Archives par mot-clé : Union européenne

Les enjeux du droit d’auteur à l’ère de l’intelligence artificielle (IA) : entre exceptions et interprétations

Publié le par

La propriété intellectuelle est entrée dans une zone de turbulences provoquées par les IA génératives. L’utilisation d’œuvres reste soumise à l’autorisation des auteurs, mais le droit d’auteur est limité dans certains cas comme la fouille de textes et de données. L’AI Act sera à interpréter.

Par Jade Griffaton et Emma Hanoun, avocates, DJS Avocats*

La récente législation européenne sur l’intelligence artificielle (IA) – l’AI Act dans sa dernière version de compromis final datée du 26 janvier 2024 (1) (*) (**) – adopte une définition flexible de « système d’IA », désigné comme « un système basé sur des machines conçues pour fonctionner avec différents niveaux d’autonomie et d’adaptabilité après leur déploiement et qui, à partir des données qu’il reçoit, génère des résultats tels que des prédictions, du contenu, des recommandations ou des décisions pouvant influencer des environnements physiques ou virtuels » (2).

Exception de « fouille de textes et de données »
La question de la relation entre le droit de la propriété littéraire et artistique et l’IA est une préoccupation ancienne. Lors de la phase d’entraînement, le système d’IA reçoit des données. A ce stade, se pose la question de l’intégration de contenus protégés par le droit d’auteur aux fins du développement du système. Lors de la phase de génération, le système d’IA génère des résultats, voire des créations, à la demande de l’humain. Se pose alors la question de l’encadrement juridique de ces créations générées, en tout ou partie, par un système d’IA. Ces problématiques juridiques actuelles doivent être envisagées à la lumière des nouveaux textes destinés à réguler le domaine de l’IA, et notamment la récente proposition de règlement européen sur l’IA, et la proposition de loi française visant à encadrer l’utilisation de l’IA par le droit d’auteur (3).
De nouveaux contours de la possibilité d’utiliser des œuvres pour entraîner l’IA ? Les systèmes d’IA ont besoin, au stade de leur apprentissage et développement, d’avoir accès à de grands volumes de textes, images, vidéos et autres données. Ces contenus sont susceptibles d’être protégés par le droit d’auteur. L’objectif principal du règlement IA, dévoilé en 2021 par la Commission européenne, consiste à réguler les systèmes d’IA introduits sur le marché européen, en adoptant une approche axée sur les risques et en assurant un niveau élevé de protection des droits fondamentaux, de la santé publique, de la sécurité et de l’environnement. Ainsi, l’AI Act n’a pas vocation à traiter les questions relatives au droit d’auteur. Et pourtant, il n’ignore pas totalement leur importance en présence d’un système d’IA. A ce propos, le règlement renvoie à une exception – au principe d’obtention d’une autorisation de l’auteur pour toute utilisation de son œuvre – issue du droit de l’Union européenne (UE), celle de la fouille de textes et de données (text and data mining ou TDM). Cette exception – non spécifique aux systèmes d’IA – permet, semble-t-il, de justifier juridiquement l’utilisation de contenus protégés par le droit d’auteur en dispensant les opérateurs d’IA d’obtenir l’autorisation des auteurs qui ne se sont pas opposés expressément. Elle n’est pas nouvelle. C’est la directive européenne « Droit d’auteur et les droits voisins dans le marché unique numérique » de 2019 (4) qui a voulu rendre obligatoire pour les Etats membres de prévoir une exception aux droits de reproduction d’une œuvre et d’extraction d’une base de données, à des fins d’utilisation de technologies de fouille de textes et de données – technologies qui permettent une analyse informatique automatisée de textes, sons, images ou données sous forme numérique, en grande quantité, en vue d’acquérir de nouvelles connaissances. En y faisant ce renvoi, la proposition de règlement confirme, semble-t-il, que cette exception s’applique aux systèmes d’IA mais n’apporte aucune nouveauté en la matière. La proposition de loi française – dont l’objet même est, contrairement à la proposition européenne, d’encadrer l’IA par le droit d’auteur – envisage d’incorporer dans le code de propriété intellectuelle (CPI), au sein de l’article L.131-3, un alinéa prévoyant que l’intégration d’œuvres protégées par le droit d’auteur dans le système d’IA est soumise « à une autorisation par les auteurs ». Une telle formulation – « L’intégration par un logiciel d’intelligence artificielle d’œuvres de l’esprit protégées par le droit d’auteur dans son système et a fortiori leur exploitation est soumise aux dispositions générales du présent code et donc à autorisation des auteurs ou ayants droit » (5) – pourrait recevoir diverses interprétations.

Question de l’« autorisation des auteurs »
L’intégration des œuvres dans un système d’IA est un nouveau mode d’exploitation que la proposition semble avoir voulu prendre en compte. Doit-on comprendre que l’intégration dans une IA est une forme de reproduction de l’œuvre à laquelle s’applique, comme pour toutes formes de reproduction, l’exception de fouilles de textes et de données ? Dans ce cas, le régime actuel est inchangé : donc, les développeurs d’IA peuvent encore intégrer des œuvres à la phase d’entraînement, sauf opposition des auteurs. Doit-on plutôt comprendre que cette formulation veut rompre avec le régime actuel en consacrant expressément une exigence d’obtention d’autorisation de auteurs en écartant l’exception de fouilles de textes et de données ? Dans ce cas, le nombre d’œuvres pouvant être intégrées dans les systèmes d’IA serait réduit à celles dont une autorisation a été donnée, et non celles ne faisant pas l’objet d’opposition. La première interprétation semble la plus appropriée, notamment eu égard à la formulation de l’alinéa précisant que « [l’intégration] est soumise aux dispositions générales du présent code et donc à autorisation des auteurs », et à sa place dans le CPI (6).

Pays de « common law » et pays de « civil law »
Nouvelle exigence de transparence lorsque des œuvres sont utilisées par l’IA. La proposition AI Act, bien qu’elle n’ait pas vocation à traiter de la question du droit d’auteur, exige des fournisseurs de systèmes d’IA une certaine transparence lorsque des contenus protégés par un droit d’auteur ont été utilisés au stade du développement dudit système. En effet, le texte contraint les fournisseurs de modèles d’IA à finalité générale (« general purpose IA models ») à mettre en place une politique pour respecter le droit d’auteur de l’UE, et à rendre public un résumé suffisamment détaillé du contenu utilisé pour entraîner le modèle d’IA à finalité générale (7). La mise en place de la politique aurait pour objectif d’identifier et respecter les réservations de droits – ou oppositions – au titre de l’exception de fouilles de textes et de données.
La publication du résumé suffisamment détaillé devrait se faire à partir d’un modèle publié par l’Office de l’intelligence artificiel (OIA, ou AI Office), organe instauré par la proposition de législation. Il aurait pour objet – sans être techniquement détaillé – « par exemple d’énumérer les principales collections ou ensembles de données qui ont servi à la formation du modèle, tels que les grandes bases de données privées ou publiques ou les archives de données, et en fournissant une explication narrative sur les autres sources de données utilisées » (8). De telles exigences en termes de transparence témoignent de la prise en compte des exigences posées par le droit d’auteur. D’autant que le règlement IA prévoit que les obligations de transparences ne s’appliquent pas aux fournisseurs de systèmes d’IA rendant accessibles au public, sous licence libre ou ouverte, les modèles d’IA (9) sauf celles liées au droit d’auteur. Sortir les exigences de transparence liées au droit d’auteur de l’exception générale témoigne encore de leur importance.
Vers une remise en cause de la non-« protégeabilité » des créations issues d’un système d’IA ? Alors que les pays de « common law » comme le Royaume Uni et les Etats-Unis admettent la « protégeabilité » des œuvres générées par des machines (10) – notamment parce que l’œuvre est placée au centre et les auteurs obtiennent une protection indirecte à travers la protection directe de la propriété créée –, les pays de « civil law » ont tendance à refuser qu’une œuvre au sens juridique du terme puisse être créée par une machine dès lors que la protection est attachée directement à la personne de l’auteur. Traditionnellement, l’originalité s’entend en droit français et européen de l’empreinte de la personnalité de l’auteur en manifestant ses choix libres et créatifs (11). Une telle conception exclut a priori toute originalité d’une œuvre conçue par une IA du fait du défaut de personnalité de l’IA. Si, le règlement IA ne traite pas de la question de la « protégeabilité » des « créations » générées par l’IA, la proposition de loi française, a contrario, tente de plonger au cœur du sujet. Elle envisage d’intégrer au sein de l’article L.321-2 du CPI le cas précis d’une « œuvre créée par une intelligence artificielle sans intervention humaine directe » (12). Par cette disposition, le droit français semble admettre qu’une œuvre puisse être créée par une machine, et non un être humain. Dans ce cas, la proposition de loi désigne comme titulaires des droits, non pas les personnes ayant développé le système ou ayant commandé la création à la machine, mais les auteurs des œuvres intégrées au système d’IA lors de la phase d’entraînement.
L’œuvre serait-elle alors empreinte de la personnalité des auteurs des œuvres premières ayant servi à entraîner le système d’IA ? Ces auteurs seraient à la fois titulaires de droits sur leur œuvre première – sans difficulté – et de droits sur les œuvres générées par l’IA lorsque leur œuvre première aurait été exploitée au stade de développement de l’IA. La problématique qui se pose d’emblée en pratique est celle de la multitude de titulaires d’une œuvre générée par un système d’IA. La proposition de loi envisage alors que les droits soient gérés par des organismes de gestion collective (comme la Scam ou la Sacem) qui percevront la rémunération ou une taxation versée par la société qui exploite le système d’IA lorsque l’œuvre est engendrée par l’intégration d’œuvres dont l’origine ne peut être déterminée. La proposition de loi exige aussi que soit apposée la mention « Œuvre générée par IA » et inséré le nom des auteurs des œuvres premières.

Protection des œuvres générées par l’IA
En revanche, la protection accordée aux œuvres générées par l’IA ne semble pas aussi complète que celle accordée aux œuvres « classiques » : la proposition de loi française ne traite pas plus du droit moral ni des autres droits patrimoniaux que de celui de la rémunération juste et équitable des auteurs. Peut-être que cela s’explique par l’ambition de la proposition de loi « Encadrer l’intelligence artificielle par le droit d’auteur » de garantir une rémunération juste et équitable de l’exploitation des œuvres et de garantir une traçabilité des auteurs et artistes. Il reste à voir comment seront appréhendées en pratique de telles évolutions juridiques. @

* Article écrit avec la collaboration
de Camille Rodriguez, DJS Avocats

Bilan de Thierry Breton à la Commission européenne

Publié le par

En fait. Le 1er mars, Thierry Breton, commissaire européen au Marché intérieur, était l’invité de l’Association des journalistes économiques et financiers (Ajef). A neuf mois de la fin de son mandat, il estime que « l’Union européenne a fait un pas gigantesque sur la régulation numérique », malgré « les lobbies ».

Data Act et AI Act, ou l’art de ménager la chèvre (innovation) et le chou (droits individuels)

Publié le par

Le Data Act et l’AI Act ont un objectif commun : tirer profit des opportunités offertes par les données, qu’elles soient issues d’objets connectés pour le premier, ou de modèles d’intelligence artificielle pour le second, tout en protégeant les droits des individus contre les dérives.

Par Anne-Marie Pecoraro*, avocate associée, UGGC Avocats

Les premiers mois de l’année 2024 ont été marqués par des développements substantiels sur le plan réglementaire concernant les données en Europe, développements à la lumière desquels le règlement général sur la protection des données (RGPD) est pensé de manière dynamique. Avec deux autres règlements que sont le Data Act (déjà en vigueur) et le AI Act (toujours en cours d’examen), l’Union européenne (UE) tente de préserver cet élan innovateur tout en assurant une protection efficace des droits individuels.

Socle solide de règles sur les données
Adoption du Data Act : le 11 janvier 2024, le Conseil de l’UE a adopté le règlement portant sur des règles harmonisées en matière d’accès et d’utilisation équitables des données. Le texte vise à « relever les défis et à libérer les opportunités offertes par les données dans l’[UE], en mettant l’accent sur l’accès équitable et les droits des utilisateurs, tout en assurant la protection des données à caractère personnel » (1). Il s’inscrit dans une stratégie européenne pour les données afin de créer un marché unique des données garantissant la compétitivité et la souveraineté de l’Europe.
Projet d’AI Act : le 2 février 2024, le Conseil de l’UE a adopté à l’unanimité la proposition de règlement du Parlement européen et du Conseil de l’UE établissant des règles harmonisées concernant l’intelligence artificielle, texte pour lequel un accord avait été trouvé dès décembre 2023 (2). Ce texte est pour le moment d’une ambition unique au monde. Le Data Act et prochainement l’AI Act prendront donc place aux côtés du Digital Services Act (entré en vigueur le 25 août 2023 dans le but de responsabiliser les plateformes numériques et de lutter contre la diffusion de contenus illicites ou préjudiciables ou de produits illégaux), du Digital Markets Act (entré en vigueur le 2 mai 2023 et visant à mieux encadrer les activités économiques des grandes plateformes numériques) et du RGPD (entré en application le 25 mai 2018 dans le but de protéger les droits des personnes concernées par un traitement de leurs données personnelles).
A eux cinq, ces règlements européens forment les principaux piliers de la régulation des plateformes et données en Europe. Un sixième texte, le Digital Governance Act, entré en vigueur le 23 juin 2022, concerne également les données, en traitant principalement du secteur public. Il s’agit de réglementer par-delà les frontières en s’appliquant aussi à l’international. Cette réglementation, devenue cruciale pour rechercher un usage éthique, transparent et équitable des données traitées massivement, demeurera exceptionnelle en ce qu’elle s’érige à un échelon européen et transnational capable d’atteindre des entreprises de toutes tailles, y compris les plus grandes, installées hors d’Europe. L’article 3 du Data Act prévoit que le règlement s’applique dès qu’un produit connecté ou un service connexe est mis à disposition sur le territoire de l’UE et/ou qu’un utilisateur ou destinataire de données sont situés dans les Vingt-sept. Et ce, quel que soit le lieu d’établissement du détenteur de données ou du fournisseur de services de traitement de données.
De la même manière, l’article 2 de l’AI Act prévoit que le règlement s’appliquera dès qu’un système d’IA sera mis sur le marché de l’UE ou qu’un utilisateur de système d’IA est établi ou est localisé sur le territoire des Vingt-sept, ou encore que le contenu généré par l’IA est utilisé au sein de l’UE. Le but est de ne pas favoriser les acteurs non européens au détriment des entreprises locales. Il s’agit donc, comme pour le RGPD, d’assurer une protection efficace des citoyens européens sans entraver la compétitivité des entreprises européennes. Les textes cherchent aussi à ne pas décourager les entreprises européennes à innover, en ayant notamment pour effet d’imposer de manière extraterritoriale, même aux plus grandes entreprises internationales, des obligations. Les Gafam ont mis en avant les risques liés notamment au AI Act, la mise en conformité entraînant des coûts importants.

Transparence et secret des affaires : équilibre
Un enjeu du Data Act et de l’AI Act est de trouver un équilibre entre la transparence dans le traitement des données et la préservation du secret des affaires, afin de ne pas freiner l’innovation :
• Le Data Act : la maîtrise par l’utilisateur de ses données limitée par le secret des affaires. L’article 3 du Data Act prévoit l’obligation pour les entreprises concevant et fabriquant des objets connectés et des services connexes de rendre, par défaut, les données et métadonnées générées par ces objets et/ou services connexes facilement accessibles à l’utilisateur, voire lorsque cela est « pertinent et techniquement possible » directement accessibles à l’utilisateur par une simple demande électronique. A ce sujet, l’article 3.2 du Data Act prévoit qu’un certain nombre d’informations précontractuelles doivent être délivrées par le vendeur, le loueur ou le bailleur d’objets connectés « de manière claire et compréhensible ». Ces informations sont notamment relatives au type, format et volume estimé de données générées par l’objet en question ou encore à la capacité de l’objet de générer des données en continu et en temps réel (3). Aussi, l’article 5 du Data Act prévoit le droit pour l’utilisateur de partager des données avec des tiers.

Les obligations du détenteur de données
Cependant, afin d’assurer la compétitivité des entreprises en Europe, le texte prévoit, que ce soit au sujet du droit d’accès ou du droit de partage des données par l’utilisateur à des tiers, le respect du secret des affaires par lequel seraient protégées certaines données. Le détenteur de la donnée a ainsi l’obligation de recenser les données ou métadonnées protégées en tant que secret des affaires et de mettre en place des « mesures techniques et organisationnelles proportionnées » nécessaires à la préservation de la confidentialité des données partagées. Le texte prévoit notamment la possibilité d’élaboration de clauses de confidentialité entre le détenteur de données et l’utilisateur et/ou le tiers, ou encore l’adoption de « codes de conduite ».
A défaut d’accord ou si l’utilisateur ou le tiers contrevient aux mesures convenues avec le détenteur du secret des affaires, le détenteur de données peut bloquer ou suspendre le partage des données confidentielles. Il devra alors avertir l’utilisateur ou le tiers concerné et le notifier à l’autorité compétente. De surcroît, même si l’utilisateur ou le tiers respecte les mesures convenues avec le détenteur de données, ce dernier peut démontrer « qu’il est très probable qu’il subisse un préjudice économique grave du fait de la divulgation de secrets d’affaires » et ainsi refuser une demande d’accès pour les données en question en avertissant et en expliquant les raisons précises de sa décision et en le notifiant à l’autorité compétente. La décision du détenteur de données est toutefois susceptible de recours par l’utilisateur ou le tiers devant une juridiction d’un Etat membre et peut aussi être l’objet d’une réclamation auprès de l’autorité compétente. Enfin, l’utilisateur ou le tiers ont l’interdiction de se servir des données obtenues pour concurrencer le produit connecté en question.
L’AI Act : la « synthèse suffisamment détaillée » des données d’entraînement au cœur des interrogations. L’AI Act réalisera en substance le même compromis que le Data Act en ce qui concerne les données d’entraînement qui sont utilisées par les IA pour générer du contenu (4). En effet, le texte prévoit que les fournisseurs d’IA à usage général devront prendre des mesures pour respecter le droit d’auteur, en particulier le droit d’opposition des ayants droit, peu importe la juridiction où l’entraînement a lieu. Ces mêmes fournisseurs devront également, afin d’accroître la transparence sur les données d’entrainement, publier une « synthèse suffisamment détaillée » de ces données. Cette synthèse devra être globalement exhaustive dans sa portée plutôt que techniquement détaillée afin de faciliter aux parties ayant des intérêts légitimes, notamment les ayants-droits, l’exercice de leurs droits. Le texte donne simplement de vagues exemples d’informations fournies au titre de la synthèse détaillée, comme l’énumération des principales collections de données ou les ensembles utilisés pour former le modèle. Les fournisseurs de modèles d’IA gratuits et open source seront exemptés de cette obligation sauf s’ils présent un risque systémique, afin d’inciter leur développement dans la mesure où ils contribuent à la recherche à l’innovation sur le marché et peuvent être des sources de croissance importante pour l’économie de l’UE. Le « Bureau de l’IA » – « AI Office » tel que prévu dans la version consolidée de l’AI Act (5) datée du 21 janvier (6) – devrait entrer en vigueur le 21 février 2024 (7). Il fournira des modèles de synthèses à destination des fournisseurs d’IA concernés et veillera au respect de ces dispositions. La Commission européenne a d’ailleurs, dans une déclaration (8) publiée après l’adoption du texte, réaffirmé le rôle primordial du Bureau de l’IA dans la nouvelle réglementation et dans lequel la France a bien l’intention d’être représentée afin de faire entendre sa voix (9).
Cependant, afin de préserver l’innovation d’une règlementation trop encombrante, l’AI Act prévoit que les rédacteurs de cette synthèse suffisamment détaillée devront prendre en considération le besoin de protéger le secret des affaires et les informations confidentielles. Attention toutefois, à la différence du Data Act, cette mention figure dans les considérants et non pas dans le corps du texte du règlement.
Le Data Act a été pensé pour favoriser l’accès par les petites et moyennes entreprises (PME) à des données pertinentes et leur permettre ainsi d’innover et de rivaliser face à de grandes entreprises qui possèdent déjà une puissance économique considérable sur le marché. C’est précisément pour cette raison que le texte a exclu les entreprises désignées en tant que « contrôleur d’accès » au sens de l’article 3 du DMA (10) du bénéfice de la désignation en tant que « tiers »au sens du Data Act et donc de l’accès aux données issues d’objets connectés et services connexes par le biais du droit de partage de l’utilisateur.

Ménager les PME, éviter les monopoles
Concernant l’AI Act, la Commission européenne a lancé le 24 janvier 2024 des mesures visant à soutenir les jeunes pousses et les PME européennes dans le développement de l’IA (11). Cette volonté se retrouve donc logiquement dans le texte de l’AI Act dont les rédacteurs ont souhaité accélérer l’accès au marché pour les PME en éliminant les obstacles. Le texte entend ainsi permettre des moyens simplifiés de conformité pour les entreprises de plus petite taille et éviter un monopole des plus grandes entreprises dotées d’une grande force de frappe, comme OpenAI. @

* Anne-Marie Pecoraro est avocate spécialisée en droit de la
propriété intellectuelle, des médias et des technologies

Marina Ferrari, nouvelle secrétaire d’Etat chargée du Numérique : entre souveraineté numérique et Gafam

Publié le par

Secrétaire d’Etat chargée du Numérique depuis le 12 février, Marina Ferrari doit défendre la « souveraineté numérique » que porte son ministre de tutelle Bruno Le Maire, ministre de l’Economie, des Finances et de la Souveraineté industrielle et numérique. Mais, « en même temps », la France ne peut se passer des Gafam.

(Le 26 février 2024, date de la publication de cet article dans le n°316 de EM@, la licorne française Mistral AI annonçait son « partenariat » avec… Microsoft

Jean-Noël Barrot, qui aura été ministre délégué chargé du Numérique à peine plus d’un an et demi (y compris jusqu’au 20 juillet 2023 en tant que ministre délégué chargé de la Transition numérique et des Télécommunications), est depuis le 8 février dernier ministre délégué chargé de l’Europe. Sa successeure Marina Ferrari (photo), secrétaire d’Etat chargée du Numérique depuis le 12 février, a saisi l’occasion – lors de leur passation de pouvoirs – pour notamment insister sur la « souveraineté numérique » : « Ce passage de relai nous permettra d’agir main dans la main, en confiance et de jouer collectif dans l’intérêt de la souveraineté numérique française et européenne. […] J’entends conduire mon action autour de deux piliers : résilience et souveraineté. […] Je m’engagerai pour accompagner la naissance d’une vraie souveraineté numérique européenne en veillant à l’application rigoureuse du DMA et du DSA. », a-t-elle déclaré ce jour-là (1). Lors de son discours de prise de fonction à Bercy, celle qui reste aussi députée (Modem) depuis juin 2022 (après avoir été conseillère départementale de la Savoie d’où elle est originaire), a enfoncé le clou sur la « souveraineté numérique » : « Notre pays doit réussir le virage des deeptech et des greentech : c’est tout à la fois une question de souveraineté […]. Je m’impliquerai personnellement pour […] renforcer notre souveraineté et notre indépendance ».

Tapis rouge français pour l’IA américaine
Bref, la « souveraine numérique » est plus que jamais le mot d’ordre au ministère de l’Economie, des Finances et de la Souveraineté industrielle et numérique, dénommé ainsi depuis mai 2022, Bruno Le Maire étant locataire de Bercy depuis mai 2017 (2). Artisant de la « Start-up Nation », le président de la République Emmanuel Macron impulse cette « volonté de construire la souveraineté de la France et de l’Europe dans le domaine numérique », que cela soit lors de ses prises de parole au salon Viva Tech à Paris ou à la Commission européenne à Bruxelles. Pour autant, trois jours après la passation de pouvoirs de Jean-Noël Barrot à Marina Ferrari, il n’a plus été question de « souveraineté numérique ». La secrétaire d’Etat chargée du Numérique accompagnait son ministre de tutelle rue d’Amsterdam à Paris pour inaugurer le 15 février le hub de Google dédié à l’intelligence artificielle (IA), « qui va être, s’est réjoui Bruno Le Maire, une chance pour notre pays, et nous permettre d’attirer des talents, des savoirs, de mélanger ces talents et ces savoirs et faire le meilleur en matière d’IA ».

La « souveraineté numérique » sacrifiée ?
Le nouveau labo parisien de Google – deuxième après le centre de recherche et développement inauguré en 2011 – accueillera quelque 300 chercheurs et ingénieurs de Google, provenant de DeepMind, Google Research, Chrome et YouTube. Lors son discours, le patron de Bercy n’a pas prononcé les mots « souveraineté numérique » en présence de Sundar Pichai, PDG d’Alphabet et de son vaisseau-amiral Google. Comme si, cette fois, ce n’était pas le moment face à un des géants du Net américains qui est déjà en position dominante en France et dans toute l’Europe avec son moteur de recherche – pour ne pas dire en quasi-situation de monopole, l’initiative franco-allemande Qwant pouvant en témoigner (3) – et avec son écosystème Android/Google Play, en quasi-duopole avec iOS/App Store d’Apple. Et de l’aveu même de Bruno Le Maire, « les Etats-Unis ont un temps d’avance ». Alors dérouler le tapis rouge français voire européen au rouleau compresseur de l’IA américaine ne reviendrait-il pas à sacrifier la « souveraineté numérique » du pays voire de l’Union européenne ?
La réponse est sans doute dans le « en même temps » macronien : « Nous pensons qu’avoir un hub ici à Paris, pouvoir travailler avec Google est une chance pour réussir nous-mêmes. Pour donner à la France [surtout à Google en fait, ndlr] la possibilité d’exercer son leadership sur l’intelligence artificielle en Europe. Nous voulons être les premiers en matière d’intelligence artificielle en Europe et nous nous battrons pour ça », a expliqué Bruno Le Maire à Sundar Pichai. Tout en prévenant quand même l’IndoAméricain, à défaut de lui parler explicitement de « souveraineté numérique » : « Et j’aime la compétition, cher Sundar, et nous aimons la compétition » (4).
En fait, cet « hub IA » aux allures de campus – implanté sur 6.000 mètres carrés dans le 9e arrondissement de Paris – avait déjà été annoncé en 2018 par Sundar Pichai lors de sa précédente visite à Paris le 22 janvier 2018 pour rencontrer Emmanuel Macron à Versailles, où le chef de l’Etat recevait 140 dirigeants de grands groupes étrangers pour un sommet baptisé « Choose France » (5). Six ans après, rebelote (si l’on peut dire), le même Emmanuel Macron a reçu le 15 février dernier Sundar Pichai, cette fois à l’Elysée. Mais de « souveraineté numérique » de la France, il n’en a pas été question non plus. Google n’est pas le premier Gafam à installer son laboratoire de recherche et développement en IA à Paris, grâce notamment au crédit d’impôt recherche (CIR) offert par la France. En 2015, sous la présidence de François Hollande, le groupe Facebook – rebaptisé Meta Platforms – a choisi la capitale française pour y mettre son deuxième laboratoire d’IA baptisé « Fair » (Facebook Artificial Intelligence Research), créé et dirigé par un Français basé chez Meta à New-York, Yann Le Cun, pionnier des réseaux de neurones artificiels, embauché par Mark Zuckerberg il y a un peu plus de dix ans (6).
Ironie de l’histoire, le jour même de la consécration du labo IA parisien de Google par Bercy et l’Elysée, le ministère de l’Economie, des Finances et de la Souveraineté industrielle et numérique annonçait que la France venait de signer avec les Etats Unis, l’Autriche, l’Espagne, l’Italie et le Royaume-Uni la prorogation jusqu’au 31 juin 2024 de la taxe « Gafam » (7). Paris avait été le premier à instaurer, en 2019, une telle taxe sur les grandes plateformes numériques. Cette « taxe sur les services numériques » (TSN) de 3 % sur leur chiffre d’affaires vise non seulement Google, mais aussi les autres géants du Net dont les revenus mondiaux dépassent les 750 millions d’euros, dont plus de 25 millions d’euros « au titre des services fournis en France » (8). Mais il est convenu au niveau international – dans le cadre de l’accord historique de l’OCDE le 8 octobre 2021, notamment de son « pilier 1 » (9), que ces taxes nationales « Gafam » devront être supprimées au profit d’une taxe de 25 % de leur bénéfice taxable (au-delà d’un seuil des 10 % de profits). Mais cette réaffectation de l’impôt collecté auprès des géants mondiaux du numérique nécessite pour chacun des 138 pays favorables de signer une « convention multilatérale » (10). D’ici l’été prochain ?

Pas d’« IA souveraine » ni de « cloud souverain »
Google voit dans la France un formidable potentiel avec « ses 500.000 chercheurs et des institutions de premier plan tels que le CNRS, Inria, Paris Saclay, l’Institut Curie, ou encore l’Université PSL » qui pourront utiliser ses interfaces de programmation (API). La firme de Mountain View prévoit de former 100.000 professionnels français aux outils de l’IA d’ici la fin de l’année 2025.
L’IA n’est pas le seul domaine où la « souveraineté numérique » sonne creux. Dans le cloud, par exemple, la désignation de « cloud souverain » a laissé place à « cloud de confiance » (11), en partenariat avec les hyperscalers américains Amazon Web Services (AWS), Microsoft Azure et Google Cloud. @

Charles de Laubier

européennes en font-elles assez en tant que gendarmes des données personnelles ?Les « Cnil » européennes en font-elles assez en tant que gendarmes des données personnelles ?

Publié le par

Edition Multimédi@ revient sur la Journée de la protection des données (Data Protection Day) qui a été célébrée – comme tous les ans depuis 2007 – le 28 janvier. L’organisation Noyb a publié un sondage montrant, en creux, que les « Cnil » européennes ne contrôlent pas assez le respect du RGPD.

La Journée de la protection des données (Data Protection Day) qui été célébrée – comme tous les ans depuis 2007 (1) – le 28 janvier, est tombée cette année un dimanche. D’où le peu d’intérêt qu’elle a cette fois suscité. Pourtant, cette cause est cruciale pour les vies numériques des presque 404 millions d’internautes de l’Union européenne (UE), laquelle compte 445,8 millions d’Européens (2). Les données personnelles de ces citoyens de l’UE sont censées être protégées par les « gendarmes » des données personnelles justement, à savoir les « Cnil » dans chacun des Vingt-sept.

Les « Cnil » font-elles leur boulot ?
Or les « Cnil » de l’UE, réunies au sein du Comité européen de la protection des données (CEPD/EDPB) aux côtés de la Commission européenne qui participe à leurs réunions (sans droit de vote), n’useraient pas suffisamment de leurs pouvoirs de contrôle et d’enquête pour vérifier que les plateformes numériques et les sites web respectent – entre autres obligations de protection de la vie privée de leurs utilisateurs – le règlement général sur la protection des données (RGPD). C’est ce qui ressort, en creux, d’un vaste sondage mené par l’organisation autrichienne Noyb – « centre européen pour les droits numériques » cofondé à Vienne et dirigé par Max Schrems (photo) – auprès de 1.000 professionnels de la protection des données travaillant dans des entreprises européennes.
Dans les résultats de cette étude sans précédent depuis l’entrée en vigueur du RGPD le 25 mai 2018, il y a plus de cinq ans, il ressort que 74,4 % des professionnels interrogés – de nombreux étant eux-mêmes des DPO (Data Protection Officers), à savoir des délégués à la protection des données dans une entreprise – affirment que « si les autorités de protection des données personnelles [les « Cnil » européennes, ndlr] menaient une enquête sur place dans une entreprise moyenne traitant des données d’utilisateurs, elles trouveraient des “violations pertinentes” ». Autrement dit, la plupart des entreprises, au premier rang desquelles les grandes sociétés, ne respectent pas les obligations du RGPD (3) pour protéger la vie privée des personnes dont elles exploitent les données personnelles. Et, en toute impunité puisque les « Cnil » – les Data Protection Authorities (DPA) – en contrôlent très peu. Les sociétés et organisations sont donc en infraction avec ce règlement européen, lequel prévoit trois types sanctions financières en cas de violation des données personnelles :
Pour les violations des obligations incombant au responsable du traitement et au sous-traitant, des obligations incombant à l’organisme de certification, ou des obligations incombant à l’organisme chargé du suivi des codes de conduite : amendes administratives pouvant s’élever jusqu’à 10 millions d’euros ou, dans le cas d’une entreprise, jusqu’à 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu.
Pour les violations aux principes de base d’un traitement, y compris les conditions applicables au consentement, aux droits dont bénéficient les personnes concernées, aux transferts de données à caractère personnel à un destinataire situé dans un pays tiers ou à une organisation internationale, à toutes les obligations découlant du droit des Etats membres, ou au non-respect d’une injonction, d’une limitation temporaire ou définitive du traitement ou de la suspension des flux de données ordonnée par l’autorité de contrôle, ou le fait de ne pas accorder l’accès prévu : amendes administratives pouvant s’élever jusqu’à 20 millions d’euros ou, dans le cas d’une entreprise, jusqu’à 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu. « Le non-respect d’une injonction émise par l’autorité de contrôle [une « Cnil » en Europe, ndlr] fait l’objet d’amendes administratives pouvant s’élever jusqu’à 20 millions d’euros ou, dans le cas d’une entreprise, jusqu’à 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu », prévoit le RDPD (4).

France : seulement 125 agents habilités
Chaque autorité de contrôle des données personnelles est dotée de pouvoirs, sur son territoire, de contrôler l’application du RGPD et de veiller à son respect, ainsi que de pouvoirs d’enquêtes sur l’application de ce même règlement, « y compris sur la base d’informations reçues d’une autre autorité de contrôle ou d’une autre autorité publique » (5). Parmi ses nombreuses attributions en tant que gendarme des données personnelles, la « Cnil » européenne traite aussi « les réclamations introduites par une personne concernée ou par un organisme, une organisation ou une association, […] et informe l’auteur de la réclamation de l’état d’avancement et de l’issue de l’enquête dans un délai raisonnable, notamment si un complément d’enquête ou une coordination avec une autre autorité de contrôle est nécessaire ». Mais les autorités de contrôle des données dans l’UE remplissent-elles bien leur mission de contrôles, d’enquêtes voire de sanctions ? Au vu des constatations de Noyb, le doute s’installe sur leurs capacités à faire respecter la loi, en l’occurrence le RGPD. En France, la Cnil ne dispose que de 125 agents habilités « à procéder à des missions de vérification », d’après sa dernière délibération du 7 décembre 2023 publiée au Journal Officiel (6). Contactée par Edition Multimédi@, la Cnil nous indique qu’elle n’a « pas de commentaires à faire concernant le sondage Noyb ».

Le « soft-law » des DPA jugé inefficace
Le fait que 74,4 % des sondés par Noyb se disent d’accord avec l’affirmation selon laquelle « les autorités de protection des données trouveraient sûrement des violations pertinentes du RGPD » (voir tableau ci-dessous) en disent long sur le peu de contrôles et d’enquêtes qui sont menés sur le terrain. Les « Cnil » sont donc appelées à, en substance, faire vraiment leur travail de vérification en se rendant dans les entreprises. Avec ses 125 agents habilités, la Cnil française semble par exemple presque désarmée – en tant que gendarme des données personnelles – face à l’ampleur de la tâche. Sachant que, rien qu’en France d’après le rapport annuel de la Cnil, présenté par sa présidente Marie-Laure Denis (photo ci-contre) en mai 2023, il y a 89.841 délégués à la protection des données (DPO) susceptibles d’être contrôlés. Cela fait par agent assermenté plus de 700 responsables – de traitement des données personnelles et de la protection de la vie privée – à « vérifier »… Résultat, comme le constate Noyb, « les professionnels évoluent encore dans une culture de non-conformité ou de conformité partielle ». Et le président honoraire de Noyb d’enfoncer le clou : « Il est extrêmement alarmant de constater que 74,4 % des professionnels de la protection des données au sein des entreprises déclarent que les autorités trouveraient en des violations importantes dans une entreprise moyenne. De tels chiffres seraient inimaginables s’il s’agissait de se conformer à la législation fiscale ou à la réglementation en matière de sécurité incendie. La non-conformité ne semble être la norme que lorsqu’il s’agit des données personnelles des utilisateurs » (7). Autre critique à l’égard des « Cnil » et de leur représentation CEPD/EDPB à Bruxelles : les instruments dits de soft-law sont inefficaces, à savoir notamment leurs lignes directrices et recommandations qui n’ont que peu d’influence et sont considérées comme généralistes. D’après l’enquête de Noyb, 70,9 % des personnes interrogées pensent qu’il faudrait des décisions plus claires de la part des gendarmes européens des données personnelles (les vingt-sept DPA) et des tribunaux pour améliorer la conformité. Pour l’écrasante majorité des sondés, il y a « un besoin d’une plus grande implication réellement des DPA pour améliorer la protection de la vie privée des utilisateurs dans la pratique » et il y a encore « beaucoup d’interprétations contradictoires du RGPD ».
Et un avocat néerlandais spécialiste du RGPD de faire remarquer : « Si les Big Tech ne respectent pas le RGPD, pourquoi les petites entreprises se donneraient la peine de se conformer ? ». L’outil d’audit de site web WAT lancé le 29 janvier dernier par le CEPD/EDPB, sous forme de logiciel open source et gratuit (8), devrait permettre aux gendarmes des données et aux éditeurs Internet de vérifier la conformité ou pas de sites web. Reste qu’aujourd’hui le droit à la vie privée et à la protection des données est en grande partie bafoué en Europe, plus de cinq ans après l’entrée en vigueur du RGPD qui devrait en principe faire l’objet d’une révision cette année (9). @

Charles de Laubier