Panorama rapide de l’actualité « Technologies de l’information » des semaines des 17 et 24 mars 2025

Données personnelles

La proposition de loi sur la sûreté dans les transports définitivement adoptée

• Le 17 et le 18 mars 2025, le Sénat et l’Assemblée nationale ont adopté, par commission mixte paritaire, la proposition de loi sur la sûreté dans les transports. Ce texte a pour objectif de renforcer la sécurité dans les transports en commun en réponse à la recrudescence des actes de délinquance et des incivilités.
  Cette proposition de loi a suscité des critiques de la part des associations (comme La quadrature du Net ou Amnesty International) et du Conseil national des barreaux qui dénoncent plusieurs mesures jugées contraires aux droits fondamentaux, notamment l’usage des caméras individuelles sans évaluation préalable du dispositif par le gouvernement, ainsi que le recours à la vidéosurveillance intelligente.
  Le Conseil constitutionnel a été saisi le 24 mars 2025 et devra statuer sur la conformité de cette loi à la Constitution.
  Parmi les mesures contestées est visé le prolongement jusqu’au 1^er mars 2027, de l’expérimentation de la vidéosurveillance algorithmique (VSA), ou vidéosurveillance intelligente, mise en place lors des Jeux olympiques de 2024 (L. n° 2023-380 du 19 mai 2023). Ce dispositif vise à détecter en temps réel des événements susceptibles de menacer la sécurité publique lors de manifestations à risque (sportives, récréatives ou culturelles), dans leur périmètre et au sein des transports en commun.
  Cette loi comprend d’autres dispositions. Une des principales mesures adoptées est la pérennisation de l’utilisation de caméras individuelles par les contrôleurs, en cas d’incident ou de menace, afin de prévenir les troubles, constater les infractions et protéger les agents et les passagers. L’accès aux données de ces enregistrements est strictement encadré (à des fins judiciaires, administratives ou disciplinaires) et l’article 8 de la proposition prévoit que « Ces enregistrements sont soumis à la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, notamment en ce qui concerne le contrôle de la Commission nationale de l’informatique et des libertés et le droit d’accès aux enregistrements ». Une expérimentation de trois ans est également prévue pour une utilisation similaire par les conducteurs de bus et de cars, afin de faciliter la collecte de preuves en cas d’agression. Les autres mesures prévues sont notamment l’installation de caméras dans les tramways et la mise en place d’une alarme discrète dans les bus et cars, activable en cas de menace.
  En outre, la loi étend les pouvoirs des agents de la sûreté ferroviaire et de la RATP, leur permettant notamment d’effectuer des inspections visuelles des bagages et des palpations de sécurité dans des conditions spécifiques, renforçant ainsi leur capacité d’intervention face aux comportements délictueux. Elle durcit également les sanctions à l’encontre des incivilités dans les transports, en instaurant notamment un nouveau délit de « bus ou train surfing » (le fait de monter sur un métro ou de s’agripper à un bus en marche) ou en prévoyant des peines plus sévères en cas d’oubli ou d’abandon volontaire de bagages ou d’objets. (Proposition de loi relative au renforcement de la sûreté dans les transports)

RGPD et transidentité

• Le 13 mars 2025, la CJUE a rendu un arrêt apportant une clarification sur le droit de rectification des données relatives à l’identité de genre dans un registre public tenu par une autorité nationale.
  Dans cette affaire, une personne de nationalité iranienne, enregistrée en tant que femme dans le registre d’asile, avait fourni des attestations psychologiques et gynécologiques justifiant de sa transidentité. En 2022, elle a demandé la rectification de la mention de son genre auprès de l’autorité hongroise chargée de l’asile. Déboutée de ses demandes, elle a introduit un recours devant la cour de Budapest-Capital en Hongrie.
  Le droit hongrois ne prévoyant pas de procédure formelle de reconnaissance juridique de la transidentité, la juridiction de renvoi a soumis à la CJUE des questions préjudicielles concernant l’interprétation de l’article 16 du RGPD. Elle a cherché à savoir, d’une part, si cet article impose à une autorité nationale, chargée de la tenue d’un registre public, de rectifier les données personnelles relatives à l’identité de genre d’un individu lorsque ces données s’avèrent inexactes en raison d’une transidentité, et, d’autre part, si un État membre peut subordonner l’exercice du droit de rectification de telles données à la production de preuves, telles qu’une preuve d’un traitement chirurgical de réassignation sexuelle.
  Concernant la première question, la CJUE a affirmé que le RGPD impose la rectification des données personnelles inexactes, y compris celles relatives à l’identité de genre, conformément au principe d’exactitude des données et aux droits fondamentaux consacrés par la Charte des droits fondamentaux de l’Union européenne. La conformité de ces données doit être appréciée au regard de la finalité pour laquelle elles ont été collectées. En l’occurrence, la juridiction hongroise doit déterminer si la donnée concernée reflète l’identité de genre vécue par la personne, et non celle qui lui a été assignée à la naissance. En outre, la Cour précise qu’un État membre ne peut refuser de procéder à cette rectification en invoquant l’absence d’une procédure nationale de reconnaissance juridique de la transidentité, dès lors que l’exercice de sa compétence en matière d’état civil doit respecter les obligations découlant du droit de l’Union.
  En ce qui concerne la seconde question, la CJUE a estimé qu’une personne exerçant son droit de rectification peut être tenue de fournir des éléments de preuve permettant d’établir l’inexactitude des données. Toutefois, un État membre ne peut imposer la production d’une preuve de réassignation chirurgicale. Une telle exigence serait contraire au droit à l’intégrité de la personne et au droit au respect de la vie privée garantis par les articles 3 et 7 de la Charte, et constituerait ainsi une mesure disproportionnée. Une attestation médicale, y compris un psychodiagnostic, peut ainsi suffire à justifier la rectification des données.
  Cette décision semble s’inscrire dans une logique de renforcement de la protection des droits fondamentaux en matière de données personnelles, réaffirmant la primauté du RGPD sur les pratiques administratives nationales. Elle est, par ailleurs, en accord avec la position de la Cour européenne des droits de l’homme (V. par exemple : CEDH 4^e section, 19 avril 2021, X et Y c. Roumanie). (CJUE du 13 mars 2025, C-247/23)

La protection des données personnelles et IA, une obligation de surveillance de la part des opérateurs d’IA ? : plainte de NOYB du 20 mars 2025

• Le 20 mars 2025, l’association None Of Your Business (NOYB) a déposé une plainte auprès de l’autorité norvégienne de protection des données pour dénoncer le traitement inexact de données personnelles la concernant par ChatGPT, en violation du principe d’exactitude prévu à l’article 5 du RGPD.
  La plainte a été déposée au nom d’un citoyen norvégien auprès de l’autorité norvégienne de protection des données (Datatilsynet) sur le fondement de l’article 80, § 1^er du RGPD. La plainte vise la société OpenAI OpCo, LLC, en sa qualité de responsable du traitement du modèle d’intelligence artificielle générative ChatGPT, à la suite d’un traitement de données personnelles ayant donné lieu à une réponse erronée, diffamatoire et susceptible d’entraîner des conséquences préjudiciables pour la personne concernée. Le plaignant avait interrogé ChatGPT sur sa propre identité et avait obtenu en retour une réponse entièrement inexacte, l’accusant à tort de faits criminels graves, en l’occurrence le meurtre de ses enfants.
  La plainte pose la question de la conformité de cette réponse avec les exigences de l’article 5, § 1^er point d) du RGPD, lequel impose que les données personnelles soient exactes, tenues à jour, et que des mesures raisonnables soient prises pour effacer ou rectifier, sans délai, les données inexactes. NOYB souligne que les modèles d’intelligence artificielle, et en particulier les grands modèles de langage (LLM), s’appuient sur d’importants volumes de données incluant des données à caractère personnel, lesquelles doivent être traitées conformément aux principes du RGPD. Dans le cas d’espèce, l’attribution erronée d’un crime au plaignant constitue, selon NOYB, une violation manifeste du principe d’exactitude. L’association estime que le système d’IA aurait dû intégrer des mécanismes permettant de limiter ou bloquer la diffusion d’informations manifestement fausses concernant des personnes identifiables. Cette carence est d’autant plus problématique que la société reconnaît publiquement que ses services sont susceptibles de produire des résultats inexacts, qui peuvent ne pas refléter fidèlement des faits, lieux ou personnes réels.
  De son côté, OpenAI affirme que sa filiale européenne, OpenAI Ireland Limited (établie en septembre 2023), constitue son établissement principal dans l’Union, au sens de l’article 56 du RGPD, de sorte que l’autorité de contrôle irlandaise serait seule compétente pour traiter de la plainte en vertu du mécanisme de guichet unique. NOYB conteste cette affirmation, estimant que cette filiale ne dispose pas d’un pouvoir décisionnel autonome sur les traitements de données à caractère personnel mis en œuvre. En l’absence d’un véritable établissement principal dans l’Union, le mécanisme de guichet unique ne serait donc pas applicable. En conséquence, l’association soutient que l’autorité norvégienne, en application de l’article 77 du RGPD, est territorialement compétente pour instruire la plainte, dès lors que le plaignant réside en Norvège et que les effets du traitement y sont localisés.
  Sur le fondement de l’article 58, § 2 du RGPD, l’association sollicite que plusieurs mesures correctrices soient imposées à OpenAI. Elle demande notamment la suppression du contenu généré portant atteinte au plaignant afin d’éviter toute reproduction de contenu inexact, ainsi que la mise en œuvre d’une restriction temporaire du traitement des données personnelles du plaignant dans l’attente d’une décision définitive. Enfin, NOYB invite l’autorité de contrôle à envisager l’imposition d’une amende administrative, sur le fondement des articles 58(2)(i) et 83(5)(a) du RGPD, au motif de la méconnaissance du principe d’exactitude des données à caractère personnel.

CNIL soumet à consultation publique un projet de recommandation sur l’utilisation des données de localisation des véhicules connectés le 25 mars 2025

• Le 25 mars 2025, la CNIL a soumis à consultation publique un projet de recommandation relatif à l’utilisation des données de localisation des véhicules connectés ayant pour objectif de rappeler les exigences juridiques applicables aux traitements de ces données et de proposer des recommandations concrètes pour s’y conformer.
  Cette recommandation a été élaborée en concertation avec les acteurs du secteur. Elle prolonge les recommandations du Comité européen de la protection des données (CEPD) qui a affirmé que l’utilisation de technologie de localisation appelle la mise en œuvre de garanties spécifiques (CEPD lignes directrices 01/2020), car les données de localisation sont qualifiées de « données à caractère hautement personnel », dès lors qu’elles permettent de retracer les déplacements d’une personne physique (CEPD, lignes directrices du 4 octobre 2017).
  La CNIL rappelle que les traitements de données de localisation sont soumis, d’une part, aux dispositions du RGPD dès lors que les données concernées se rapportent à une personne physique identifiée ou identifiable ; d’autre part, aux règles issues de la directive 2002/58/CE dite « ePrivacy », transposée en droit français à l’article 82 de la loi Informatique et Libertés. Cette disposition impose que tout accès ou toute inscription d’informations dans l’équipement terminal d’un utilisateur soit subordonné au recueil préalable de son consentement. En application de ces textes, l’accès aux données générées par des dispositifs embarqués (notamment GPS et boîtiers télématiques) doit en principe être précédé d’un consentement libre, éclairé, spécifique et univoque, conformément à l’article 6.1.a du RGPD.
  La CNIL insiste également sur le respect des principes fondamentaux de minimisation et de limitation de la conservation des données, conformément aux articles 5.1.c et 5.1.e du RGPD. Elle recommande ainsi que seules les données strictement nécessaires à la finalité du traitement soient collectées et que leur durée de conservation soit proportionnée. Par ailleurs, la transmission de données à des tiers (par exemple pour l’assistance ou le dépannage) ne peut intervenir qu’en présence d’un événement qualifié de « fait générateur » tel qu’un accident, une panne ou un vol. La recommandation précise aussi les responsables de traitement devant mettre en œuvre des mesures techniques et organisationnelles appropriées, en application de l’article 32 du RGPD, afin de garantir la sécurité et la confidentialité des données. En outre, l’encadrement de ces traitements suppose la réalisation d’une analyse d’impact relative à la protection des données (AIPD), notamment lorsqu’il s’agit de traitements massifs ou continus de données de localisation, conformément à l’article 35 du RGPD.
  Enfin, la CNIL rappelle que l’obligation d’information des personnes concernées constitue une exigence essentielle découlant des articles 13 et 14 du RGPD. L’information doit être fournie préalablement à la collecte, de manière claire, et intelligible. Elle peut notamment être intégrée, dans le contrat de vente ou de location du véhicule, une politique de confidentialité remise à l’utilisateur, ou affichée directement sur l’interface du véhicule. Lorsque les données ne sont pas collectées directement auprès de la personne concernée, le responsable du traitement est tenu d’indiquer l’origine des données collectées ainsi que les catégories concernées.
  La consultation publique est ouverte jusqu’au 20 mai 2025. Elle s’adresse à l’ensemble des parties prenantes, qu’elles soient publiques ou privées. La CNIL invite en particulier les constructeurs automobiles, gestionnaires de flotte, fournisseurs de solutions de télématique embarquée, ainsi que les citoyens concernés à soumettre leurs observations. À l’issue de cette phase de consultation, la CNIL analysera les contributions recueillies et adoptera une version définitive de la recommandation.

Contenus en ligne

Les faux avis en ligne et l’anonymat peut conduire à une pratique commerciale trompeuse

• Le 14 mars 2025, la Cour d’appel de Paris a jugé que la publication anonyme d’un article contenant de fausses informations sur un concurrent, diffusé sur un site internet, était susceptible de constituer une pratique commerciale trompeuse au sens du Code de la consommation. Elle a également estimé que de tels agissements pouvaient constituer des actes de concurrence déloyale en raison du détournement frauduleux de clientèle qu’ils entraînent.
  Dans cette affaire, deux sociétés spécialisées dans la formation au codage informatique (la société mère et sa filiale) ont découvert un article erroné et anonyme sur leurs activités sur un blog, portant atteinte à leur réputation. L’identification du propriétaire du site, effectuée via une procédure devant l’AFNIC, a révélé qu’il s’agissait d’une société concurrente à la société demanderesse. Après une mise en demeure demandant la correction de l’article, la cessation des pratiques trompeuses et une indemnisation, le concurrent a refusé d’exécuter les demandes indemnitaires. Les sociétés demanderesses ont alors assigné leur concurrent devant le tribunal de commerce de Paris, qui a reconnu l’existence de pratiques commerciales trompeuses, mais a rejeté la demande fondée sur la concurrence déloyale.
  La cour d’appel a rappelé que ne pas identifier clairement un concurrent dans une publication peut constituer une pratique commerciale trompeuse, conformément à l’article L. 121-2, 3° du Code de la consommation. L’article litigieux comportait de plus plusieurs erreurs, notamment sur le nombre d’élèves par promotion et les langages informatiques enseignés ce qui induisait les consommateurs en erreur quant aux caractéristiques essentielles du service proposé. La cour d’appel a également constaté que la publication de cet article, présenté comme neutre et objectif, visait à orienter les consommateurs vers la formation de la société concurrente. Infirmant la décision du tribunal de commerce, la Cour d’appel en conclut que la société mise en cause avait eu l’intention de détourner la clientèle des demanderesses à l’aide de procédés trompeurs et déloyaux, ce qui constituant des actes de concurrence déloyale.
  Cette décision souligne l’importance de la transparence dans la communication commerciale, notamment dans le commerce électronique. L’anonymat d’une publication ayant un impact économique direct peut être sanctionné en tant que pratique commerciale trompeuse, dès lors qu’il cherche à manipuler le comportement des consommateurs. L’arrêt souligne également l’importance du droit à l’information en ce qui concerne les processus algorithmiques et les décisions automatisées. La Cour a exigé que les responsables du traitement fournissent des explications claires sur les critères et la logique utilisés lors de la prise de décision algorithmique. Cette exigence a pour objectif de permettre aux personnes concernées de comprendre les facteurs ayant influencé une décision les concernant, renforçant ainsi leur capacité à exercer leurs droits. (CA de Paris, 14 mars 2025, RG n°22/16356)

Outrage à magistrat sur réseau social 

• Le 25 mars 2025, la chambre criminelle de la Cour de cassation a rendu une décision relative à la qualification d’outrage à magistrat, précisant qu’un message publié sur une plateforme en ligne peut constituer un outrage à condition qu’il vise personnellement le magistrat dans l’exercice de ses fonctions.
  Cette affaire concernait M. X poursuivi pour avoir publié sur sa page Facebook des propos insultants à l’encontre de Mme L, juge aux affaires familiales, dans le cadre d’un contentieux opposant le prévenu à son ancienne compagne. Dans une vidéo diffusée publiquement, le prévenu commentait une décision rendue par la magistrate en des termes injurieux et virulents, et concluait celle-ci par une interpellation directe de la magistrate, conduisant à l’ouverture de poursuites du chef d’outrage à magistrat.
  En première instance, le tribunal correctionnel avait retenu la qualification d’outrage à magistrat prévue par l’article 434-24 du Code pénal, qui sanctionne toute expression outrageante à l’encontre d’un magistrat dans l’exercice de ses fonctions. M.X avait été condamné à une peine de six mois d’emprisonnement assortie d’un sursis probatoire. En appel, la Cour d’appel d’Agen a cependant infirmé cette décision et relaxé le prévenu, considérant que les propos en cause, en raison de leur caractère public, relevaient non de l’incrimination d’outrage, mais du régime de la loi du 29 juillet 1881 sur la liberté de la presse.
  La Cour de cassation censure ce raisonnement en rappelant que l’article 434-24 du Code pénal est applicable dès lors que des propos outrageants sont adressés, directement ou indirectement, à un magistrat dans l’exercice de ses fonctions, indépendamment de leur caractère public. Elle reproche ainsi à la cour d’appel de ne pas avoir recherché si les propos litigieux, bien que diffusés publiquement sur une plateforme numérique, visaient personnellement la magistrate concernée. En l’espèce, le caractère ciblé et nominatif des propos permettait de considérer qu’ils étaient effectivement adressés à la magistrate.
  La Cour affirme ainsi qu’un message diffusé publiquement sur un réseau social peut, dès lors qu’il vise expressément un magistrat dans l’exercice de ses fonctions, être qualifié d’outrage au sens de l’article 434-24 du Code pénal. Cette décision illustre la capacité du système judiciaire à s’adapter aux nouveaux défis posés par les technologies numériques, en veillant à maintenir l’équilibre entre les droits individuels et le respect des institutions. (Crim., 25 mars 2025, n° 23-85.517, F-B)

Blockchain

Recours à une blockchain pour établir la preuve d’une contrefaçon

• Le 20 mars 2025, la première chambre civile du tribunal judiciaire de Marseille a rendu une décision reconnaissant la valeur probante d’un ancrage de fichiers dans la blockchain dans le cadre d’un litige en contrefaçon de droits d’auteur. Le différend opposait une société, éditrice et titulaire des droits sur plusieurs créations de mode conçues par un créateur de renom, à une société tierce à laquelle il était reproché d’avoir commercialisé, sans autorisation, des vêtements reprenant les caractéristiques originales des collections « Love from Alber » et « Hearts from Alber ». L’originalité de ces créations reposait notamment sur l’intégration de croquis personnels du créateur, disposés sur des encarts de tissus à la manière d’une bande dessinée.
  La société demanderesse revendiquait la titularité de droits patrimoniaux d’auteur sur ces créations et produisait à l’appui de ses prétentions deux constats d’huissier établissant que les croquis avaient fait l’objet d’un ancrage dans la blockchain. Cette opération, réalisée via la solution BlockchainyourIP, visait à certifier l’antériorité des œuvres litigieuses. Le tribunal a reconnu la qualité d’auteur de la société demandée en se fondant sur les dispositions des articles L.111-1, L.112-1 et L.113-1 du Code de la propriété intellectuelle, estimant que les vêtements revendiqués présentaient une combinaison de caractéristiques originales traduisant des choix esthétiques libres et arbitraires.
  Les constats d’ancrage réalisés en mai et septembre 2021 ont été admis comme éléments probants permettant d’établir l’antériorité et la titularité des droits. Le tribunal a ainsi reconnu que les vêtements commercialisés par la société défenderesse constituaient des copies serviles des modèles protégés, vendues à des prix sensiblement inférieurs. Il en a déduit une atteinte à l’image, à la valeur patrimoniale et à la réputation de la société demanderesse, justifiant l’octroi d’une indemnité.
  En conséquence, la société défenderesse a été condamnée au paiement de la somme de 11 900 euros en réparation du préjudice économique et moral subi par la demanderesse. Cette décision confirme l’admission, par les juridictions civiles françaises, de la blockchain comme mode de preuve recevable en matière de propriété intellectuelle, dès lors qu’elle garantit l’intégrité et l’antériorité d’une œuvre. (TJ de Marseille, 1^re ch. civ., 20 mars 2025, RG 23/00046)