Panorama rapide de l’actualité « Technologies de l’information » de la semaine du 3 février 2025

Intelligence artificielle

Premières actions collectives pour violation du règlement IA et du RGPD contre TikTok et X

• La fondation néerlandaise pour la recherche et l’information sur le marché (SOMI) a engagé quatre recours collectifs en Allemagne contre TikTok et X (anciennement Twitter), invoquant des violations du RGPD, du DSA et du Règlement sur l’intelligence artificielle (AI Act). Ces actions reposent sur des manquements graves relatifs à la protection des données des utilisateurs des plateformes visées, notamment en ce qui concerne leur utilisation dans les algorithmes de recommandation, en particulier à l’égard des mineurs. SOMI sollicite des mesures correctives immédiates ainsi qu’une indemnisation des utilisateurs concernés, sur le fondement des dispositions du droit européen en matière de protection des données.
  Est particulièrement visée pour TikTok son exploitation des « mécanismes addictifs » (« Addictive Designs »), utilisés pour capter l’attention des mineurs et manipuler leur comportement à travers un profilage algorithmique jugé abusif. La plateforme est également accusée de surveiller illégalement les utilisateurs par le biais de son navigateur intégré, sans consentement explicite, en violation des articles 12 à 14 du RGPD, relatifs aux obligations de transparence et d’information des personnes concernées. En outre, TikTok est mis en cause pour le recours à des algorithmes trompeurs, interdits par l’article 5 du Règlement IA, en vigueur depuis le 2 février dernier, qui proscrit les systèmes exploitant la vulnérabilité des utilisateurs. X est, de son côté, accusé d’avoir omis de signaler plusieurs violations massives de données personnelles et d’avoir poursuivi le traitement illégal d’informations sensibles dans ses systèmes de recommandation.
  Par ailleurs, les deux plateformes sont mises en cause pour leur absence de transparence dans la gestion des contenus sponsorisés et de la diffusion de désinformation, ce qui constitue une violation des obligations renforcées de modération prévues par le DSA.
  Ces recours collectifs ont pour objet l’interdiction du profilage abusif des utilisateurs mineurs, la suppression des traitements de données non conformes, la mise en place de mesures correctives contre la désinformation, ainsi que l’octroi d’une compensation financière des utilisateurs concernés. Si ces actions aboutissent, elles établiront un précédent juridique important, en consolidant l’application des réglementations européennes sur la protection des données et la régulation des systèmes d’intelligence artificielle.

Pratiques interdites en matière d’IA : les lignes directrices de la Commission européenne publiées le 4 février 2025

• Le 4 février 2025, la Commission européenne a publié des lignes directrices sur les pratiques en matière d’intelligence artificielle (IA) considérées comme inacceptables en raison de leurs risques pour les valeurs fondamentales de l’Union européenne et les droits de l’homme. Ces dernières ne seront toutefois officiellement adoptées qu’une fois, toutes les traductions disponibles.
  Ces lignes directrices s’inscrivent dans le cadre au Règlement (UE) 2024/1689 relatif à l’intelligence artificielle (« IA Act »), en vigueur depuis le 1er août 2024. Ce règlement a adopté une approche fondée sur les risques, classés en différentes catégories, et interdit certaines pratiques jugées inacceptables pour les droits fondamentaux et les valeurs de l’Union européenne. Conformément à ce dernier, la Commission a alors adopté des lignes directrices pour garantir une interprétation claire et une application uniforme des interdictions.
  Les lignes directrices de la Commission clarifient en premier lieu l’application des interdictions prévues à l’article 5 de l’IA Act. Elles y définissent précisément les pratiques prohibées, comme les concepts de manipulation et de tromperie (article 5(1)(a)) en précisant que seules les techniques subliminales, intentionnellement manipulatrices ou trompeuses, qui modifient de manière significative le comportement des individus et entraînent un préjudice avéré ou probable, sont interdites. Concernant l’interdiction des IA basées sur l’exploitation des vulnérabilités (article 5(1)(b)), elles précisent que l’interdiction s’applique aux IA qui visent spécifiquement les individus en raison de leur âge, de leur handicap ou de leur situation socio-économique, et non de manière générale. De plus, elles précisent et détaillent les conditions cumulatives permettant d’interdire la pratique du social scoring (article 5(1)(c)), qui consiste à attribuer une note à un individu en fonction de son comportement, par l’IA.
  Les lignes directrices précisent également les exceptions et les limites des interdictions. Par exemple, la reconnaissance des émotions est interdite dans les environnements de travail et d’éducation, sauf pour des raisons médicales ou de sécurité, telles que la détection de signes de détresse. L’identification biométrique à distance en temps réel est également interdite dans les espaces publics pour le maintien de l’ordre, sauf dans trois cas spécifiques : la recherche de victimes d’infractions graves, la prévention de menaces imminentes et l’identification ciblée de suspects de crimes graves.
  Les lignes directrices rappellent par ailleurs que les fournisseurs d’IA ne peuvent pas mettre sur le marché des systèmes dont l’usage interdit est raisonnablement prévisible. Ils doivent intégrer des mécanismes de protection et interdire contractuellement les usages prohibés. Les déployeurs, quant à eux, sont responsables de l’utilisation des systèmes et ne doivent pas contourner les dispositifs de sécurité mis en place par les fournisseurs du système.
  Enfin, les lignes directrices détaillent les mécanismes de contrôle et de sanctions. Elles confirment que les autorités nationales de surveillance, en collaboration avec la Commission, assureront une application harmonisée des interdictions et pourront intervenir en cas de divergence d’interprétation. Les violations des interdictions prévues à l’article 5 sont considérées comme les plus graves, pour lesquelles des sanctions peuvent atteindre jusqu’à 35 millions d’euros ou 7 % du chiffre d’affaires mondial. Les lignes directrices rappellent également que ces interdictions ne peuvent être contournées par des exclusions abusives, telles que celles pour des activités de recherche et développement ou d’usage personnel. Ces clarifications visent à renforcer l’efficacité du cadre réglementaire de l’IA au sein de l’Union européenne.

Résistance des sociétés américaines au cadre juridique européen sur l’IA : communiqué des lobbys de la Tech américaine à Bruxelles à propos du projet de directive sur la responsabilité de l’IA (AI Liability Directive)

• Le 29 janvier 2025, une coalition industrielle composée d’associations représentant des entreprises de toutes tailles développant et utilisant des technologies d’intelligence artificielle (IA) dans différents secteurs, telles que Google, Amazon et META, a demandé le retrait de la proposition de directive sur la responsabilité en matière d’intelligence artificielle (AILD). Selon ces acteurs économiques, cette proposition entraînerait une complexité juridique excessive dans un cadre déjà dense en matière de régulation.
  La proposition de directive AILD, présentée le 28 septembre 2022 par le Parlement et le Conseil européen, vise à établir un régime spécifique de responsabilité pour les dommages causés par des systèmes d’IA. Elle introduit deux garanties principales : une présomption de causalité, qui allège la charge de la preuve pour les victimes en cas de non-respect d’une obligation pertinente, et un accès facilité aux preuves, permettant aux victimes d’obtenir des informations sur les systèmes d’IA à haut risque, tout en protégeant les secrets commerciaux.
  Selon les signataires de la demande, la directive n’apporterait aucune valeur ajoutée par rapport aux législations existantes en matière de responsabilité et de protection des consommateurs. Son adoption pourrait augmenter l’incertitude juridique et freiner l’innovation, en alourdissant la charge réglementaire et les coûts pour les entreprises, ce qui nuirait à la compétitivité de l’Union européenne dans le secteur de l’IA. La demande de retrait de cette directive s’inscrit dans un objectif de simplification du droit et de rationalisation de la régulation. La coalition se fonde entre autres sur les objectifs de compétitivité de l’UE, notamment dans les technologies et de l’innovation, et le retard par rapport aux États-Unis et à la Chine qu’a mis en valeur le Rapport Draghi du 9 septembre 2024.
  De plus, du point de vue de la coalition, la directive AILD apparaît redondante au regard du cadre législatif déjà existant, constitué de réglementations majeures telles que le Règlement sur l’IA, le RGPD, la loi sur les services numériques et la loi sur la résilience cybernétique, ou encore la directive sur la responsabilité des produits (PLD) récemment adoptée le 8 décembre 2024, en plus de réglementations sectorielles. Ainsi, l’introduction d’une nouvelle directive sur la responsabilité en matière d’IA risquerait de créer des contradictions normatives et d’alourdir inutilement les obligations pesant sur les entreprises concernées.
  Enfin, les signataires soulignent que la directive AILD pourrait perturber les pratiques contractuelles établies en matière de répartition des responsabilités au sein des chaînes d’approvisionnement complexes. Dans un cadre inter-entreprises, les acteurs économiques nécessitent une certaine flexibilité pour adapter leurs engagements contractuels aux spécificités de leurs relations commerciales et aux risques propres à l’utilisation des systèmes d’IA. Selon leur analyse, l’introduction de règles rigides en matière de responsabilité limiterait cette liberté contractuelle, ce qui pourrait restreindre l’innovation et l’efficacité économique.

Premier rapport international sur la sécurité de l’IA

• Le 29 janvier 2025, le premier rapport international sur la sécurité de l’Intelligence artificielle a été publié à l’initiative d’un panel de 96 experts indépendants nommés par 30 pays, en collaboration avec des organisations internationales telles que l’OCDE, l’Union européenne et les Nations unies. Ce rapport, qui fait suite à la publication d’un rapport intermédiaire en mai 2024, propose une évaluation scientifique des risques liés aux systèmes d’intelligence artificielle généralistes. Bien qu’il ne préconise aucune politique spécifique, il vise à fournir une base scientifique aux décideurs publics afin de mieux encadrer ces technologies émergentes et d’anticiper leur encadrement.
  Le rapport se concentre sur l’intelligence artificielle généraliste (General-Purpose AI, GPAI), une catégorie de systèmes d’IA dont le développement rapide soulève des problématiques spécifiques en matière de sécurité. Ces modèles, capables d’effectuer une large variété de tâches, posent en effet des défis significatifs en raison de leur potentiel d’autonomie accru et de leur capacité d’adaptation.
  Parmi les risques identifiés, figurent les escroqueries facilitées par l’IA, les biais discriminatoires dans les résultats des modèles et les atteintes à la vie privée. De nouveaux risques émergents ont également été mis en évidence, notamment les perturbations à grande échelle du marché du travail, les cyberattaques facilitées par l’IA, les menaces biologiques et la perte potentielle de contrôle sur ces systèmes avancés. Le rapport souligne l’absence de consensus scientifique sur l’imminence de ces risques : certains experts estiment que des dommages sociétaux majeurs pourraient survenir dans les prochaines années, tandis que d’autres jugent ces hypothèses plus éloignées.
  Le rapport met également en lumière les défis de la régulation dans un contexte d’évolution rapide des capacités des systèmes d’IA. Un enjeu majeur réside dans l’incertitude liée à l’accélération des avancées technologiques. Les auteurs recommandent notamment la mise en place de systèmes d’alerte précoce, ainsi que l’obligation pour les développeurs de prouver la sécurité des modèles avant leur mise sur le marché. Ces approches visent à résoudre le dilemme auquel sont confrontés les décideurs publics : adopter des mesures préventives sur la base de preuves limitées, au risque qu’elles soient inefficaces ou inadaptées, ou attendre des preuves scientifiques plus solides, avec le danger de laisser la société sans protection en cas de progrès technologiques soudains et imprévus.
  Enfin, le rapport insiste sur la nécessité d’une coopération internationale pour harmoniser les cadres réglementaires et renforcer la coordination des politiques publiques en matière de sécurité de l’IA. Dans cette perspective, ce rapport pourrait servir de référence scientifique et technique pour l’élaboration de futures réglementations.

L’Institut national pour l’évaluation et la sécurité de l’IA (Inesia) a été officialisé par le gouvernement le 31 janvier

• La veille du Sommet pour l’action sur l’IA, soit le 31 janvier 2025, le gouvernement français a officialisé la création de l’Institut national pour l’évaluation et la sécurité de l’intelligence artificielle (Inesia). Cet institut s’inscrit dans une démarche de coopération internationale et résulte de l’adhésion de la France au Réseau international des instituts de sécurité de l’IA, dont l’objectif est d’évaluer et d’encadrer les risques associés aux systèmes d’intelligence artificielle avancés.
  L’Inesia a pour mission de fédérer plusieurs acteurs nationaux impliqués dans la régulation et l’évaluation de l’IA. Placé sous la supervision du Secrétariat général de la défense et de la sécurité nationale (SGDSN) et de la Direction générale des entreprises (DGE), l’institut mobilise notamment l’Agence nationale de la sécurité des systèmes d’information (ANSSI) pour les aspects liés à la cybersécurité des IA et l’Institut national de recherche en sciences et technologies du numérique (Inria) pour la recherche scientifique et l’évaluation technique des modèles d’IA. L’Inesia est chargée de soutenir la mise en œuvre du cadre réglementaire applicable aux IA avancées. Il veille également à l’évaluation de la performance et de la fiabilité des modèles d’IA.
  La création de l’Inesia matérialise le respect des priorités fixées par la Déclaration de Séoul du 21 mai 2024 et s’inscrit dans le cadre de l’adhésion de la France au Réseau international des instituts de sécurité de l’IA dont la première réunion s’est tenue à San Francisco les 20 et 21 novembre 2024.
  Ce réseau regroupe plusieurs institutions et agences mandatées par les gouvernements de l’Australie, du Canada, des États-Unis, du Japon, du Kenya, de Singapour, du Royaume-Uni et de l’Union européenne. Il a pour objectif de favoriser la coopération scientifique et technique en matière de sécurité des systèmes d’IA et d’harmoniser les approches de régulation. Cette initiative vise à renforcer la collaboration avec la communauté scientifique pour faire progresser la recherche sur les risques et les capacités des systèmes d’IA avancés, et partager des référentiels communs en matière de tests et de validation des modèles.

Données

La CNIL sanctionne la surveillance excessive des salariés

• Le 19 décembre 2024, la CNIL a prononcé une sanction pécuniaire de 40 000 € à l’encontre d’une société du secteur immobilier qui avait mis en œuvre un dispositif de surveillance excessive de ses salariés. Plus précisément, cette dernière utilisait un système de vidéosurveillance en continu et un logiciel de suivi de l’activité des employés, entraînant une collecte massive de données personnelles. La formation restreinte de la CNIL a retenu plusieurs manquements au RGPD.
  Le premier manquement concerne l’installation de caméras captant en permanence l’image et le son des salariés, y compris dans les espaces de pause, accessibles en temps réel par les encadrants via une application mobile. La captation continue sans justification légitime constitue une violation du principe de minimisation des données prévu à l’article 5.1.c du RGPD et n’était fondée sur aucune base légale au regard de l’article 6 du RGPD relative à la licéité du traitement. La CNIL a rappelé que toute surveillance en milieu professionnel doit être strictement nécessaire aux finalités poursuivies et ne pas entraîner une surveillance constante des salariés.
  Le second manquement est relatif à l’installation d’un logiciel de suivi de l’activité, enregistrant en temps réel les sites consultés et les périodes d’inactivité sur la base de l’absence de mouvements de clavier et de souris. Le CNIL a jugé ces pratiques disproportionnées, estimant qu’elles permettaient une surveillance intrusive et continue sans garantir une évaluation fiable du temps de travail effectif. Ainsi, et comme le relevait la rapporteure, « ces traitements sont mis en œuvre de manière disproportionnée eu égard aux finalités poursuivies, de sorte qu’ils ne pouvaient reposer sur la base légale de l’intérêt légitime, en méconnaissance des dispositions de l’article 6 du RGPD ».
  L’entreprise a également été sanctionnée pour défaut d’information des salariés, en méconnaissance des articles 12 et 13 du RGPD. La CNIL a constaté que les documents internes et contrats de travail ne précisaient pas de manière détaillée la nature des traitements mis en œuvre par ces dispositifs. L’information orale avancée par l’employeur ne remplissait pas les exigences de transparence et d’accessibilité.
  Par ailleurs, la société a été reconnue coupable de manquements à l’obligation de sécurité des données, en violation de l’article 32 du RGPD. La CNIL a relevé que les identifiants et mots de passe permettant d’accéder aux données des salariés étaient partagés entre plusieurs responsables sans mesures de protection adéquates, exposant ainsi les informations collectées à des risques d’accès non autorisé. De plus, l’absence d’analyse d’impact relative à la protection des données (AIPD), exigée par l’article 35 du RGPD, a été relevée, alors que le traitement mis en œuvre présentait un risque élevé pour les droits et libertés des salariés.
  Au vu des capacités financières de la société concernée et de ses manquements à des principes clés du RGPD, la CNIL a prononcé une sanction pécuniaire de 40 000 € à l’encontre de cette dernière et a décidé de rendre publique sa délibération en raison de la gravité des atteintes aux droits des salariés en cause. (CNIL Délib. SAN-2024-021 du 19 déc. 2024)

Commerce électronique

Commerce électronique et RGPD : l’avocat général Szpunar clarifie les responsabilités de l’exploitant d’une place de marché en ligne

• Le 6 février 2025, l’avocat général à la Cour de justice de l’Union européenne (CJUE), M. Maciej Szpunar, a présenté ses conclusions dans l’affaire Russmedia Digital et Inform Media Press, à la suite des quatre questions préjudicielles posées par la Cour d’appel de Cluj (Roumanie). Cette affaire offre l’opportunité de clarifier le régime de responsabilité des exploitants de places de marché en ligne.
  Dans le cadre de ce litige, une personne physique a intenté une action en justice contre Russmedia Digital SRL, exploitant d’une plateforme de petites annonces en ligne, et contre Inform Media Press SRL. Le différend porte sur la publication d’une annonce contenant des informations sur des services sexuels, diffusée sans le consentement de la requérante. Cette annonce comportait également des données personnelles, à savoir son image et son numéro de téléphone. Bien que l’annonce ait été supprimée du site de Russmedia, elle a été reproduite sur d’autres plateformes, aggravant ainsi le préjudice subi. La Cour d’appel de Cluj, saisie du litige, a décidé de poser plusieurs questions préjudicielles à la CJUE, portant sur la responsabilité des hébergeurs de services en ligne en vertu de la directive 2000/31/CE (relative au commerce électronique) et du règlement 2016/679 (RGPD). Les quatre questions préjudicielles soumises par la juridiction de renvoi portent sur plusieurs aspects.
  La première question concerne la possibilité pour un exploitant d’une place de marché en ligne de bénéficier de l’exonération de responsabilité prévue à l’article 14, paragraphe 1, de la directive 2000/31/CE, compte tenu de certaines clauses de ses conditions générales d’utilisation qui lui confèrent des droits étendus sur les contenus publiés.
  L’enjeu de cette première question était de déterminer si Russmedia peut être considérée comme un simple « prestataire intermédiaire » bénéficiant de l’exonération de responsabilité. En principe, un hébergeur neutre est exonéré de toute responsabilité concernant les contenus publiés par les utilisateurs. Toutefois, cette exonération ne s’applique pas si le prestataire joue un rôle actif dans la gestion des annonces. La qualification de Russmedia doit donc être appréciée à la lumière de ses actions concrètes et non sur la base des seuls termes et conditions d’utilisation de la plateforme. L’avocat général estime néanmoins que l’absence de réaction face à une annonce manifestement illicite et préjudiciable ne suffit pas à exonérer l’hébergeur de sa responsabilité.
  Les trois questions suivantes sont relatives au RGPD, et en particulier aux obligations des prestataires de services de l’information de type hébergement : la plateforme était-elle tenue de vérifier l’identité des annonceurs (question 2) ? Devait-elle examiner le contenu des annonces avant leur publication (question 3) ? Était-elle obligée de mettre en place des mesures de sécurité pour prévenir la copie et la redistribution de ces annonces contenant des données personnelles (question 4) ?
  Dans son analyse de ces questions, l’avocat général examine les obligations spécifiques de Russmedia au regard du RGPD. Il considère que Russmedia, en ce qui concerne les données personnelles contenues dans les annonces publiées sur sa place de marché en ligne, joue le rôle de sous-traitant et non de responsable du traitement des données. Par conséquent, il ne lui incombe pas de vérifier le contenu des annonces ou de mettre en place des mesures pour limiter leur copie et leur redistribution, mais elle doit garantir la sécurité du traitement des données vis-à-vis des tiers. En revanche, Russmedia est responsable du traitement des données personnelles des utilisateurs annonceurs et doit vérifier leur identité à cet égard. L’avocat général souligne également que, bien qu’un sous-traitant puisse voir sa responsabilité engagée en cas de violation du RGPD, il peut toujours bénéficier de l’exonération de responsabilité prévue à l’article 14, paragraphe 1, de la directive 2000/31/CE, à condition de maintenir sa qualité d’hébergeur neutre. (Concl. de l’avocat général du 6 févr. 2025 dans l’affaire C-492/23, Russmedia Digital et Inform Media Press)

La commission propose « une boîte à outils pour un commerce électronique sûr et durable »

• Le 5 février 2025, la Commission européenne a publié une « boîte à outils complète de l’Union européenne pour un commerce électronique sûr et durable » afin de faire face aux risques que représentent les importations de faible valeur effectuées par des détaillants en ligne de pays et de places de marché hébergeant des commerçants en dehors de l’Union européenne.
  L’essor du commerce électronique dans l’Union européenne a profondément modifié les échanges commerciaux, facilitant l’accès des consommateurs à une diversité de biens tout en posant des défis majeurs en matière de conformité réglementaire. La récente communication de la Commission européenne met en exergue les risques accrus liés aux importations directes vers les consommateurs, notamment la prolifération de produits non conformes aux normes de sécurité et de protection de l’environnement. Ce phénomène affecte non seulement la santé et la sécurité des consommateurs, mais porte également atteinte à la compétitivité des entreprises européennes soumises à des obligations strictes.
  Face à cette situation, la Commission propose une approche complète, combinant des réformes structurelles et un renforcement des contrôles. La réforme de l’union douanière est au cœur de cette stratégie. La Commission propose par exemple la suppression des exonérations de droits de douane pour les envois de faible valeur ou encore la mise en place d’un guichet unique numérique pour la collecte de données douanières. Par ailleurs, la Commission invite le législateur européen à réfléchir à une taxe non discriminatoire pour le traitement des articles de commerce électronique importés dans l’UE et livrés directement aux consommateurs, afin de financer les contrôles renforcés.
  Les obligations des places de marché en ligne sont également renforcées par le Digital Services Act (DSA), qui impose aux plateformes des responsabilités accrues en matière de surveillance des vendeurs et de retrait des produits illicites. La Commission européenne a ouvert plusieurs enquêtes à l’encontre de marketplaces majeures, telles que SHEIN, Temu et AliExpress, pour s’assurer du respect des règles de transparence et de lutte contre la contrefaçon. Un contrôle coordonné avec les autorités nationales est prévu afin d’harmoniser les mesures de surveillance et de sanction.
  Enfin, la Commission insiste sur l’intégration des exigences environnementales dans la régulation du commerce électronique, notamment à travers le règlement (UE) 2024/1781 établissant un cadre pour l’éco-conception des produits durables et la directive-cadre révisée sur les déchets. Ces textes introduisent des obligations renforcées en matière d’information sur l’impact environnemental des produits, de gestion des déchets et de responsabilité élargie du producteur. La mise en œuvre effective de ces obligations repose sur une coopération étroite entre les autorités douanières, les autorités de surveillance du marché et les institutions européennes, afin de garantir un niveau élevé de protection des consommateurs et une concurrence équitable sur le marché intérieur.
  Pour les prochaines étapes, la Commission appelle les États membres, le législateur européen et les parties prenantes à collaborer pour mettre en œuvre les mesures proposées. Dans un an, elle évaluera l’impact des actions engagées et publiera un rapport. En fonction des résultats et après consultation des autorités nationales et des parties concernées, elle vérifiera l’adéquation des cadres existants et des dispositifs de contrôle. Si nécessaire, elle proposera des mesures supplémentaires pour améliorer l’application des règles de l’UE.