Panorama rapide de l’actualité « Technologies de l’information » des semaines des 6 et 13 mai 2024

Données

L’accès libre sur internet de données ne s’oppose pas à la qualification de collecte déloyale

• La Cour de cassation, dans sa décision du 30 avril 2024, a jugé une société ayant effectué une collecte de données, à des fins de profilage de certaines personnes, à leur insu, coupable du délit de collecte de données à caractère personnel « par un moyen déloyal ». Dans cette affaire, un syndicat dénonçait les pratiques d’une société faisant procéder à des enquêtes sur ses salariés, ses candidats à l’embauche, ses clients ou encore ses prestataires. Le prévenu est condamné par le tribunal correctionnel, décision confirmée par la Cour d’appel de Versailles, pour « collecte de données à caractère personnel et complicité, complicité de détournement de la finalité d’un fichier ». La Cour de cassation confirme le délit de collecte de données à caractère personnel « par un moyen déloyal » par la société au motif que cette dernière a effectué des recherches portant sur des données personnelles (telles que les antécédents judiciaires ou encore la situation matrimoniale des personnes concernées), dont l’utilisation était sans rapport avec l’objet de leur mise en ligne et sans l’accord des personnes concernées. À cet égard, la Cour précise que le fait que les données collectées aient été en accès libre sur internet ne retire rien à la qualification, dès lors qu’une telle collecte, réalisée à des fins de profilage des personnes concernées et à leur insu, ne pouvait s’effectuer sans qu’elles en soient informées. (Crim. 30 avr. 2024, n° 23-80.962, FS-B)

Confirmation de l’amende infligée à Voodoo pour publicité ciblée sans consentement

• Dans sa décision du 14 mai 2024, le Conseil d’État confirme l’amende infligée à Voodoo pour pratiques de publicité ciblée sans consentement de l’utilisateur final.
  À l’ouverture d’une application de jeux, et en dépit du refus de suivi publicitaire exprimé par l’utilisateur, la société VOODOO, éditrice de jeux pour smartphone, lisait l’identifiant technique dudit utilisateur et traitait des informations en lien avec ses habitudes de navigation, à des fins publicitaires.
  Le 29 décembre 2022, la Commission nationale de l’informatique et des libertés (CNIL) l’avait sanctionné d’une amende de 3 millions d’euros pour manquement à l’article 82 de la loi Informatique et Libertés (LIL), prévoyant l’obligation, sauf exception, de recueillir le consentement de l’utilisateur final avant toute opération d’écriture ou de lecture de cookies et autres traceurs.
  Par une requête du 16 mars 2023, la société Voodoo a demandé au Conseil d’État d’annuler sa délibération, notamment aux motifs que la délibération était insuffisamment motivée et le manquement reproché au titre de l’article 82 de la LIL n’était pas établi.
  À l’égard du manquement à l’article 82 de la LIL, le Conseil d’État rejette la requête de la société Voodoo et relève que les utilisateurs ne disposaient d’aucun moyen pour s’opposer au recueil de ces informations, alors même que le traitement avait une finalité publicitaire. Cette considération privait la société du bénéfice de l’exception autorisant la lecture de données par des traceurs sans consentement lorsque l’opération a pour finalité exclusive de faciliter la communication par voie électronique, ou est strictement nécessaire à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur. (CE, 14 mai 2024, n° 472221)

Intelligence artificielle

Le Conseil de l’Europe adopte le premier traité international juridiquement contraignant sur l’intelligence artificielle

• Cette Convention-cadre a été adoptée à Strasbourg lors de la réunion ministérielle annuelle du Comité des Ministres du Conseil de l’Europe, qui réunit les ministres des Affaires étrangères des 46 États membres du Conseil de l’Europe. Il a été élaboré, en deux ans, au sein du Comité sur l’intelligence artificielle (CAI) auquel ont participé, en outre, onze états non-membres du Conseil de l’Europe (Argentine, Australie, Canada, Costa Rica, États-Unis d’Amérique, Israël, Japon, Mexique, Pérou, Saint-Siège et Uruguay) ainsi que des représentants issus du secteur privé, de la société civile et du monde universitaire, intervenant en qualité d’observateurs.
  À l’instar avec l’AI Act, le traité établit un cadre juridique qui s’applique tout au long du cycle de vie des systèmes d’IA, traite des risques que peuvent représenter ces systèmes et promeut une innovation responsable.
  À la différence avec l’AI Act, le traité est ouvert à la signature de pays non européens....