- Administratif
- Toute la matière
- > Acte
- > Collectivité territoriale
- > Compétence
- > Contrat et marché
- > Droit économique
- > Droit fondamental et liberté publique
- > Election
- > Environnement
- > Fonction publique
- > Institution administrative
- > Police
- > Pouvoir public
- > Procédure contentieuse
- > Responsabilité
- > Service public
- > Urbanisme
- Affaires
- Civil
- Européen
- Immobilier
- Toute la matière
- > Bail
- > Construction
- > Copropriété et ensembles immobiliers
- > Crédit immobilier
- > Droit rural
- > Environnement
- > Expertise
- > Expropriation
- > Fiscalité immobilière
- > Marchés de travaux
- > Procédure civile et voies d'exécution
- > Professions
- > Propriété
- > Sûreté et publicité foncière
- > Urbanisme
- > Vente
- IP/IT et Communication
- Toute la matière
- > Audiovisuel
- > Commerce électronique
- > Communications électroniques
- > Contrat – Responsabilité
- > Cyberdélinquance
- > Droit de la presse
- > Infrastructures et réseaux
- > Intelligence artificielle
- > Droits fondamentaux
- > Propriété industrielle
- > Propriété littéraire et artistique
- > Protection des données
- > Statut professionnel
- Pénal
- Toute la matière
- > Atteinte à l'autorité de l'état
- > Atteinte à la personne
- > Atteinte aux biens
- > Circulation et transport
- > Criminalité organisée et terrorisme
- > Droit pénal des affaires
- > Droit pénal général
- > Droit pénal international
- > Droit social
- > Enquête
- > Environnement et urbanisme
- > Etranger
- > Informatique
- > Instruction
- > Jugement
- > Mineur
- > Peine et exécution des peines
- > Presse et communication
- > Santé publique
- Social
- Toute la matière
- > Accident, maladie et maternité
- > Contrat de travail
- > Contrôle et contentieux
- > Droit de la sécurité sociale
- > Grève
- > Hygiène - Sécurité - Conditions de travail
- > IRP et syndicat professionnel
- > Négociation collective
- > Protection sociale
- > Rémunération
- > Rupture du contrat de travail
- > Santé publique
- > Statuts particuliers
- > Temps de travail
- Avocat
Article

Panorama rapide de l’actualité « Technologies de l’information » de la semaine du 6 janvier 2025
Panorama rapide de l’actualité « Technologies de l’information » de la semaine du 6 janvier 2025
Sélection rapide de l’actualité « Technologies de l’information » de la semaine du 6 janvier.
Données personnelles et intelligence artificielle
L’entraînement des modèles d’IA avec les données personnelles possible sur la base de l’intérêt légitime selon Comité européen de la protection des données
- Le 17 décembre 2024, le Comité européen de la protection des données (CEPD) a adopté un avis traitant de certains aspects de la protection des données liés au traitement des données à caractère personnel dans le contexte des modèles d’IA, en réponse à une demande formulée par la Commission irlandaise de protection des données comme le permet l’article 64, paragraphe 2, du RGPD.
Plus précisément, la Commission irlandaise de protection des données avait interrogé le CEPD sur les points suivants :
- (1) quand et comment un modèle d’IA peut-il être considéré comme « anonyme » ? ;
- (2) comment les responsables du traitement peuvent-ils démontrer le bien-fondé de l’intérêt légitime en tant que base juridique dans les phases de développement ? et (3) de déploiement des modèles d’IA ? ;
- (4) quelles sont les conséquences du traitement illicite de données à caractère personnel au cours de la phase de développement d’un modèle d’IA sur le traitement ou l’exploitation ultérieurs du modèle d’IA ?
S’agissant de la première question, le CEPD estime que les modèles d’IA entraînés à partir de données personnelles ne peuvent, par principe, être considérés comme « anonymes ». Les autorités de contrôle doivent ainsi examiner au cas par cas les preuves fournies par les responsables du traitement concernés relatives aux différentes mesures prises pour limiter la collecte, l’identifiabilité et l’extraction des données lors du développement du modèle d’IA.
Concernant les deuxième et troisième questions, l’avis rendu par le CEPD fournit des considérations générales que les autorités de contrôle doivent prendre en compte lorsqu’elles évaluent si les responsables du traitement peuvent invoquer l’intérêt légitime comme base juridique appropriée pour le traitement effectué dans le cadre du développement et du déploiement de modèles d’IA. L’avis rappelle notamment l’importance du test en trois étapes, incluant l’identification de l’intérêt légitime poursuivi, l’analyse de la nécessité du traitement et l’absence de violation des droits et intérêts des personnes dont les données sont traitées.
Enfin, concernant la quatrième question, l’avis rappelle que les autorités de contrôle disposent d’un pouvoir discrétionnaire pour évaluer les infractions potentielles et choisir les mesures adaptées, en tenant compte des circonstances propres à chaque situation. (EDPB, Opinion 28/2024 on certain data protection aspects related to the processing of personal data in the context of AI models, 17 dec. 2024)
L’identité de genre du client n’est pas une donnée nécessaire pour l’achat d’un titre de transport ferroviaire
-
Le 9 janvier 2025, la Cour de Justice de l’Union européenne, saisie d’une question préjudicielle par le Conseil d’État, a jugé que la collecte systématique de l’identité de genre des clients par la société SNCF Connect lors de l’achat de titre de transport ferroviaire n’est pas conforme aux dispositions du RGPD.
Le litige a débuté par la contestation auprès de la CNIL par l’association Mousse de la pratique de la société SNCF Connect revenant à imposer à ses clients de renseigner leur civilité lors de l’achat de billets. En 2021, la CNIL a rejeté cette réclamation, estimant que la pratique n’enfreignait pas le RGPD. L’association Mousse a alors saisi le Conseil d’État qui a lui-même saisi la CJUE de la question de savoir si la collecte de données de civilité des clients, limitée aux mentions
« Monsieur » et « Madame », peut se voir qualifiée de licite et conforme, notamment au principe de minimisation des données, lorsque cette collecte vise à permettre une communication commerciale personnalisée à l’égard de ces clients.
Dans sa décision, la CJUE commence par rappeler que l’article 5 du RGPD prévoit que les données à caractère personnel doivent être « traitées de manière licite, loyale et transparente au regard de la personne concernée (licéité, loyauté, transparence) » et être « adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées », consacrant ainsi le principe de minimisation des données. S’agissant des cas dans lesquels un traitement de données à caractère personnel peut être considéré comme licite, l’article 6, du RGPD prévoit une liste limitative d’hypothèses dont celles d’un traitement de données à caractère personnel « nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures précontractuelles prises à la demande de celle-ci » ou « aux fins des intérêts légitimes poursuivis par le responsable du traitement ».
Or, en l’espèce, la Cour considère que le traitement de données à caractère personnel relatives à la civilité des clients d’une entreprise de transport, ayant pour finalité une personnalisation de la communication commerciale fondée sur leur identité de genre, ne paraît ni objectivement indispensable ni essentiel afin de permettre l’exécution correcte d’un contrat et ne peut donc pas être considéré comme étant nécessaire à l’exécution de ce contrat.
Elle indique ensuite que ce traitement de données à caractère personnel ne peut pas plus être considéré comme étant nécessaire aux fins des intérêts légitimes poursuivis par le responsable de ce traitement, puisque :
- l’intérêt légitime poursuivi n’a pas été indiqué aux clients lors de la collecte des données ;
- le traitement n’a pas été effectué dans les limites du strict nécessaire pour la réalisation de l’intérêt légitime ;
- les libertés et droits fondamentaux des clients sont susceptibles de prévaloir sur l’intérêt légitime, notamment en raison d’un risque de discrimination fondée sur l’identité de genre. (CJUE 9 janv. 2025, C-394/23, Mousse)
La Commission européenne coupable d’un transfert illégal de données personnelles vers les États-Unis en 2022
-
Le 8 janvier 2025, le Tribunal de l’Union européenne a condamné la Commission européenne à verser 400 euros de dommages et intérêts à un citoyen allemand en raison du transfert non autorisé de ses données personnelles vers les États-Unis, caractérisant une violation du règlement 2018/1725. Par cette décision, le Tribunal de l’Union européenne se prononce pour la première fois sur l’application du règlement précité à la lumière de la jurisprudence « Schrems II »
Le transfert litigieux a eu lieu par le biais du site Internet de la Conférence sur l’avenir de l’Europe, dont la Commission européenne est responsable de traitement. Le citoyen allemand, pour s’inscrire à l’événement « GoGreen », a utilisé le service d’authentification de la Commission EU Login, en cliquant sur le lien hypertexte « se connecter avec Facebook », ce qui a permis la transmission de ses données personnelles, et notamment son adresse IP, vers les États-Unis à la société Meta Platforms Inc., sans garanties appropriées.
L’ensemble des demandes du requérant n’ont pas été accueillies. En premier lieu, le grief portant sur le retard de la Commission pour répondre à une demande d’information sur les transferts de données a été rejeté. Le Tribunal a estimé que le retard, bien qu’illégal, n’a pas causé de préjudice moral au requérant, celui-ci ayant reçu une réponse partielle dans un délai raisonnable.
Dans son recours, le citoyen allemand a également demandé réparation pour des transferts de données vers les États-Unis opérés via Amazon CloudFront. Cependant, ces demandes ont été rejetées par le Tribunal, qui a jugé que ces données étaient restées en Europe, conformément au contrat conclu entre la Commission et Amazon Web Services. En outre, le tribunal a relevé que le comportement du requérant, qui avait modifié sa localisation apparente, était à l’origine de certains des transferts allégués.
En revanche, le Tribunal a accueilli la demande du requérant portant sur le transfert illicite vers les États-Unis de ses données personnelles à Meta Platforms Inc. lors de l’utilisation de l’hyperlien « se connecter avec Facebook » sur le site de la Commission EU Login. Or, selon le tribunal, au moment du transfert, le 30 mars 2022, aucun cadre légal ou garantie adéquate ne permettait de justifier le transfert de données personnelles vers les États-Unis. La Commission n’a donc pas respecté les conditions prévues par le droit de l’Union, en particulier le règlement 2018/1725, pour ce type de transfert. Ainsi, le transfert des données du citoyen allemand vers les États-Unis lui a causé un préjudice moral réel et certain, indemnisé à hauteur de 400 euros. (TUE, 8 janv. 2025, T-354/22, Bindl/Commission)
Netflix sanctionné pour manquement à l’obligation d’information par l’autorité de contrôle néerlandaise
-
Le 18 décembre 2024, la société Netflix a été condamnée à une amende de 4,75 millions d’euros par l’autorité de protection des données néerlandaise sur le fondement du RGPD, notamment pour manquement à l’obligation d’information relative au traitement des données personnelles de ses clients entre 2018 et 2020.
L’enquête à l’égard de Netflix a débuté en 2019, après le dépôt de plaintes par une ONG autrichienne spécialisée dans la défense de la vie privée. Les plaintes ont été transférées à l’autorité néerlandaise, dans la mesure où le siège social principal de Netflix en Europe est situé aux Pays-Bas.
L’enquête de l’autorité néerlandaise a révélé que la société Netflix collectait une large gamme de données, comme les adresses mail, numéros de téléphone, informations de paiement et habitudes de visionnage. Cependant, les explications de la société sur l’utilisation des données collectées, leur finalité, la base légale des traitements, les tiers avec lesquels les données sont partagées, la durée de conservation et les garanties appliquées lors des transferts hors de l’Union européenne étaient insuffisantes.
Par ailleurs, les utilisateurs ne recevaient pas de réponse claire à leurs demandes d’information, notamment s’agissant de l’utilisation et du partage des données collectées. La société a donc été condamnée à une amende de 4,75 millions d’euros.
La société Netflix a, depuis l’ouverture de l’enquête, mis à jour sa politique de confidentialité et amélioré la transparence de ses pratiques. Par ailleurs, elle a contesté sa condamnation. Cette affaire souligne l’importance pour les entreprises traitant des données à l’échelle internationale de respecter pleinement les exigences du RGPD pour garantir la protection des droits des utilisateurs. (Dutch Data Protection Authority, 26 November 2024, Netflix International B.V.)
Quand les données se baladent : condamnation de Facebook par l’autorité de contrôle irlandaise pour violation de la protection des données personnelles
-
Le 17 décembre 2024, la société Meta Platforms Ireland (gérant du réseau social Facebook) a été sanctionnée par l’autorité de contrôle irlandaise pour la violation de la protection des données personnelles (DPC) sur le fondement du RGPD à hauteur de 251 millions d’euros, suite à deux décisions liées à une violation massive de données personnelles d’utilisateurs sur sa plateforme Facebook en 2018.
Meta Platforms Ireland avait signalé au DPC (équivalent irlandais de la CNIL) en septembre 2018 une violation de données personnelles sur sa plateforme Facebook de 29 millions de comptes utilisateurs, dont 3 millions étaient localisés dans l’UE/EEE. Ces données personnelles concernaient notamment le nom complet de l’utilisateur, ses coordonnées (email et numéro de téléphone), sa date de naissance, son appartenance religieuse ou encore son sexe mais également des données personnelles relatives aux enfants.
Les deux enquêtes du DPC ont relevé que Meta Platforms Ireland avait enfreint les obligations imposées aux responsables de traitement de données par le RGPD, quand bien même cette dernière avait corrigé les dysfonctionnements ayant permis ces vols de données.
En effet, l’article 33 du RGPD impose aux responsables de traitement de données des obligations strictes en matière de notification des violations de données à caractère personnel aux autorités de contrôle compétentes. Par ailleurs, l’article 25 définit les obligations du responsable de traitement pour assurer la protection des données dès la conception du système de traitement.
Or, Meta Platforms Ireland avait notifié de manière incomplète les violations, en omettant certaines informations essentielles et en ne documentant pas les faits relatifs à chaque incident, ainsi que les mesures correctives prises, ce qui a empêché le DPC de vérifier la conformité effective à l’article 33 du RGPD. Ces manquements ont alors été sanctionnés par une première décision à hauteur de 11 millions d’euros. La seconde décision du DPC a constaté que Meta Platforms Ireland n’avait pas respecté les principes de protection des données lors de la conception des systèmes de traitement, et lui a infligé une amende administrative de 240 millions d’euros.
Ces deux décisions soulignent l’importance pour les entreprises de mettre en œuvre des systèmes conformes au RGPD dès leur conception afin de réduire les risques pour les droits et libertés des individus. Comme l’a souligné Graham Doyle, commissaire adjoint du DPC, les défaillances de Meta Platforms Ireland ont exposé des données personnelles sensibles à des risques graves d’utilisation abusive. Le DPC a également incité les entreprises à revoir leurs pratiques pour s’assurer de leur conformité aux exigences légales, réaffirmant ainsi son engagement à protéger les droits des utilisateurs. (Irish Data Protection Commission (DPC) du 17 déc. 2024)
Contenus numériques
La loi sur l’espace numérique (Sren) : décrets d’application (voir la liste)
- Le décret n° 2025-9 du 3 janvier 2025, publié au Journal officiel du 5 janvier, modifie à nouveau la législation française afin de permettre l’application du règlement européen sur les services numériques du 19 octobre 2022 (DSA) et d’améliorer le contrôle de son respect par les plateformes numériques.
Conformément à l’article 49 du DSA, le décret désigne le directeur général de la concurrence, de la consommation et de la répression des fraudes (DGCCRF) comme l’autorité administrative chargée de la concurrence et de la consommation, mentionnée à l’article 7 de la loi du 21 juin 2004 pour la confiance dans l’économie numérique (et modifié par la loi du 21 mai 2024 visant à sécuriser et réguler l’espace numérique). Cette désignation vient s’ajouter à celles à l’ARCOM et de la CNIL, déjà reconnues comme autorités compétentes pour surveiller les fournisseurs des services intermédiaires et assurer l’application du DSA.
Par ailleurs, ce décret modifie également l’article R.524-1 du Code de la consommation en permettant à la DGCCRF, au chef du service national des enquêtes de la DGCCRF ainsi qu’au directeur régional de l’économie, de l’emploi, du travail et des solidarités ou le directeur de la direction départementale chargée de la protection des populations, de saisir la juridiction civile pour enjoindre les plateformes à respecter certaines des obligations prévues par le règlement européen. Ces autorités sont désormais responsables de la surveillance des pratiques des fournisseurs de services intermédiaires et de l’application du règlement.
Ce cadre réglementaire vise à renforcer les mécanismes de contrôle des plateformes numériques et à améliorer les moyens d’action des autorités compétentes à l’échelle nationale.
Le réseau social X condamné à transmettre des données d’identification à la suite de menaces de mort sur le réseau
-
Le Tribunal judiciaire de Paris a enjoint à la société Twitter, le 31 décembre 2024, de transmettre les données d’identification relatives aux menaces de mort publiées sur son réseau social pour les besoins de la procédure pénale.
Saisi d’une demande en référé sur le fondement de l’article 145 du code de procédure civile, le Tribunal judiciaire de Paris s’est prononcé, le 31 décembre 2024, sur l’existence d’un intérêt légitime justifiant l’octroi de mesures d’instruction visant à identifier l’auteur des messages litigieux publiés sur un réseau social. Il a également examiné la légalité et la proportionnalité des mesures d’instruction sollicitées, notamment en ce qui concerne la communication des données techniques permettant cette identification.
Dans cette affaire, des messages publiés sur Twitter comportant des références à des actes de vengeance violents et à des menaces implicites envers un père et son fils mineur ont conduit les requérants à solliciter une mesure d’instruction afin d’identifier l’auteur des propos.
Le tribunal a rappelé que toute communication de données doit respecter les droits fondamentaux garantis par la Convention européenne des droits de l’homme, notamment le droit à la vie privée (article 8) et la liberté d’expression (article 10). Les données demandées doivent être strictement nécessaires et proportionnées à la finalité visée, en l’occurrence l’identification de l’auteur des messages pour engager des poursuites pénales pour menaces de mort (au sens de l’article 222-17 du Code pénal). Le juge a retenu l’existence d’un motif légitime pour cette demande, estimant que les faits rapportés justifiaient une action potentielle devant le juge correctionnel.
Par ailleurs, les informations relatives à l’identité civile de l’utilisateur ainsi que les données techniques permettant d’identifier la source de la connexion, ont été jugées communicables en vertu des articles L.34-1 et R.10-13 du Code des postes et des communications électroniques, eu égard à leur pertinence pour une procédure pénale relative à des faits de délinquance grave. Le tribunal a également pris soin de vérifier que les données demandées étaient nécessaires pour surmonter les difficultés techniques liées à l’identification des utilisateurs sur des réseaux utilisant des adresses IP mutualisées.
Pour autant, certaines demandes complémentaires, telles que la communication de l’adresse IP de destination, ont été rejetées en raison de l’absence de base légale ou de justification suffisante. Le juge a précisé néanmoins que TWITTER doit détailler, au-delà de la date et l’heure des créations des contenus, la seconde à laquelle ils ont été publiés ainsi que le fuseau horaire. Ces informations permettraient d’obtenir des éléments précis sur le mode de vie des utilisateurs, tout en étant strictement limitées à l’identification de l’émetteur du contenu litigieux, conformément aux textes. (TJ Paris, 31 déc. 2024, 24/57566)
Sur le même thème
-
Outils basés sur l’IA : comment le ministère de la Justice veut avancer sur ce sujet en 2025
-
[PODCAST] L’intelligence artificielle au sommet : entre régulation et gouvernance, les esprits balancent
-
Protection du droit moral de l’auteur vs remastérisation d’un vidéoclip et diffusion sur YouTube
-
Panorama rapide de l’actualité « Technologies de l’information » de la semaine du 3 février 2025
-
Précision sur l’adéquation des dispositions légales relatives aux captations de données informatiques
-
Affaire Neoperl : entre représentation et distinctivité, il ne faut pas choisir !
-
« Copyright and AI », une consultation anglaise en cours
-
Quand l’Autorité de protection des données irlandaise conteste la mise en œuvre du mécanisme de coopération prévu par le RGPD
-
Le « déstockage » n’exclut pas la preuve de l’épuisement du droit de marque
-
Panorama rapide de l’actualité « Technologies de l’information » de la semaine du 27 janvier 2025