Panorama rapide de l’actualité « Technologies de l’information » de la semaine du 1er juillet 2024

Sélection de l’actualité « Technologies de l’information » marquante de la semaine du 1er juillet.

Régulation du numérique

L’Arcep publie le 4 juillet 2023 son rapport annuel sur l’état de l’internet en France

  • Dans son rapport de juin 2024 sur l’état de l’internet en France, l’Autorité de régulation des communications électroniques, des postes et de la distribution de la presse (l’Arcep) s’est penchée sur les actions qu’elle entreprend dans le but de garantir le bon fonctionnement et le bon développement d’internet, et, de façon inédite, sur l’impact de l’intelligence artificielle (IA) sur le web.
    L’Arcep remarque que le trafic entrant a encore progressé en 2023, mais ce, de façon moins exponentielle qu’au cours des deux années précédentes. Ces trafics, dont plus de la moitié émanent de Netflix, Akamai, Facebook (Meta), Google et Amazon, sont maximisés par les Content-Delivery-Network (Réseaux de diffusion de contenu) internes, c’est-à-dire des systèmes permettant d’optimiser la transmission du contenu aux utilisateurs finaux.
    Ensuite, l’Arcep appelle à la transition vers le protocole IPv6 (dernière version du protocole internet) d’ici à 2030, ce qui permettrait de limiter les disparités dans l’écosystème entre les opérateurs optant pour l’IPv4 et ceux pour l’IPv6. L’Arcep relève également que I’utilisation de l’IPv6 progresse actuellement, et notamment en France, qui se place en troisième position des pays comptant le plus d’internautes raccordés en IPv6, derrière l’Inde et la Malaisie.
    Conformément au rapport d’évaluation publié par la Commission européenne au printemps 2023, l’Arcep s’attache à garantir la neutralité d’internet. Pour cela, elle a mis en place une application de détection de priorisation, « Wehe », ainsi qu’une plateforme « J’alerte l’Arcep », qui permettent de détecter tout dysfonctionnement entre un fournisseur d’accès à internet et un fournisseur de contenu concernant l’accès d’utilisateurs aux e-mails.
    Enfin, l’Arcep se voit confier de nouvelles missions. En effet, conformément à la loi visant à sécuriser et réguler l’espace numérique, elle doit assurer la régulation sur le marché du cloud et à l’égard des prestataires de services d’intermédiation de données. De plus, elle doit garantir la bonne application du Règlement sur les marchés numériques (DMA) du 14 septembre 2022 en travaillant sur les obligations d’interopérabilité avec l’aide de l’Organe des régulateurs européens des communications électroniques (communément désigné comme le BEREC). Enfin, elle doit participer à la limitation de l’impact environnemental des services numériques. Cette dernière a, à cet égard, développé une API « carte d’identité de l’accès », permettant de mesurer la qualité des services d’internet.

Le comité d’experts technique sur la mesure de l’impact environnemental du numérique, créé par l’Arcep et l’ADEME, remet son second rapport intitulé « Périmètre des dispositifs IoT vis-à-vis des TIC »

  • Le comité d’experts technique sur la mesure de l’impact environnemental du numérique (créé conjointement par l’Arcep et l’ADEME en décembre 2020) a publié, le 2 juillet 2024, un nouveau rapport sur les enjeux techniques liés aux problématiques environnementales du numérique.
    Dans son précédent rapport, le comité avait souligné l’augmentation probable de l’empreinte carbone des Technologies de l’information et de la communication (TIC).
    Or, dans ce contexte, l’un des premiers enjeux majeurs est de pouvoir mesurer les impacts de ce secteur. C’est ainsi que ce nouveau rapport suggère une nouvelle méthodologie, visant à catégoriser les objets et éléments connectés en fonction de leur proximité avec le secteur des TIC, avant de calculer leur impact environnemental respectif. Ainsi, la part associée à ce secteur, au sein de l’impact environnemental global de l’équipement étudié, pourra être déterminée. L’objectif ici est d’harmoniser les méthodes de mesure de l’empreinte carbone d’internet, et ce, pour l’ensemble des objets et équipements connectés pour tous les secteurs.
    L’Arcep s’efforcera de promouvoir les travaux de ce comité auprès de l’OCDE et de l’Union internationale des télécommunications (UIT).

Données

Non au choix « ciblage ou paiement » de META : conclusions préliminaires du 1er juillet 2024 de la Commission européenne pour violation du DMA

  • Le 1er juillet 2024, la Commission européenne a adressé à Meta de ses constatations préliminaires à l’égard de son modèle publicitaire « payer ou consentir », qu’elle considère en infraction avec le DMA.]
    En novembre 2023, la société Meta a proposé une nouvelle offre aux utilisateurs de Facebook et Instagram : un abonnement mensuel payant de ces réseaux sociaux sans publicités, ainsi qu’un accès gratuit à ces réseaux sociaux avec des publicités personnalisées basées sur la collecte de données à caractère personnel. Ces deux offres ont été désignées par la Commission européenne comme étant le modèle « payer ou consentir ».
    D’après les constatations préliminaires de la Commission, ce modèle n’est pas conforme au DMA du 14 septembre 2022. Plus précisément, elle considère d’une part, qu’il ne permet pas aux utilisateurs de choisir un service qui repose sur moins de leurs données à caractère personnel et d’autre part, qu’il n’assure pas aux utilisateurs la possibilité d’exercer leur droit de consentir librement à la combinaison de leurs données à caractère personnel.
    Pour se conformer au texte, le modèle devrait garantir aux utilisateurs qui ne consentiraient pas à l’utilisation de leurs données l’accès à un service équivalent qui utiliserait moins de leurs données, et notamment pour la personnalisation de la publicité.
    Méta étant désormais informée de l’avis préliminaire de la Commission constatant l’infraction au DMA, elle peut y répondre par écrit pour contester le bien-fondé de ce dernier. Si cet avis préliminaire est confirmé par l’enquête de la Commission, qui devrait prendre fin au 25 mars 2025, Meta pourra se voir infliger des amendes, voire l’interdiction de l’acquisition de nouveaux services en cas de non-respect systématique.

2) Marché en ligne : sanction de 2,3 millions d’euros à l’encontre de VINTED 

  • Le 2 juillet 2024, l’autorité lituanienne de protection des données a, en coopération avec la CNIL et les autorités polonaise, néerlandaise et allemande en vertu du principe du « guichet unique », condamné la société Vinted UAB (dont le siège social est situé en Lituanie) à payer une amende de plus de deux millions d’euros pour plusieurs manquements au Règlement général sur la protection des données (RGPD).
    Plus précisément, la société Vinted UAB avait indiqué à certains de ses utilisateurs qu’elle ne donnerait pas suite à leurs demandes de suppression de données, ces derniers n’ayant pas identifié dans leur demande les « motifs spécifiques » visés à l’article 17 du GDPR.
    La société a également utilisé de manière illégale la technique du « bannissement furtif » (ou « shadow blocking »), par laquelle l’activité d’un utilisateur de la plateforme est dissimulée aux autres utilisateurs, sans que l’utilisateur concerné ne le sache, afin de l’inciter à quitter la plateforme. Même si cette pratique est destinée à protéger la plateforme, les modalités de sa mise en œuvre en l’espèce ont porté atteinte aux droits des utilisateurs, qui n’étaient notamment pas informés de l’utilisation de cette technique.
    En outre, la société n’a pas démontré qu’elle avait répondu de manière adéquate aux demandes de droit d’accès formées par certains utilisateurs.
    L’autorité lituanienne a déterminé le montant de l’amende en tenant compte de la portée transfrontalière du traitement effectué par la société Vinted UAB, du fait que les infractions ont affecté un grand nombre de personnes et qu’elles ont duré longtemps. (Décis. du 2 juill. 2024 de l’autorité lituanienne de protection des données en coopération avec la CNIL - V. CNIL, communiqué)

Les Jeux olympiques et paralympiques de 2024 et vidéosurveillance « algorithmique »

  • À moins de trois semaines du début des Jeux olympiques, l’avis adopté par la Commission nationale consultative des droits de l’homme (CNCDH) le 20 juin dernier met en lumière les implications de l’expérimentation de la vidéosurveillance algorithmique (VSA), qui analyse en temps réel les images captées par des caméras de surveillance pour détecter des événements potentiellement dangereux pour la sécurité publique, lors des Jeux olympiques et Paralympiques de 2024. La CNCDH exprime des inquiétudes concernant l’usage de ces nouvelles technologies de surveillance, notamment la reconnaissance faciale, perçue comme la technologie la plus intrusive, arguant que cet usage représente une menace considérable à l’exercice des droits et des libertés fondamentaux.
    L’avis souligne la nécessité de maintenir les exigences de nécessité et de proportionnalité au cœur de la légalité des dispositifs de vidéosurveillance, surtout avec l’intégration de l’intelligence artificielle et formule des recommandations à cet effet.
    Les recommandations de la CNCDH incluent ainsi la création d’une cartographie publique des systèmes de vidéoprotection et l’insertion dans la législation d’une exigence de nécessité et proportionnalité pour leur installation. Elles préconisent aussi une analyse d’impact sur les droits et libertés pour chaque demande d’autorisation, l’interdiction de l’identification biométrique à distance des personnes sauf en cas de menace grave, et une formation appropriée des agents sur la protection des données. Enfin, elles suggèrent de renforcer les moyens de la CNIL, les pouvoirs de la commission départementale de vidéoprotection, et d’inclure diverses parties prenantes dans sa composition. (CNCDH, avis du 20 juin 2024)

La Commission européenne conteste la décision du Contrôleur européen de la protection des données (EDPS) sur l’interdiction de l’usage de Microsoft 365

  • Le 17 mai 2024, la Commission européenne a formé un recours contre la décision du contrôleur européen de la protection des données du 8 mars 2024 sur l’utilisation de Microsoft 365 par la Commission européenne considérant que l’interprétation et l’application du Règlement relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union et à la libre circulation de ces données (RPDUE) retenue par le contrôleur européen de la protection des données seraient erronées (aff. T-262/24).
    À l’appui de son recours, la Commission européenne invoque treize moyens.
    La Commission conteste notamment le fait qu’elle n’aurait pas défini le type de données à caractère personnel traitées ni la finalité de ce traitement et le fait que les instructions documentées qu’elle a fournies ne sont pas assez claires pour être conformes au RPDUE.
    Par ailleurs, elle met en cause le fait qu’elle ne se serait pas assurée que Microsoft, afin de fournir ses services, traitait les données à caractère personnel uniquement sur instruction de la Commission européenne ou les lacunes dans le recensement des transferts de données à caractère personnel vers des pays tiers identifiés.
    Enfin, elle avance que le principe de proportionnalité n’est pas respecté en ce que la décision du contrôleur européen de la protection des données du 8 mars 2024 exige des mesures correctives.

Intelligence artificielle

Stratégies mises en place par les grands acteurs du numérique visant à consolider leur pouvoir de marché à l’amont de la chaîne de valeur de l’IA générative

  • Le 8 février 2024, l’Autorité de la concurrence s’est autosaisie pour avis sur le fonctionnement concurrentiel du secteur de l’intelligence artificielle (IA) générative, et souligne tout d’abord l’importance croissante de l’IA à travers le monde, ce qui se traduit notamment par le développement de sa réglementation par les pouvoirs publics à toutes les échelles.
    Elle constate que la modélisation de l’IA générative suit deux étapes : la première, l’entraînement, consiste en l’apprentissage initial du modèle grâce à l’exploitation d’un grand nombre de données, qui peut être accompagnée par une phase de spécialisation durant laquelle le modèle est élaboré pour effectuer une tâche spécifique. La seconde étape est celle de l’interférence qui a pour but de créer du contenu à partir de l’utilisation du modèle.
    L’Autorité de la concurrence souligne ensuite les difficultés rencontrées face au fonctionnement concurrentiel de l’IA générative. Ces difficultés se concrétisent par la dépendance aux processeurs spécialisés pour l’IA en raison du nombre considérable de calculs et d’opérations à assurer. Ensuite, cette puissance de calcul indispensable au bon fonctionnement de l’IA repose sur l’utilisation des services cloud qui participent par ailleurs également à la facilitation de l’accès de ces modèles. De plus, l’IA générative nécessite un grand nombre de données filtrées qui peuvent être du texte, des images ou des vidéos. L’ensemble requiert l’intervention de développeurs dotés de compétences rares ainsi que des investissements financiers colossaux. Pour autant, ces difficultés peuvent être relativisées grâce aux supercalculateurs publics qui peuvent être utilisés gratuitement, la réduction du besoin en puissance de calcul et en données grâce à l’émergence d’innovations technologiques et l’élaboration de modèles ouverts.
    L’Autorité de la concurrence pointe ensuite tour à tour les avantages ainsi que les risques concurrentiels octroyés par l’IA. S’agissant des avantages, les grandes entreprises du numérique, qui intègrent les outils d’IA générative à leurs produits et services, ont un accès privilégié à la puissance de calcul facilitant ainsi l’entraînement et le développement de modèles de fondation. Elles ont également accès à un large volume de données. De plus, elles tirent profit de leur intégration verticale et conglomérale car celle-ci leur assure une amélioration de leur performance, leur permettant ainsi de se distinguer nettement de leurs concurrents. Pour autant, les principaux risques identifiés incluent les abus dans la fixation des prix ou la restriction de la production, l’intensification des pratiques de verrouillage financier et technique, les pratiques discriminatoires concernant l’accès aux données, l’exclusion de concurrents par le recrutement massif d’employés stratégiques, et la restriction de l’accès aux ressources nécessaires à l’élaboration de modèles pertinents en raison de la présence d’entreprises sur plusieurs marchés distincts (Autorité de la concurrence, avis 24-A-05 du 28 juin 2024)

 

© Lefebvre Dalloz