médias et des technologies numériques.

ZOOM

L’IA générative : quésaco ? ChatGPT, Dall-E, Midjourney, Bard, Claude, … On connaît des exemples d’intelligence artificielle générative qui produisent de nouvelles données à partir de celles créées par des êtres humains, que ce soit sous forme de texte, d’images ou encore de musique. L’IA générative se concentre sur la création de données, de contenu ou de productions artistiques, de façon indépendante, tandis que l’IA classique se concentre, elle, sur des tâches spécifiques telles que la classification, la prédiction ou la résolution de problèmes. L’IA, qu’elle soit générative ou classique, repose sur l’apprentissage automatique (machine learning) et donc sur des algorithmes conçus de sorte que leur comportement évolue dans le temps en fonction des données qui leur sont fournies. L’IA générative utilise la puissance d’un modèle de langage naturel (GPT-3 et GPT-4 pour ChatGPT, par exemple). On parle d’« invite » pour une simple instruction donnée à l’IA générative en langage naturel (texte ou voix), sinon d’« ingénierie rapide » (prompt engineering, en anglais) lorsque les demandes sont plus élaborées. @

Un livre blanc prône la régulation du smart contract

Publié le par
En fait. Le 4 octobre dernier, a été divulgué par l’association Paris Place de Droit un livre blanc intitulé « Quel avenir pour le smart contract en France ? Oser la vitesse sans la précipitation », dont les coauteurs sont l’avocat Fabrice Lorvo (FTPA) et l’étudiant Timothée Charmeil (Harvard Law School). En clair. Lors de sa « Nuit du Droit », qui a eu lieu le 4 octobre au Tribunal de Commerce de Paris, l’association Paris Place de Droit – créée en 2015 pour promouvoir la capitale de la France comme place juridique internationale – a présenté un livre blanc sur le smart contract (1). La traduction en français est « contrat intelligent » mais les auteurs la jugent « trompeuses ». « Le smart contract, tel qu’utilisé aujourd’hui, peut alors être défini comme le protocole informatique organisant l’échange automatique d’actifs dématérialisés enregistré sur une blockchain » expliquent les coauteurs Fabrice Lorvo (avocat, cabinet FTPA) et Timothée Charmeil (Harvard Law School). Le smart contract permet ainsi de fusionner en un seul acte – certifié et authentifié sur la blockchain – la conclusion du contrat et son exécution, de supprimer l’intervention des intermédiaires comme le banquier ou l’huissier de Justice, et de rendre inéluctable la phase d’exécution du contrat lorsque les conditions sont objectivement réalisées. « En effet, souligne le livre blanc de la commission “numérique et juridique” de l’association Paris Place de Droit (2), nul ne peut empêcher l’exécution du smart contract dans les conditions prévues par le code enregistré dans la blockchain ». L’exécution est alors irréversible. Et ce, « quoi qu’il en coûte ». Si le smart contract est une réalité omniprésente, ne serait-ce que dans les conversions entre les dollars, euros et autres yen (monnaies dites « fiat », traduit « décret » en anglais car relevant de la politique monétaire des banques centrales des Etats) et les cryptomonnaies (bitcoin, ethereum, ripple, etc.), il n’en est pas moins un objet juridique non-identifié (OJNI) venant d’« un univers numérique plus complexe encore » (wallet, actifs électroniques, cryptomonnaies, blockchain, NFT (3), …). « Théoriquement, tous les contrats d’affaires pourraient prendre la forme de smart contract. […] Malgré des avantages indéniables, le smart contract présente également des inconvénients tout aussi indéniables [cas de non-paiement, code informatique méconnu, absence de consentement, mauvais codage, litiges, anonymat, asymétrie d’information entre auteurs et mineurs, ou encore absence de norme sur les algorithmes]. Inconvénients qui nécessiteront l’adoption d’une réglementation qui semble ne pouvoir être qu’internationale », affirment les coauteurs. Si ce n’est, via le Data Act (4), européenne. @

Blockchain et RGPD : relations complexes, surtout lorsqu’il s’agit du traitement des données

Publié le par
La protection des données personnelles et la blockchain sont souvent vues comme incompatibles. Pourtant, les réflexions en cours permettent de nuancer, même si les droits des personnes (comme le droit à l’oubli) ou la question de la responsabilité (dans un monde décentralisé) restent à définir. Par Arnaud Touati, avocat associé, Hashtag Avocats, et Benjamin Allouch, consultant*. Le 25 mai 2018, le règlement général sur la protection des données (RGPD) est entré en application (1). Ce règlement européen, présenté comme le texte juridique le plus abouti en matière de protection des données à caractère personnel, s’applique dès que l’on utilise des données personnelles à des fins professionnelles. Il s’impose à tous, des autoentreprises aux institutions publiques, en passant par les sociétés commerciales. Le RGPD est également applicable dans le monde entier, si tant est que l’entité concernée utilise des données appartenant à des résidents de l’Union européenne (UE). Blockchain et RGPD en chiens de faïence ? Le 3 janvier 2009, le premier bloc de bitcoins est créé, selon son créateur anonyme Satoshi Nakamoto et auteur de l’article fondateur publié deux mois plus tôt (2), pour répondre aux dérives de la crise financière de 2008. Bitcoin, c’est notamment une transparence absolue des transactions, conservées ad vitam aeternam, dans « un système peer-to-peerde monnaie électronique ». Dès lors, comment conjuguer deux principes de prime abord antagonistes ? Comment protéger les données personnelles au sein d’une technologie où tout est transparent ? Comment garantir certains droits des personnes quand les données ne peuvent pas être effacées ? D’aucuns ont alors conclu à une incompatibilité entre la blockchain et le RGPD. Pourtant, s’il existe certainement des difficultés, la blockchain comme le RGPD peuvent s’adapter pour coopérer. Petit tour d’horizon des conflits relevés et des adaptations trouvées. Avant l’entrée en vigueur du RGPD, la législation sur la protection des données souffrait d’un manque de clarté quant à la répartition des rôles de chaque acteur. En outre, la responsabilité de certains d’entre eux était pour le moins incertaine. Aujourd’hui, le rôle de chacun et leurs responsabilités corrélatives sont clairement définis. Il y a tout d’abord le responsable du traitement, soit l’entité qui « détermine les finalités et les moyens du traitement ». En d’autres termes, les données sont collectées pour l’activité du responsable du traitement. Ce sont par exemple les données des salariés d’une entreprise dans le cadre de sa gestion des ressources humaines. Il y a ensuite le soustraitant, lequel agit « au nom et pour le compte du responsable du traitement ». Autrement dit, il assiste son client dans la collecte des données ou à y accéder une fois collectées. C’est typiquement le cas d’un éditeur de logiciel, qui permet à son client de les consulter. Et la blockchain dans tout ça ? Pour une bonne application du RGPD, il convient – même dans cette industrie décentralisée – de déterminer le rôle de chacun. Pour une entité centralisée, le procédé est plutôt aisé. Ainsi, une plateforme d’échange d’actifs numériques sera assimilée à un responsable du traitement pour les données de ses clients, voire de ses salariés si l’entreprise est basée sur le territoire de l’UE. Il en va de même, par exemple, pour les données de prospection commerciale. Mais qu’en est-il des applications décentralisées ? Déterminer son rôle est difficile. C’est le cas lorsqu’un protocole de finance décentralisée est lancé par un groupe de développeurs qui a, ensuite, le contrôle uniquement pour y effectuer de la maintenance. Peut-on considérer que, par exemple, Uniswap Labs – l’entité derrière le protocole Uniswap – est responsable du traitement des données ? Ou est-elle davantage sous-traitante des blockchains, comme Ethereum, qui tournent sur son protocole ? Derrière la question de la détermination du rôle de chacun, se cache invariablement celle, épineuse, de la responsabilité encourue. La responsabilité d’une plateforme centralisée ne se pose pas, puisqu’il s’agit d’une entreprise avec des organes de direction précisément identifiés. En revanche, pour ce qui concerne les applications décentralisées et les acteurs qui construisent un protocole, la question est bien plus complexe. Prenons l’exemple d’un assureur qui aurait « blockchainisé » l’un de ses produits. L’octroi d’une indemnisation dépend non pas d’un humain, mais d’un algorithme, en l’occurrence un smart contract dans le langage « blockchain » (3). Qui serait alors considéré comme le sous-traitant ? Les développeurs ou l’éventuelle entité de la blockchain utilisée ? Responsabilité dans un monde blockchainisé Le RGPD exige du sous-traitant qu’il agisse en fonction des instructions écrites de son client. Or, si l’assureur utilise un protocole existant, ce dernier n’agira pas en fonction des instructions de son « client », puisqu’il est théoriquement le même pour tous. En outre, en cas de manquement au RGPD, comment rendre responsables les développeurs d’un protocole ? Ces questions restent, pour l’heure, sans réponse… En théorie, la blockchain est publique, transparente et accessible à tous. Cela signifie que n’importe qui peut avoir accès aux données. En pratique, cette transparence ne sera pas pour autant absolue. Il en va notamment des données médicales, dont l’accès sera protégé. Ainsi, si la donnée est visible dans la blockchain, elle n’est pas pour autant aisément accessible et fait l’objet d’un chiffrement, dont seule la personne concernée possède la clé de déchiffrement. Cependant, quid des données brutes et accessibles à tous ? Quid des droits des personnes ? En théorie, toujours, la blockchain est immuable. Ainsi, les données ne peuvent ni être modifiées ni même effacées. Or, l’article 17 du RGPD instaure un droit à l’effacement (4), que l’on appelle plus communément « droit à l’oubli » (5). Comment concilier ce droit à l’effacement avec l’immutabilité de la blockchain ? A priori, cela paraît impossible. Pourtant, la réalité diffère… D’une part, l’immutabilité de la blockchain (pas de retour en arrière possible) est issue du protocole Bitcoin et n’est pas un principe gravé dans le marbre. Grâce à un smart contract (non applicable à Bitcoin mais à d’autres protocoles), il est tout à fait possible de prévoir l’effacement de certaines données à une date précise. En outre, le droit à l’oubli luimême n’est pas absolu, puisque le RGPD prévoit des exceptions, notamment celle du droit à l’information. Enfin, la blockchain n’est pas nécessairement transparente. En effet, il existe des blockchains privées ou de consortium, qui ne sont accessibles qu’à un certain nombre d’individus précisément identifiés. Dans cette hypothèse, il s’agit simplement d’une base de données améliorée, qui répond aux mêmes exigences que les bases de données classiques. Si les dispositions du RGPD sont bien respectées, les données sont sécurisées et seules les personnes autorisées y ont accès. Les personnes dont les données sont collectées peuvent exercer plusieurs droits distincts. Outre le droit à l’oubli, le droit d’accès, le droit d’opposition, le droit de rectification, le droit à la suppression ou encore le droit à la portabilité font partie de ce que l’on appelle les droits des personnes. Or, si le principe d’immutabilité de la blockchain n’est pas absolu, cela ne signifie pas que l’on peut y modifier aisément les données inscrites. Ainsi, le droit à la rectification des données inscrites dans la blockchain semble plus que complexe. En effet, chaque donnée d’une blockchain est conservée dans des blocs qui s’enchaînent chronologiquement, d’où son nom (chaîne de blocs). Ce faisant, pour modifier une donnée, il faudrait, en principe, en modifier l’ensemble du bloc, ce qui constituerait un travail d’envergure. De même, le droit à la portabilité semble, à l’heure actuelle, impossible. La portabilité est la possibilité pour toute personne de solliciter le responsable du traitement aux fins de transférer l’ensemble de ses données à un autre responsable du traitement. Qu’est-ce que cela signifierait réellement dans la blockchain ? L’on pourrait imaginer le passage d’une plateforme centralisée à une autre. En l’espèce, cela serait possible, puisqu’il s’agit de données clients. En revanche, la portabilité entre différents protocoles décentralisés et différentes blockchains semble presque impossible. L’un des problèmes principaux des blockchains est effectivement l’interopérabilité entre elles. Or, faire passer des données entre, par exemple, le réseau Bitcoin et le réseau Ethereum est tellement complexe que personne ne s’essaierait à le faire. Toutefois, il existe des protocoles appelés « bridge », qui sont justement prévus pour permettre cette interopérabilité. Mais de là à faire passer un jeu de données d’un protocole à l’autre, c’est une autre histoire… Au-delà même du droit des personnes, subsiste la question de la nature des données concernées. Pour la blockchain Bitcoin, la seule donnée personnelle présente est l’adresse publique… qui est une donnée pseudonymisée. Il en va de même pour la majorité des autres protocoles, qui, s’ils diffèrent de Bitcoin, reprennent ce principe de collecter un minimum de données personnelles, à l’exception de l’adresse IP pour certains. Ainsi, l’exercice du droit d’opposition est impossible pour de telles données puisque refuser le traitement signifie tout simplement refuser d’utiliser le protocole en question. Encore une fois, nous en revenons toujours au même point : ce sont les plateformes centralisées qui conservent le plus de données personnelles, en raison notamment de la vérification d’identité, ou KYC (Know Your Customer) à effectuer. La question principale est donc celle de la prochaine articulation entre les protocoles décentralisés, le RGPD et le futur règlement européen TFR (Transfer of Funds Regulation). Ce dernier, bientôt en première lecture au Parlement européen (6), va effectivement obliger les plateformes d’échange à effectuer une vérification d’identité pour tout transfert vers les portefeuilles non hébergés. Nécessaire souplesse dans l’interprétation Or, à l’exception de l’adresse IP pour certains protocoles bien identifiés, aucune donnée personnelle n’est collectée à ce jour lors de la création de ces portefeuilles, comme ceux de l’entreprise française Ledger. Si tel est le cas à l’avenir, la collecte et la conservation des données devraient a priori respecter les dispositions du RGPD. En définitive, il est envisageable de respecter les principes du RGPD, tout en utilisant la blockchain (7). Les marges d’appréciation sont importantes et le règlement dispose de nombreuses exceptions. Cela nécessite de la souplesse. Depuis le rapport de 2019 du Parlement européen (8), les réflexions dans ce domaine se poursuivent. Il ne faudrait cependant pas qu’une règlementation trop stricte retarde l’Europe par rapport aux Etats-Unis et à la Chine, comme cela l’a été pour le développement d’Internet dans les années 1990… Affaire à suivre ! @

* Benjamin Allouch est consultant indépendant Web3 et protection des données.