- Administratif
- Toute la matière
- > Acte
- > Bien
- > Collectivité territoriale
- > Contrat et marché
- > Droit économique
- > Droit fondamental et liberté publique
- > Election
- > Environnement
- > Finance et fiscalité
- > Fonction publique
- > Police
- > Pouvoir public
- > Procédure contentieuse
- > Responsabilité
- > Service public
- > Urbanisme
- Affaires
- Civil
- Toute la matière
- > Arbitrage - Médiation - Conciliation
- > Bien - Propriété
- > Contrat et obligations
- > Droit et liberté fondamentaux
- > Droit international et communautaire
- > Famille - Personne
- > Filiation
- > Mariage - Divorce - Couple
- > Procédure civile
- > Responsabilité
- > Succession - Libéralité
- > Sûretés
- > Voie d'exécution
- Européen
- Immobilier
- IP/IT et Communication
- Pénal
- Toute la matière
- > Atteinte à l'autorité de l'état
- > Atteinte à la personne
- > Atteinte aux biens
- > Circulation et transport
- > Criminalité organisée et terrorisme
- > Droit pénal des affaires
- > Droit pénal général
- > Droit pénal international
- > Droit social
- > Enquête
- > Environnement et urbanisme
- > Etranger
- > Informatique
- > Instruction
- > Jugement
- > Mineur
- > Peine et exécution des peines
- > Presse et communication
- > Santé publique
- Social
- Toute la matière
- > Accident, maladie et maternité
- > Contrat de travail
- > Contrôle et contentieux
- > Droit de la sécurité sociale
- > Hygiène - Sécurité - Conditions de travail
- > IRP et syndicat professionnel
- > Négociation collective
- > Protection sociale
- > Rémunération
- > Rupture du contrat de travail
- > Santé publique
- > Statuts particuliers
- > Temps de travail
- > Travailleurs handicapés
- Avocat
Article
Panorama rapide de l’actualité « Technologie de l’information » de la semaine du 20 janvier 2025
Panorama rapide de l’actualité « Technologie de l’information » de la semaine du 20 janvier 2025
Sélection de l’actualité « Technologie de l’information » marquante de la semaine du 20 janvier.
Intelligence artificielle
L’IA au secours des finances publiques ?
-
Le 5 décembre 2024, la Cour des comptes a publié un rapport intitulé « Mieux suivre et valoriser les gains de productivité de l’État issus du numérique » dans lequel elle formule plusieurs recommandations pour pallier aux insuffisances existantes et améliorer l’utilisation ou le développement de technologies numériques au sein de l’administration publique.
Depuis les années 2000, le numérique a été identifié comme un levier de réforme de l’État, notamment pour accroître la productivité des services publics. Cependant, le rapport souligne que cet objectif est rarement au centre des grands projets numériques de l’État, entendus comme les initiatives impliquant la conception, la mise en œuvre ou la modernisation de systèmes d’information, de logiciels ou de technologies numériques pour soutenir et transformer les missions publiques, qui se concentrent davantage sur des problématiques telles que l’obsolescence technologique ou la conformité à des engagements européens ou internationaux.
La Cour des comptes identifie plusieurs lacunes dans le cadrage et l’évaluation des projets numériques. Bien que la méthode Mareva ou le Fonds de transformation de l’action publique (FTAP), imposent un examen des coûts et des bénéfices prévisionnels, ces outils se limitent souvent à des déclarations non expertisées et manquent de rigueur dans l’évaluation des retours sur investissement. Les projections initiales des gains de productivité sont souvent approximatives, et les bilans réalisés à l’achèvement des projets reposent sur des données déclaratives non vérifiées. Cette absence de contrôle approfondi empêche de garantir que les gains de productivité annoncés découlent directement des investissements numériques, ce qui limite la capacité à démontrer leur rentabilité réelle.
Pour répondre à ces problématiques, la Cour formule quatre recommandations principales :
- Procéder systématiquement à des études d’impact et de retour sur investissement pour tous les grands projets numériques de l’État, en intégrant un suivi des gains réalisés, tant en termes d’économies que de qualité de service.
- Renforcer la procédure d’avis conforme de la Direction interministérielle du numérique (Dinum), pour inclure les enjeux méthodologiques et de productivité dès la phase de cadrage des projets.
- Développer des indicateurs analytiques harmonisés, permettant de mesurer précisément les objectifs atteints et les moyens mobilisés.
- Prioriser dans les projets recourant à l’intelligence artificielle, ceux qui génèrent des gains de productivité documentés.
La Cour des comptes insiste sur la nécessité d’améliorer la gouvernance des projets numériques de l’État, en vue d’assurer une utilisation optimale des ressources publiques et de mieux quantifier les gains réalisés. La mise en place d’indicateurs analytiques harmonisés et d’outils de contrôle de gestion adaptés est jugée essentielle pour instaurer une culture de la performance et maximiser l’impact des investissements numériques sur la transformation et l’efficience de l’administration publique. (Rapport de la Cour des comptes, Mieux suivre et valoriser les gains de productivité de l’état issus du numérique, S2024-1570)
La révocation du décret présidentiel sur l’IA du gouvernement de Joe Biden par Donald Trump, quelles incidences ? : révocation du décret présidentiel sur l’IA du 11 janv. 2023
-
Le 20 janvier 2025, le président Trump a révoqué plusieurs décrets pris par son prédécesseur, dont l’Executive Order 14110 du 30 octobre 2023 relatif à la sécurité et à la confiance dans le développement et l’utilisation de l’intelligence artificielle (IA). Cette décision marque un retour à une absence de cadre juridique fédéral en matière de régulation de l’IA aux États-Unis.
Pour rappel, le décret signé le 30 octobre 2023 par le président Biden posait un cadre légal au développement et à l’usage de l’IA.
Il imposait aux développeurs et utilisateurs d’IA des obligations légales de transparence et de responsabilité, incluant des audits, des tests de sécurité (notamment via des mécanismes de red-teaming dans le contexte duquel des hackers éthiques mènent des cyberattaques simulées et non destructives aux fins de tester l’efficacité des mécanismes de cybersécurité), ainsi que des déclarations obligatoires pour les modèles d’IA jugés à « haut risque » (par exemple, ceux qui pourraient affecter la sécurité nationale, les infrastructures critiques ou les droits civiques).
Ce texte visait également à renforcer la protection des droits civiques en demandant aux agences fédérales de prévenir les biais algorithmiques dans les domaines sensibles tels que l’emploi, le logement et la justice, conformément à des cadres légaux comme le Fair Housing Act et le Civil Rights Act. En matière de vie privée, le décret imposait des mesures de protection renforcées, notamment par l’utilisation de technologies de confidentialité, et prévoyait une évaluation des risques avant la publication de données fédérales, afin de garantir la conformité avec les lois sur la protection des données personnelles.
Le décret comportait également des dispositions relatives à la régulation des services cloud (IaaS), imposant des obligations de surveillance destinées à prévenir l’utilisation malveillante de ces ressources (tel que les services cloud de Google, Microsoft ou encore Amazon), en particulier par des entités étrangères.
En outre, il encourageait une coopération internationale et une harmonisation juridique avec les partenaires étrangers pour établir une régulation globale des risques liés à l’IA, en conformité avec les principes de droits humains et de sécurité nationale.
La révocation de ce cadre pourrait entraîner une réévaluation de la compatibilité de la législation des États-Unis avec le RGPD et les règlements européens relatifs aux données et à leur gouvernance.
L’absence dorénavant d’encadrement spécifique à l’IA aux États-Unis, par contraste avec les efforts européens, pourrait engendrer des tensions juridiques et commerciales transatlantiques, en particulier en matière de conformité des échanges technologiques, tout en alimentant les inquiétudes européennes quant au respect du RGPD et à la protection des données sensibles et des secrets industriels.
Données
Transfert illégal des données personnelles vers la Chine : les entreprises chinoises sont dans le viseur de Noyb
-
Le 16 janvier 2025, l’ONG autrichienne Noyb (acronyme de « None of your business »), fondée par le militant Max Schrems, a déposé des plaintes auprès des autorités de protection des données de plusieurs États membres de l’Union européenne, visant des entreprises chinoises. Sont ainsi visées par des plaintes les sociétés TikTok et Xiaomi en Grèce, la société SHEIN en Italie, la société AliExpress en Belgique, la société WeChat aux Pays-Bas et la société Temu en Autriche.
Les plaintes de Noyb reposent sur des violations présumées des dispositions du chapitre V du RGPD, qui encadre les transferts de données vers des pays tiers. Les entreprises concernées sont accusées de transférer des données personnelles d’utilisateurs européens vers la Chine sans garanties juridiques suffisantes, en contradiction avec les articles 44 à 49 du RGPD. En particulier, l’absence de décision d’adéquation de la Commission européenne au profit de la Chine (article 45 du RGPD), signifie qu’aucune entreprise chinoise ne peut garantir un niveau de protection des données personnelles équivalent à celui de l’Union européenne.
Les entreprises chinoises concernées par les plaintes utilisent généralement des clauses contractuelles types pour encadrer les transferts de données personnelles, dans lesquelles le destinataire des données chinois s’engage à respecter les protections de l’UE. Cependant, il est reproché aux entreprises visées par les plaintes de ne pas procéder aux analyses d’impact nécessaires pour vérifier que ces clauses garantissent un niveau de protection équivalent au RGPD, sans entrer en conflit avec les lois nationales chinoises. Cette absence de garantie est donc susceptible de constituer un manquement aux exigences de l’article 46 du RGPD.
Un risque élevé d’accès aux données personnelles par les autorités chinoises est également à craindre, comme le confirment les rapports de transparence de la société Xiaomi. Ces rapports révèlent que les autorités chinoises demandent régulièrement un accès illimité aux données personnelles, et que Xiaomi se conforme systématiquement à ces demandes. De plus, les utilisateurs étrangers ont peu de recours pour exercer leurs droits en vertu de la législation chinoise sur la protection des données, car le pays manque d’une autorité indépendante en matière de protection des données et d’une application claire des lois.
Dans le cadre de ces plaintes, les plaignants ont invoqué l’article 15 du RGPD et ont déposé des demandes d’accès pour déterminer si leurs données avaient été transférées en Chine ou vers d’autres pays tiers, mais aucune des entreprises n’a fourni les informations requises. Face à ces manquements, Noyb demande aux autorités compétentes d’interrompre immédiatement les transferts de données vers la Chine, sur le fondement de l’article 58, paragraphe 2, point j) du RGPD, et d’ordonner des amendes administratives pouvant atteindre jusqu’à 4 % du chiffre d’affaires mondial, ce qui représente par exemple 147 millions d’euros pour AliExpress et 1,35 milliard d’euros pour Temu.
Cette affaire souligne la nécessité pour les entreprises opérant en Europe de respecter rigoureusement les dispositions du RGPD concernant les transferts de données. Elle met également en lumière l’insuffisance des garanties offertes dans des pays tiers comme la Chine. TikTok fait d’ailleurs déjà l’objet d’une enquête par l’autorité de protection des données personnelles irlandaise, portant notamment sur les transferts présumés de données d’utilisateurs vers la Chine, y compris des données de mineurs, ainsi que sur la gestion des données des enfants utilisant la plateforme.
Outre-Atlantique, la situation de TikTok est en suspens : la date d’application de la loi menaçant d’interdire TikTok aux États-Unis, que la Cour fédérale avait entérinée le 17 janvier dernier, a été ajournée par le Président Trump.
Contenus numériques
La résiliation d’un contrat d’hébergement pour cause de contenu illicite
-
Par un arrêt du 15 janvier 2025, la chambre commerciale de la Cour de cassation est venue confirmer qu’un contrat conclu avec un hébergeur peut inclure une obligation pour ce dernier de surveiller les informations qu’il stocke ou publie. En cas de méconnaissance de cette obligation, la résiliation du contrat est alors bien fondée.
Conformément à l’article 6, I, de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique, dans sa rédaction antérieure à celle issue de la loi n° n° 2014-873 du 4 août 2014, un hébergeur n’est pas responsable des contenus qu’il stocke à moins qu’il ait eu une connaissance effective de leur caractère illicite, et qu’il n’ait pas agi promptement pour les retirer ou rendre leur accès impossible.
En l’espèce, la société Dstorage, exploitant la plateforme de stockage de contenus en ligne « 1fichier.com », avait conclu un contrat avec la Société Générale en 2013 lui permettant de proposer à ses utilisateurs un service de paiement à distance sécurisé par carte bancaire. La Société Générale a résilié ce contrat en 2015, invoquant la présence de contenus illicites sur ladite plateforme, notamment des fichiers portant atteinte aux droits d’auteur de sociétés audiovisuelles. L’hébergeur n’ayant pas démontré avoir pris les mesures techniques nécessaires pour prévenir ces infractions, la résiliation a été jugée conforme par la Cour d’appel de Paris et confirmée par la Cour de cassation.
La Cour a jugé que l’article 6, I, de la LCEN ne fait pas obstacle à ce qu’un contrat prévoit une obligation de surveillance renforcée pour un hébergeur. En l’espèce, le contrat imposait à Dstorage de s’abstenir de toute activité illicite identifiée et de prévenir leur réapparition par des mesures techniques appropriées. L’absence de telles mesures a constitué un manquement, justifiant la résiliation par la Société Générale en application des clauses contractuelles.
Par cet arrêt, la Cour souligne que les hébergeurs doivent non seulement respecter les obligations légales, telles que celles prévues par la LCEN, mais aussi honorer les engagements contractuels susceptibles d’élargir leur responsabilité. (Com. 15 janv. 2025, n° 23-14.625, FS-B)
Procédure de référé en cas de diffamation en ligne
-
Le 10 janvier 2025, le Tribunal judiciaire de Paris, saisi en référé d’une demande de cessation de mise en ligne d’un article prétendument diffamatoire, a confirmé sa compétence, relevant que rien n’imposait en l’espèce que la voie de la procédure accélérée en fond soit suivie. Il a toutefois déclaré nulle l’assignation en raison d’un manque de précision quant aux propos incriminés.
Le 4 juillet 2024, un blogueur a publié sur son site « Zéro Bullshit » un article intitulé « Blast : 30M€ de cashout déguisé en levée de fonds », remettant en cause certaines pratiques de la société BLAST ainsi que ses dirigeants. Estimant que cet article contenait des propos diffamatoires, la société BLAST a assigné le blogueur en référé pour obtenir le retrait de l’article ainsi que d’un post Linkedin sur le fondement de la loi du 29 juillet 188. Le défendeur a, quant à lui, soulevé une exception d’incompétence et une demande de nullité de l’assignation.
En effet, le demandeur avançait que la demande de retrait de contenu introduite sur le fondement de l’article 835 du Code de procédure civile par la demanderesse relève exclusivement des dispositions de l’article 6-3 de la loi du 21 juin 2004 (LCEN) qui impose que cette demande soit traitée selon la voie de la procédure accélérée au fond, dès lors qu’elle a pour finalité de faire cesser un dommage occasionné par le contenu d’un service de communication au public en ligne. Pour écarter l’argument du défendeur, le tribunal a rappelé qu’il est constant que les dispositions de la loi du 29 juillet 1881 expressément invoquées par la société BLAST permettent la saisine du juge des référés et que la seule circonstance que le dommage résulte du contenu d’un service de communication en ligne n’impose pas de recourir à la procédure accélérée au fond prévue par l’article 6-3 de la LCEN.
S’agissant de l’exception de nullité, le tribunal a rappelé les exigences strictes applicables en matière de diffamation. En effet, en vertu de l’article 53 de la loi du 29 juillet 1881, la citation doit préciser et qualifier le fait incriminé ainsi qu’indiquer le texte de loi applicable à la poursuite. Cette exigence, qui relève de l’ordre public, vise à assurer le respect des droits de la défense. En l’espèce, l’assignation désignait alternativement l’article concerné par son titre ou par la formule « l’article litigieux » sans préciser les propos exacts que la société BLAST remet en cause. Le tribunal en a déduit qu’il existait donc une incertitude sur le périmètre des poursuites et que cette dernière a nécessairement généré un grief pour le défendeur, entraînant ainsi la nullité de l’assignation. (TJ Paris, 10 janv. 2025, n° 24/55226)
L’Arcep a publié le 21 janvier 2025 la feuille de route « Ambition 2030 pour l’Arcep »
-
Le 21 janvier 2025, l’Arcep a publié sa feuille de route « Ambition 2030 », précisant neuf objectifs stratégiques et trois modes d’action destinés à répondre aux enjeux contemporains du numérique.
L’Arcep, régulateur historique des secteurs des télécoms, postes et presse, ajuste sa stratégie face aux enjeux contemporains du numérique. À l’aube de nouvelles mutations technologiques et économiques, elle se voit confier de nouvelles missions (Loi n° 2024-449 du 21 mai 2024 visant à sécuriser et à réguler l’espace numérique (dite « loi SREN ») comme la régulation du marché du cloud, le soutien à l’innovation et l’intégration de critères environnementaux dans la gestion des infrastructures numériques.
À terme, l’objectif de l’Arcep à l’horizon 2030 est de doter la France d’infrastructures numériques durables, assurant un accès universel et pérenne à Internet fixe et mobile, au cloud, à l’intelligence artificielle et au partage des données. Pour atteindre ses neuf objectifs stratégiques, l’Arcep s’appuie sur trois modes d’action complémentaires à ses outils traditionnels :
1. Réguler par la donnée : La régulation par la donnée envisagée par l’Arcep repose sur deux principes fondamentaux, la mise à disposition des données collectées pour éclairer les utilisateurs dans leurs choix de services ainsi que l’organisation d’une remontée d’informations des utilisateurs pour détecter les dysfonctionnements du marché. Cette démarche cherche à améliorer l’efficacité de la régulation en adaptant les actions aux besoins des usagers.
2. Agir en réseaux, à tous les échelons : L’Arcep entend privilégier une coopération étroite avec d’autres régulateurs, institutions, experts et acteurs, tant au niveau national qu’international. À ce titre, elle poursuivra ses engagements dans des instances telles que le BEREC, la Commission européenne, l’OCDE et l’IUT, contribuant activement à l’élaboration de régulations européennes et internationales.
3. Mettre les travaux de l’Arcep au service du débat public : en raison de son rôle central dans la collecte et l’analyse de données économiques, l’Arcep aspire à participer aux débats publics sur des enjeux émergents, tels que l’impact environnemental du numérique et les nouvelles technologies. Elle s’engage à produire et diffuser des informations utiles pour sensibiliser les citoyens et orienter les décideurs.
