IP/IT et Communication

L’Autorité de protection des données irlandaise est sans nul doute l’autorité nationale qui est la plus à même de définir la politique européenne en matière de protection des données personnelles : les grandes entreprises de la tech ayant pour la plupart installé leur QG européen à Dublin, l’Autorité irlandaise est l’autorité cheffe de file pour les dossiers les plus sensibles (RGPD, art. 56, §1). Elle s’est pourtant souvent montrée en retrait. Il est alors crucial que le dernier mot ne lui revienne pas toujours. Le Comité européen de la protection des données (CEPD) et les autres autorités nationales ont heureusement un rôle à jouer. La décision du Tribunal de l’Union européenne (10^e chambre élargie) publiée le 29 janvier 2025 est à cet égard importante.

Sélection de l’actualité « Technologies de l’information » marquante de la semaine du 27 janvier.

Sélection de l’actualité « Technologie de l’information » marquante de la semaine du 20 janvier.

La défense contre les cybercriminels s’étoffe. La « résilience opérationnelle numérique » s’installe, depuis le 17 janvier 2025, dans le secteur de l’assurance sous l’effet de l’entrée en vigueur du règlement (UE) « DORA » (Digital Operational Resilience Act) 2022/2554 du 14 décembre 2022. Celui-ci s’applique notamment aux entreprises d’assurance, ainsi qu’aux intermédiaires d’assurance. Des obligations nouvelles, sans doute moins adaptées aux petites entreprises de distribution d’assurance qu’aux grands groupes, producteurs des contrats. Ce défi d’harmonisation sectorielle présente pourtant un enjeu éminent : celui de la cohésion globale du dispositif.

L’absence d’information sur le droit de se taire en matière de procédure de presse, sur le fondement de l’article 51-1 de la loi du 29 juillet 1881, constitue une nullité qui fait nécessairement grief, dès lors que la personne mise en cause a formulé des observations écrites ou a répondu aux questions que lui a posées le juge d’instruction. 

Sélection rapide de l’actualité « Technologie de l’information » marquante de la semaine du 13 janvier.

Le Comité européen à la protection des données (European Data Protection Board – EDPB) a été saisi, le 4 septembre 2024, par l’Autorité irlandaise de protection des données personnelles, d’une demande d’avis sur le fondement de l’article 64, § 2, du RGPD, concernant le traitement des données personnelles dans le cadre des phases de développement et de déploiement des modèles d’IA. L’EDPB, après avoir consulté les parties prenantes le 5 novembre 2024, a rendu un avis le 17 décembre 2024, répondant précisément aux quatre questions suivantes : quand et comment un modèle d’IA peut être considéré comme « anonyme » ? ; comment les responsables du traitement peuvent démontrer le bien-fondé de l’intérêt légitime comme base juridique dans les phases de développement et de déploiement d’un modèle d’IA ? ; et quelles sont les conséquences du traitement illicite de données à caractère personnel dans la phase de développement d’un modèle d’IA sur le traitement ou l’exploitation ultérieurs du modèle d’IA ?

La décision de l’Autorité de protection des données italienne (Autorita Garante per la protezione dei dati personali), publiée le 20 décembre 2024, de prononcer une amende de 15 millions d’euros à l’encontre d’OpenAI pour non-conformité au RGPD de ChatGPT, dans sa version initiale, est une première : il s’agit en effet de la première condamnation pour violation du RGPD en matière d’IA générative.