Panorama rapide de l’actualité « Technologie de l’information » de la semaine du 24 juin 2024

Sélection de l’actualité « technologie de l’information » marquante de la semaine du 24 juin.

Données, IA et vie privée

L’OCDE publie un rapport sur l’IA, la gouvernance des données et la protection de la vie privée

  • Le rapport rendu par l’OCDE fin juin 2024 intitulé « IA, gouvernance des données et vie privée : Synergies et domaines de coopération internationale » explore l’intersection de l’intelligence artificielle (IA) et de la protection de la vie privée, en mettant en lumière les synergies potentielles et les domaines nécessitant une coopération internationale renforcée.
    L’OCDE relève que les récentes avancées technologiques en IA, en particulier l’IA générative, soulèvent des questions importantes en matière de gouvernance des données et de protection de la vie privée que les communautés politiques traitent souvent de manière indépendante. Ce traitement différé peut entraîner des complexités supplémentaires dans la conformité réglementaire et l’application des lois.
    L’approche de l’IA est souvent axée sur l’innovation, tandis que la protection de la vie privée suit généralement une approche plus prudente, marquée par des décennies de mise en œuvre de lois spécifiques de protection de la vie privée. Malgré ces différences, des synergies existent et une coopération est essentielle pour aligner les réponses politiques et améliorer la complémentarité et la cohérence des cadres politiques de l’IA et de la protection des données.
    Dans son rapport, l’OCDE compare les Lignes directrices de l’OCDE en matière de protection de la vie privée avec les Principes de l’OCDE en matière d’IA afin d’identifier les domaines pertinents pour une coordination plus étroite, notamment en illustrant les différentes interprétations des concepts clés tels que l’équité, la transparence et l’explicabilité. L’ensemble des initiatives nationales et régionales mises en place en matière d’IA et de protection de la vie privée met en exergue la nécessité d’une plus grande coordination à mesure que des lois spécifiques à l’IA émergent dans le monde entier.
    En conclusion, l’objectif de l’OCDE est de fournir un cadre de référence commun qui favorise une coopération large et durable au niveau régional et mondial. Il s’agit également de définir concrètement les innovations, les technologies et les réglementations de l’IA dans le respect de la vie privée et des règles de protection des données à caractère personnel.

Une société condamnée à retirer des photographies d’un ancien salarié de son site web, de sa page Facebook et de tout autre support

  • Le 18 juin 2024, la Cour d’appel de Nîmes a condamné une société à retirer des photographies d’un ancien salarié sur son site web notamment du fait de l’absence de limitation de temporelle de l’autorisation accordée.
    Un ancien salarié reproche à la société qui l’employait de continuer à utiliser des photographies le représentant sur son site web ainsi que d’autres supports. A la suite du rejet de ces prétentions par le Conseil de prud’hommes d’Avignon, ce dernier a interjeté appel de cette décision.
    L’ancien salarié considère qu’il n’a pas autorisé la société à utiliser son image après son départ. L’employeur avance, lui, que l’ancien salarié a signé un formulaire de renonciation au droit à l’image le 4 avril 2014 autorisant à communiquer son image.
    La Cour d’appel de Nîmes constate que l’autorisation du 4 avril 2014 ne prévoit pas de limites suffisamment claires quant à la période exacte d’exploitation de l’image du salarié, l’autorisation ayant été consentie « sans limitation de durée ». Il doit donc être considéré que cette autorisation a cessé à la rupture du contrat de travail. La diffusion des images litigieuses ne se rattachant pas à l’exécution de cette autorisation, la méconnaissance de l’article 9 du code civil pouvait être valablement invoquée par l’ancien salarié dont le droit à l’image a ainsi été violé. L’employeur est donc condamné à retirer toutes les photographies sur lesquelles apparaît l’ancien salarié.
    La Cour d’appel de Nîmes retient ensuite que le seul constat de cette violation du droit à l’image ouvre droit à réparation pour l’ancien salarié dont la reconversion dans le même secteur d’activité que celui de l’employeur entraîne un préjudice devant être indemnisé. (Nîmes, 18 juin 2024, n° 21/03685)

Transfert massif de courriels professionnels contenant des données personnelles sensibles social vers une adresse mail privée

  • Le 19 juin 2024, la Cour d’appel de Douai a infirmé la validité du licenciement d’une assistante de service social pour motif disciplinaire du fait du transfert massif de courriels professionnels contenant des données de santé sensibles à caractère personnel vers une adresse mail privée.
    Une ancienne salariée contestait le licenciement pour motif disciplinaire dont elle a fait l’objet par l’association dont elle était employée. Les faits fautifs commis par la salariée avaient été jugés d’une gravité suffisante pour justifier son licenciement, mais la décision a été annulée par le Tribunal administratif de Lille. L’association a interjeté appel de cette décision.
    L’association appelante affirmait que le transfert non autorisé de courriels contenant des données professionnelles constitue un détournement d’informations sensibles. L’ancienne salariée ne contestait pas avoir procédé audit transfert, mais le justifiait par des craintes concernant la modification de son poste, un conflit interne sur l’utilisation de données nominatives et une justification législative. Le transfert des courriels visait uniquement à conserver des échanges professionnels pour défendre ses droits.
    La cour d’appel a confirmé le jugement en ce que l’ancienne salariée n’avait pas utilisé ces messages à d’autres fins que leur conservation, sans préjudice pour l’association et a pu considérer que les faits reprochés à la salariée n’étaient pas d’une gravité suffisante pour justifier son licenciement. (CAA Douai, 3e ch., 19 juin 2024, n° 23DA01299, inédit au Lebon)

Contenus numériques

Cinq principes mondiaux pour l’intégrité de l’information présentés par les Nations Unies le 24 juin

  • Le 24 juin 2024, les Nations unies ont dévoilé cinq principes mondiaux pour l’intégrité de l’information, visant à promouvoir « un environnement de l’information qui défend les droits de l’homme et un avenir durable » : confiance et résilience de la société ; incitations saines ; responsabilisation du public, médias indépendants, libres et pluralistes ; transparence et recherche.
    Tout d’abord et s’agissant de la confiance et de la résilience, elles sont fragilisées par les comportements des acteurs souhaitant tirer profit de l’écosystème de l’information à des fins stratégiques, politiques ou financières.
    Les incitations saines pourront naître de la remise en cause des effets néfastes des modèles commerciaux actuels qui reposent principalement sur les différentes formes de monétisation du contenu telles que la publicité ciblée.
    S’agissant de la responsabilisation du public, les Nations unies mettent en avant le fait que lorsque les espaces numériques sont utilisés de manière appropriée, ils peuvent favoriser l’autonomisation des individus et donner du pouvoir à ceux qui en sont souvent exclus et marginalisés.
    Par ailleurs, selon ces principes mondiaux, l’intégrité de l’information ne peut être assurée qu’avec des médias indépendants, libres et pluralistes.
    Enfin, une transparence accrue de la part des entreprises technologiques et autres fournisseurs d’informations pourrait permettre une meilleure compréhension de la diffusion des informations, de l’utilisation des données personnelles, ainsi que du traitement des risques pour l’intégrité de l’information.
    Ces cinq principes mondiaux pour l’intégrité de l’information peuvent être concrétisés en mesures pratiques grâce aux recommandations formulées par les Nations unies aux différentes parties prenantes de l’écosystème de l’information.

Les pratiques trompeuses auxquelles ont recours les plateformes de vente en ligne selon l’Étude UFC-Que choisir

  • Le 20 juin 2024, l’UFC-Que choisir a publié une étude relative aux pratiques de « dark patterns » auxquelles ont recours les vingt places de marchés les plus fréquentées en France, procédés visant à influencer les comportements des consommateurs et désormais interdits explicitement par le Règlement européen sur les services numériques (DSA).
    Les dark patterns, prohibés par le DSA, mais également par le RGPD ainsi que par le droit de la consommation français et européen, sont des interfaces conçues pour exploiter les comportements des consommateurs afin de les inciter à interagir avec les entreprises dans l’intérêt de ces dernières. Ces procédés incitent les consommateurs à acheter des produits, à consentir au partage de leurs données, à passer davantage de temps sur les sites ou applications, et à choisir des services par défaut, dans l’objectif de limiter la concurrence. Lorsque ces derniers sont utilisés de manière combinée, leurs effets peuvent être encore plus importants.
    L’UFC-Que Choisir observe que les places de marchés étudiées ont recours à divers dark patterns, avec une utilisation plus fréquente sur des plateformes chinoises telles que Temu, et AliExpress ainsi que les plateformes américaines et françaises Amazon, Veepee, Cdiscount, Airbnb, Rakuten France et ManoMano. Ces derniers varient en intrusivité selon leur nature : les plus courants incluant les manipulations visuelles, l’obligation de créer un compte client et les prix barrés trompeurs, tandis que d’autres comme la ludification (utilisation de mécanismes de jeu) et les prix cloisonnés, sont moins fréquents. De plus, ces pratiques sont plus fréquemment observées sur les applications mobiles des places de marché que sur les sites web, avec des exemples significatifs comme Temu. Ces pratiques sont d’autant plus préoccupantes à la lumière de la préférence croissante des consommateurs pour les achats via smartphones.
    À l’issue de son enquête, UFC-Que Choisir a saisi la DGCCRF et la Commission européenne pour les alerter sur les pratiques des professionnels, initier des enquêtes complémentaires et sanctionner ces comportements prohibés pour assurer le strict respect de l’interdiction des dark patterns en vertu du DSA. Cette dernière demeurera également vigilante dans les prochains mois et initiera toute action en justice nécessaire en cas de persistance de ces pratiques.

Collaboration et responsabilités respectives entre l’ARCOM, la DGCCRF et la CNIL : adoption d’une Convention

  • Le 27 juin 2024, l’ARCOM, la DGCCRF et la CNIL (les trois régulateurs du règlement sur les services numériques DSA) ont signé une convention visant à préciser les conditions et modalités de leur coopération, ainsi que leurs responsabilités respectives pour la mise en œuvre du DSA, afin réguler les services numériques établis en France.
    Les trois régulateurs s’engagent à coordonner leurs travaux, à informer les autres parties des projets pertinents, à partager les informations nécessaires et à collaborer sur les réflexions concernant le DSA. Ils mettront également à disposition leurs expertises, associeront les autres parties au développement d’outils techniques et proposeront des actions de communication communes, et informeront régulièrement les autres parties des changements organisationnels susceptibles d’impacter la mise en œuvre de la convention.
    La convention détaille les axes de leur collaboration, notamment en matière de partage d’informations, d’enquêtes nationales et européennes, de participation à la coopération européenne sur le DSA, de gestion des plaintes et de rapport d’activité. Sur une base volontaire, les régulateurs pourront également mener des projets conjoints pour la mise en œuvre du Règlement, portant notamment sur le règlement extrajudiciaire des litiges, les signaleurs de confiance, les indications des fournisseurs de services intermédiaires et les interfaces en ligne trompeuses (« dark patterns ») en s’informant mutuellement de leurs initiatives respectives. Ils partageront également des informations sur les saisines et enquêtes pertinentes menées au titre du Règlement. Conformément à l’article 40 du DSA, la CNIL pourra être saisie par l’ARCOM pour l’agrément des chercheurs accédant aux données des grandes plateformes en ligne, en évaluant la conformité des demandes selon le RGPD. Ils coopéreront en outre sur les infractions au DSA et au RGPD, notamment pour la notification des fuites des données et la possibilité de mettre fin à l’accès desdits chercheurs.
    Dans le cadre de cette coopération, l’ARCOM a ouvert, le 27 juin 2024, son espace de candidature au statut de « signaleur de confiance ». En vertu de l’article 22 du DSA, des association, entités, organisations, sont invitées à candidater, en démontrant leur expertise et leurs compétences dans la détection, l’identification et la notification de contenus illicites de manière diligente, précise et objective, et ce, indépendamment de tout fournisseur de plateformes en ligne. Les plateformes en ligne devront mettre en place des mesures techniques et organisationnelles pour traiter en priorité les signalements de ces signaleurs de confiance désignés pour les services numériques des 27 États membres, prendre une décision sur le contenu signalé dans les meilleurs délais et informer les utilisateurs des actions prises et des recours possibles.

 

© Lefebvre Dalloz