Cybermenaces : bombe électronique à retardement

En fait. Le 14 octobre se terminent à Monaco les 23e Assises de la cybersécurité qui se sont tenues sur quatre jours. Les cyber-risques n’augurent rien de bon, tant les cyberattaques n’ont jamais été aussi redoutables avec le renfort de l’intelligence artificielle et maintenant de l’informatique quantique.

En clair. Sauve qui peut. Les responsables de la sécurité des systèmes d’information (RSSI) des entreprises et administrations, et leurs dirigeants, ont du souci à se faire. Jamais les cybermenaces et les cyberattaques n’ont été aussi fortes et nombreuses dans le monde. Internet devient le premier théâtre des opérations de la criminalité, de la guerre et de l’ingérence étrangère, tant économique que géopolitique. Cybersécurité et cyberdéfense n’y suffiront pas.
Aux 23es Assises de la cybersécurité (1), à Monaco, les quelque 5.000 visiteurs – Chief Information Security Officer (Ciso) en tête – auraient préféré ne pas verser dans le catastrophisme ni dans les théories du cybercomplot. Hélas, les prévisions sont plus que jamais alarmistes. Steve Morgan, fondateur de la société d’études américaine Cybersecurity Ventures, le confirme à Edition Multimédi@ : « Depuis trois ans, nos prévisions n’ont pas changé. Les coûts mondiaux des dommages liés à la cybercriminalité augmentent de 15 % par an et atteindront 10.500 milliards de dollars en 2025, contre 8.000 milliards de dollars en 2023. C’était 3.000 milliards de dollars en 2015 » (2).

Discours de la présidente von der Leyen sur l’état de l’UE : l’IA a éclipsé le métavers européen

Lors de son discours sur l’état de l’Union européenne, prononcé le 13 septembre, Ursula von der Leyen – présidente de la Commission européenne – s’est focalisée sur l’intelligence artificielle. Mais pas un mot sur la stratégie du métavers européen, dont les défis sont pourtant nombreux.

Ursula von der Leyen (photo) a fait l’impasse sur les mondes virtuels. La présidente de la Commission européenne, dont le mandat commencé en décembre 2019 se terminera en novembre 2024, n’a pas eu un mot sur le métavers européen dans son discours du 13 septembre (1) à Strasbourg sur l’état de l’Union européenne (UE). Ni dans sa lettre d’intention datée du même jour et envoyée de Bruxelles à la présidente du Parlement européen (2) et au président du Conseil de l’UE (3), pour leur faire part de ses « principales priorités pour 2024 » (4).

Mondes virtuels : principes directeurs fin 2023
Pourtant, les défis des mondes virtuels sont tout aussi importants que ceux des intelligences artificielles. Est-ce à dire que « la nouvelle stratégie sur le Web 4.0 et les mondes virtuels » – présentée à Strasbourg le 11 juillet dernier n’est plus prioritaire d’ici les élections du Parlement européen de juin 2024 ? Ursula von der Leyen semble avoir tourné la page du « métavers européen », renvoyant la mise en œuvre à la Commission européenne 2024-2029.
« Les mondes virtuels changeront la façon de vivre en société et leur avènement s’accompagnera de possibilités et de risques qui doivent être pris en compte », avaient pourtant prévenu cet été pas moins de trois commissaires européens – Margrethe Vestager, Dubravka Suica et Thierry Breton – en dévoilant cette nouvelle stratégie et son calendrier. Ainsi, d’ici fin 2023, la Commission européenne va promouvoir des « principes directeurs pour les mondes virtuels », identifiés par un panel de 150 citoyens européens sélectionnés de façon aléatoire (5) et réunis entre les mois de février et d’avril derniers. Il en était ressorti 23 recommandations (6) qui ont inspiré la stratégie « Mondes virtuels », parmi lesquelles : « formation harmonisée pour le travail dans les mondes virtuels » ; « soutien financier au développement des mondes virtuels » ; « forums participatifs pour des avancées, des réglementations et des normes communes » ; « police pour agir et protéger dans les mondes virtuels » ; « accessibilité pour tous – personne n’est laissé de côté » ; « labels/certificats européens pour les applications des mondes virtuels », etc.

Streaming vidéo et IA génératives posent des questions existentielles au cinéma et… au jeu vidéo

La grève dure depuis 140 jours aux Etats-Unis. Les scénaristes d’« Hollywood » l’ont déclenchée le 2 mai, étendue cet été aux comédiens, et maintenant au jeu vidéo. Leurs revendications : meilleures rémunérations à l’ère du streaming et de l’intelligence artificielle.

Les scénaristes de la Writers Guild of America (WGA), en grève depuis le 2 mai, et les acteurs de la Screen Actors Guild and American Federation of Television and Radio Artists (SAG-AFTRA), en grève depuis le 13 juillet, sont très remontés contre l’Alliance of Motion Picture and Television Producers (AMPTP). Cette dernière regroupe les grands groupes de médias et de télévisions américains ainsi que des plateformes de streaming vidéo : « Amazon/MGM, Apple, Disney/ABC/Fox, NBCUniversal, Netflix, Paramount/CBS, Sony, Warner Bros. Discovery (HBO) et d’autres », mentionne le syndicat américain des comédiens. Le mouvement social s’étend aux éditeurs de jeux vidéo.

Hollywood donne d’une main, reprend de l’autre
D’un côté, la WGA (11.500 scénaristes) et, de l’autre, la SAGAFTRA (160.000 comédiens), qui vient de réélire sa présidente Fran Drescher (photo) le 8 septembre (1), négocient d’abord une augmentation des rémunérations pour tenir compte de l’inflation : les scénaristes proposent 5 % à 6 % de hausse mais les groupes cinématographiques et audiovisuels offrent 2 % à 4 % ; les acteurs proposent une augmentation de 11 % mais les groupes cinématographiques et audiovisuels offrent 5 %. Mais ce sont vis-à-vis des plateformes de streaming (Netflix, Amazon Prime Video, Disney+, …) que les revendications se font plus pressantes. Les scénaristes et les comédiens demandent à être mieux rémunérés par les plateformes de SVOD (2) sur les minimum garantis – le MBA (Minimum Basic Agreement) inscrit dans la convention collective de la WGA – et à être intéressés aux bénéfices du streaming. Cette exigence d’« une meilleure rémunération initiale et des droits résiduels » porte aussi sur les plateformes vidéo financées par la publicité, les AVOD (3) et les FAST (4).

Les majors Universal Music, Sony Music et Warner Music négocient avec les éditeurs d’IA musicales

Google et sa filiale YouTube négocient avec Universal Music l’autorisation d’utiliser pour son IA musical, MusicML, les données de la première « maison de disques ». Les autres majors, Warner Music et Sony Music, devront aussi trouver des accords. C’est plus une opportunité qu’une menace.

Le 21 août, YouTube a annoncé un accord avec Universal Music autour de l’IA musicale. Le Financial Times avait par ailleurs révélé le 9 août que sa maison mère Google et la première major mondiale de la musique enregistrée étaient en pourparlers pour autoriser que les mélodies et les voix des artistes soient exploitées par l’intelligence artificielle MusicLM (développée par Google) afin que celle-ci puisse créer de nouvelles chansons. Si ces négociations devaient aboutir, un accord de ce type serait une première pour l’industrie musicale qui, jusqu’à maintenant, voient plus ces IA génératives de musiques comme une menace pour elle.

Accords avec Google et YouTube
Quel est l’impact de l’IA générative sur l’industrie musicale ? « Imaginez que quelqu’un vole tout ce qui a de la valeur à une entreprise et l’utilise pour lancer une entreprise pour lui faire concurrence. C’est exactement ce qui se passe avec beaucoup de grands modèles d’IA d’apprentissage automatique qui existent aujourd’hui. Il s’agit d’une concurrence déloyale classique. (…) Il y a un besoin urgent de “code de la route” approprié pour l’IA générative et nous vous encourageons à agir de manière décisive et sans délai », a déclaré le 12 juillet dernier Jeffrey Harleston (photo), directeur juridique et vice-président exécutif pour les affaires commerciales et juridiques d’Universal Music. Il était auditionné au Sénat américain par le sous-comité de la commission judiciaire du Sénat, sur le thème de « l’intelligence artificielle et la propriété intellectuelle » (1).

Protection des données : après 5 ans de mise à l’épreuve du RGPD, son réexamen sera le bienvenu

En attendant le réexamen en 2024 du règlement sur la protection des données (RGPD), les entreprises peinent à remplir certaines de leurs obligations, comme celle de transparence envers les utilisateurs, et doivent faire face au détournement du droit d’accès aux données et à la déferlante de l’IA. Par Sandra Tubert, avocate associée, Algo Avocats Entré en application le 25 mai 2018, deux ans après son entrée en vigueur afin de laisser aux entreprises le temps nécessaire pour se mettre en conformité, le règlement européen sur la protection des données (RGPD) affichait des objectifs ambitieux (1). La couverture médiatique dont il a fait l’objet a permis de sensibiliser les Européens à la protection de leurs données à caractère personnel, mais également au RGPD de s’imposer comme une référence pour les Etats étrangers ayant adopté une loi similaire. Pour autant, avec un recul d’un peu plus de cinq ans, le RGPD peine à remplir pleinement certains des objectifs fixés. Internautes concernées mieux informés Dans la lignée de la directive « Protection des données personnelles » de 1995 qui l’a précédée (2), le RGPD n’a pas choisi la voie de la patrimonialisation des données à caractère personnel. Le législateur européen n’a en effet pas créé de droit à la propriété sur les données à caractère personnel, mais s’est plutôt orienté vers une approche de protection des données permettant aux personnes concernées d’avoir une certaine maîtrise de l’utilisation faite de leurs données à caractère personnel. Deux objectifs principaux ont été associés à cette approche : renforcer la transparence sur les traitements réalisés et fournir des droits supplémentaires aux personnes concernées. C’est ainsi que le RGPD est venu renforcer l’obligation faite aux responsables du traitement de fournir une information détaillée sur les traitements mis en œuvre (3). L’objectif affiché était louable : une transparence accrue afin de permettre aux individus de comprendre en amont l’utilisation envisagée de leurs données par les entreprises et ainsi d’en avoir la maîtrise en leur laissant la possibilité d’effectuer un choix éclairé : refuser la communication de leurs données, s’opposer à certains traitements, ou bien encore donner leur consentement à la réalisation de certaines activités. En pratique, les entreprises ont l’obligation de fournir l’intégralité des informations prévues par le RGPD de façon concise, transparente, compréhensible et aisément accessible, en utilisant des termes clairs et simples. Or répondre à ces impératifs de manière conforme à ce qui est attendu par les autorités de contrôle – comme la Commission nationale de l’informatique et des libertés (Cnil) en France – est l’une des premières difficultés que cinq ans de pratique du RGPD ont fait émerger. En effet, les organisations ont des difficultés à concilier les exigences de fourniture d’une information exhaustive et très technique – notamment concernant les bases légales du traitement et les garanties fondant les transferts des données hors de l’Union européenne (4) – avec celles de clarté et de concision. Ainsi, au titre des effets pervers de cette obligation de transparence accrue, les citoyens européens font face à des politiques de confidentialité toujours plus longues, rédigées en des termes trop techniques ou trop juridiques. De l’autre côté, les autorités de protection des données n’hésitent pas à sanctionner les manquements à cette obligation, puisque le « défaut d’information des personnes » figure parmi les manquements les plus fréquemment sanctionnés par la Cnil (5). Cette obligation a été couplée à la fourniture de droits supplémentaires aux personnes, toujours dans une optique de leur offrir une meilleure maîtrise de leurs données. En pratique, le RGPD a repris les droits existants depuis la directive « Protection des données personnelles » (droits d’accès, de rectification, d’opposition), consacré le droit d’effacement (6) et créé de nouveaux droits (droits à la limitation du traitement et à la portabilité des données). La sensibilisation du grand public à l’existence de ces droits, grâce notamment aux actions de la Cnil et au traitement médiatique, ont eu pour effets la réception, par les entreprises, de demandes fondées sur les droits issus du RGPD de plus en plus nombreuses. Par ricochet, les autorités de protection des données ont, elles aussi, vu le nombre de plaintes déposées auprès de leurs services augmenter considérablement (7). Ainsi, la Cnil a reçu 12.193 plaintes en 2022 contre 7.703 en 2016. L’objectif fixé par le RGPD semble donc atteint sur ce point. Droit d’accès : instrumentalisation Néanmoins, ces dernières années ont également été témoin du détournement du droit d’accès, aussi bien dans la sphère sociale que commerciale. En effet, les entreprises reçoivent de plus en plus de demandes de droit d’accès dont l’objectif n’est pas de vérifier l’existence et la licéité du traitement des données, mais au contraire de se constituer des preuves dans le cadre d’un précontentieux ou d’un contentieux à l’encontre de l’entreprise. Cette instrumentalisation est parfaitement connue des autorités qui ont toutefois réaffirmé (8) que, dans le cadre de l’évaluation des demandes reçues, le responsable du traitement ne devait pas analyser l’objectif du droit d’accès en tant que condition préalable à l’exercice de ce droit et qu’il ne devait pas refuser l’accès au motif que les données demandées pourraient être utilisées par la personne pour se défendre en justice. Les entreprises n’ont ainsi d’autres choix que de donner suite à ces demandes, en restreignant la nature des données communiquées aux seules données relatives à la personne concernée et en veillant à ne pas porter atteinte aux droits des tiers (9). Des obligations de sécurité renforcées La protection des données à caractère personnel passant nécessairement par la sécurité de celles-ci, le RGPD est venu renforcer les obligations à la charge des entreprises au moyen de deux mécanismes assez efficaces : l’obligation pour les responsables du traitement de notifier les violations de données aux autorités de contrôle (10), voire directement aux personnes concernées, respectivement lorsqu’elles présentent des risques ou des risques élevés pour les personnes; l’obligation pour les responsables du traitement et les sous-traitants (11) de mettre en œuvre des mesures de sécurité appropriées aux risques présentés par le traitement. Il est assez difficile de déterminer si les objectifs de sécurisation des données fixés par le RGPD sont atteints. Néanmoins, dans un contexte où les attaques par rançongiciel (ransomware) se multiplient chaque année (12), les autorités de contrôle sont particulièrement vigilantes quant au respect de ces deux obligations. En témoigne notamment le fait qu’en 2022, un tiers des sanctions prononcées par la Cnil concernait un manquement à l’obligation de sécurité. Ce même manquement a conduit cette dernière à prononcer sa première sanction publique à l’encontre d’un sous-traitant (13), un éditeur de logiciel, pour un montant de 1,5 million d’euros. Elle n’a pas non plus hésité à sanctionner une entreprise qui n’avait pas informé les personnes concernées de la violation de données intervenue, alors qu’elle présentait un risque élevé pour ces dernières. Sur le respect de l’obligation de notification des violations de données, il est assez difficile de tirer de réels enseignements des chiffres disponibles, même si l’on constate des disparités importantes quant au nombre de notifications de violation de données réalisées chaque jour en fonction des pays. A titre d’exemple, il y a environ 14 notifications par jour en France, contre 27 notifications par jour au Royaume-Uni. Cette disparité se retrouve également dans le nombre de sanctions prononcées chaque année par les autorités de contrôle et l’approche suivie par ces dernières. Si l’autorité espagnole prononce énormément de sanctions, l’autorité irlandaise est régulièrement épinglée (y compris par ses homologues) pour sa clémence et le peu de sanctions prononcées depuis l’entrée en application du RGPD, alors même qu’elle fait office d’autorité chef de file de la plupart des GAFAM (14). C’est finalement sur ce point que le RGPD peine à convaincre et à remplir pleinement ses objectifs, à savoir inciter les entreprises à se mettre en conformité au moyen d’un arsenal répressif dissuasif. En effet, à l’exception des quelques fortes sanctions (dont la dernière en date de 1,2 milliard d’euros à l’encontre de Meta), prononcées principalement à l’encontre des GAFAM et des géants du Net, les sanctions à l’encontre des sociétés sont moins fréquentes que ce qui était escompté par les associations de protection des données. Et les montants des sanctions financières sont assez éloignés des montants maximums encourus (4 % du chiffre d’affaires mondial consolidé). En France, en dehors des sanctions prononcées à l’encontre des GAFAM (dont beaucoup pour des manquements en matière de cookies, non régulés par le RGPD) et très récemment de Criteo (40 millions d’euros), le montant des sanctions prononcées par la Cnil sur le fondement du RGPD oscille depuis cinq ans entre 125.000 et 3 millions d’euros (15). L’association Noyb (16), à l’origine de nombreuses sanctions prononcées en Europe au cours des cinq dernières années, dénonce une certaine résistance des autorités de contrôle et des tribunaux nationaux dans l’application effective du RGPD (17). Elle appelle à suivre l’initiative de la Commission européenne d’adopter un règlement sur les règles de procédure relatives à l’application du RGPD (18), ce qui permettrait selon Noyb d’uniformiser l’approche procédurale des autorités et ainsi de favoriser une meilleure application du RGPD. Par ailleurs, si les entreprises ont pu craindre la multiplication des actions de groupe en matière de protection des données, cette modalité d’action est à l’heure actuelle peu utilisée par les associations de protection des données. En France, seulement deux actions de groupe ont été portées devant les juridictions : l’ONG Internet Society France contre Facebook et l’association UFC-Que-Choisir contre Google. Ce qui pourrait changer au regard des dernières annonces faites par Noyb suite à l’entrée en application des dispositions issues de la directive « Recours collectifs » de 2020 (19). Vers un réexamen du RGPD en 2024 Enfin, le paysage législatif européen pourrait également avoir un impact sur l’application du RGPD. En effet, plusieurs textes européens adoptés récemment (DSA, DGA) ou en cours d’adoption (DA, AIA) ont des champs d’application recoupant celui du RGPD, ce qui va notamment nécessiter de veiller à garantir leurs bonnes articulations. A cette occasion, ou au titre de l’article 97 du RGPD (réexamen tous les 4 ans à compter du 25 mai 2020), il serait souhaitable de voir le législateur européen adresser certaines des difficultés rencontrées par les entreprises dans la mise en application pratique du RGPD. @