Accueil
Le quotidien du droit en ligne
-A+A
Article

Panorama rapide de l’actualité « Technologie de l’information » de la semaine du 13 janvier 2025

Sélection rapide de l’actualité « Technologie de l’information » marquante de la semaine du 13 janvier.

Intelligence artificielle

IA, mineurs, cybersécurité, quotidien numérique : la CNIL publie son plan stratégique 2025-2028

  • Le 15 janvier 2025, la Commission nationale de l’informatique et des libertés (CNIL) a publié son plan stratégique sur la période 2025-2028 pour « protéger les données de chacun et sécuriser l’avenir numérique de tous ». Ce dernier s’inscrit dans un contexte d’innovation des technologies, où l’utilisation des données personnelles est devenue omniprésente. À travers ce plan, la CNIL établit ses priorités pour les quatre prochaines années, visant à assurer la conformité des organismes au RGPD et à garantir le respect effectif des droits des personnes concernées.
    Ce plan s’articule autour de quatre axes prioritaires :
    1. Encadrer les usages de l’Intelligence artificielle pour une meilleure protection des droits : La CNIL met l’accent sur la régularisation des systèmes d’intelligence artificielle afin d’assurer une meilleure protection des droits. Elle entend participer activement aux processus d’interrégulation, en particulier pour clarifier l’articulation de l’IA Act et le RGPD. Enfin, elle souhaite sensibiliser le public aux enjeux de l’IA et accompagner les tiers dans l’exercice de leurs droits.
    2. Garantir une protection renforcée des mineurs dans l’environnement numérique : La CNIL prévoit d’intensifier ses actions de sensibilisation auprès des mineurs, de leurs parents et des professionnels concernés, tout en garantissant l’exercice effectif des droits des jeunes utilisateurs. Elle souhaite renforcer les contrôles sur les opérateurs proposant des services en ligne à destination des mineurs.
    3. Renforcer la cybersécurité et prévenir les atteintes aux données personnelles : La CNIL prévoit d’intégrer des exigences relatives à la protection des données personnelles dans les normes et certifications européennes et internationales. Elle veillera à l’application harmonisée des textes européens sur la cybersécurité (tels que la directive NIS2 et les règlements DORA et IA Act). En outre, la CNIL prévoit d’accompagner les victimes de violations de données et de contribuer au développement de technologies respectueuses de la vie privée. Enfin, elle entend renforcer ses contrôles et, en cas de manquement, appliquer des mesures coercitives adaptées.
    4. Accompagner les usages numériques du quotidien : La CNIL entend enfin sensibiliser le public aux enjeux liés à l’utilisation des applications numériques et promouvoir des pratiques respectueuses de la vie privée, notamment par le développement de systèmes d’identité numérique et de vérification d’âge conformes aux exigences de protection des données.
    À travers ces quatre axes, la CNIL réaffirme son engagement à conjuguer innovation technologique et régulation. (CNIL, Protéger les données de chacun pour sécuriser l’avenir numérique de tous, plan stratégique 2025-2028)

Données

Le Cese met en garde sur les tensions énergétiques provoquées par les implantations de centres de données et sur les conséquences sociales

  • Le 14 janvier 2025, Le Conseil économique, social et environnemental (CESE), instance consultative chargée d’éclairer les pouvoirs publics sur les grandes orientations économiques, sociales et environnementales, a rendu un avis intitulé « Pour une intelligence artificielle au service de l’intérêt général ». Il met en lumière les enjeux environnementaux et sociétaux liés au développement de l’intelligence artificielle (IA) et formule plusieurs préconisations visant à encadrer cette technologie. Plus précisément, l’avis du CSE comporte deux parties : la première est consacrée aux grands enjeux de l’IA et la seconde traite des impacts de l’IA dans la société.
    S’agissant des grands enjeux de l’IA, le CESE relève que cette dernière présente des risques de violation des droits fondamentaux et libertés individuelles. A ce titre, il insiste sur la nécessité de renforcer les obligations de transparence des algorithmes et des jeux de données utilisés dans l’entraînement des systèmes d’IA. L’avis alerte également sur l’impact environnemental des infrastructures numériques, en particulier celui des centres de données. Ces installations, indispensables au fonctionnement des systèmes d’IA, devraient être soumises à des études d’impact environnemental avant toute implantation, incluant la consommation d’eau et d’électricité. Par ailleurs, il appelle à une révision des règles de commande publique afin d’y intégrer des critères environnementaux et sociaux relatifs à l’empreinte écologique des technologies numériques.
    En ce qui concerne les impacts sociétaux, le CESE met en exergue les transformations qu’induit l’IA sur le marché du travail et les relations sociales. A titre d’illustration, il préconise une formation adaptée pour permettre aux salariés d’acquérir les compétences nécessaires à une utilisation optimale de l’IA. Dans les services publics, le CESE prône un usage de l’IA visant à améliorer la qualité des prestations tout en garantissant l’égalité d’accès et le respect des droits des usagers, notamment par l’instauration d’un « droit au non-numérique ». L’avis traite également des impacts liés à l’utilisation de l’IA dans l’éducation et la santé.
    De façon générale, le CESE appelle, par cet avis, à une régulation harmonisée au niveau européen afin de « promouvoir une IA compétitive, éthique et respectueuse des droits sociaux et environnementaux ». (Cese, Pour une intelligence artificielle au service de l’intérêt général, 2025)

La sauvegarde de données, une obligation d’information à la charge du professionnel

  • Le 19 novembre 2024, la Cour d’appel de Rennes a retenu la responsabilité d’une société prestataire informatique qui a manqué à son obligation d’information et de conseil envers son client non professionnel, une société fabricant des portails, qui a subi une cyberattaque en juin 2020. Le prestataire informatique a été condamné à verser à son client 50.000 € de dommages et intérêts au titre du préjudice lié à la perte de chance d’éviter le sinistre.
    En novembre 2019, le prestataire informatique a installé pour la société fabricant des portails une nouvelle infrastructure informatique, qui a fait l’objet, en juin 2020, d’une cyberattaque par rançongiciel (logiciel malveillant). Cette attaque a compromis l’ensemble de ses données administratives, industrielles et économiques, mais encore les données personnelles de ses salariés. Cette intrusion a entraîné une interruption totale d’activité pendant une semaine et des coûts importants pour la récupération des données. Les diagnostics de l’incident ayant conclu à d’importantes failles du matériel informatique installé par le prestataire, la société fabricant des portails a assigné ce dernier devant le tribunal de commerce de Nantes.
    Le tribunal de commerce de Nantes, par un jugement du 17 juillet 2023, a débouté la société fabricant des portails de l’ensemble de ses demandes, ce dont elle a fait appel. La Cour d’appel de Rennes a infirmé le jugement de première instance, au motif que la société prestataire de service a bien manqué à ses obligations en matière d’information et de conseil vis-à-vis de la société fabricant des portails. En effet, le prestataire devait garantir à son client, non professionnel, une information complète sur les risques techniques associés à leurs prestations, cette garantie étant inhérente à tout contrat liant un professionnel et un non-professionnel.
    La cour d’appel a également condamné le prestataire informatique à 50.000 € de dommages et intérêts en réparation du préjudice de la société fabricant des portails liés à sa perte de chance d’éviter le sinistre subi en juin 2020. Pour estimer le préjudice, la cour d’appel a pris en compte les coûts externes de la remise en état, mais encore l’atteinte à l’image de la société.
    Cette décision illustre l’importance, pour les prestataires informatiques, de veiller à la sécurisation des systèmes et à l’accompagnement de leurs clients non professionnels face aux risques du numérique, en particulier les cyberattaques. (CA Rennes, 19 nov. 2024, 23/04627)