Panorama rapide de l’actualité « Technologies de l’information » de la semaine du 5 février 2024

Sélection de l’actualité « Technologies de l’information » marquante de la semaine du 5 février.

Données personnelles

Transfert de données fiscales vers les États-Unis avec ou sans décision d’adéquation de la Commission européenne : conformité au RGPD

  • L’association des Américains accidentels (AAA) a saisi le Conseil d’État aux fins de voir annuler la décision par laquelle la CNIL a clôturé sa plainte tendant à la suspension des transferts automatiques de données fiscales opérées entre la France et les États-Unis.
    L’association fait valoir que le transfert des données personnelles aux autorités américaines mis en œuvre dans le cadre de l’accord « A » contreviendrait à l’exigence de minimisation des données qui résulte de l’article 5 du RGPD dès lors que d’une part, ces données ne seraient peu ou pas exploitées par ces autorités en raison du manque de ressources disponibles pour y procéder et d’autre part, qu’il existerait un manque de réciprocité entre les autorités américaines et européennes quant à la transmission de ces données.
    Par ailleurs, l’association soutient que l’absence de limite temporelle fixée à la conservation des données méconnaîtrait l’exigence selon laquelle les atteintes portées au droit à la protection des données personnelles doivent être limitées et proportionnées. L’association soutient également que l’accord « A » méconnaîtrait l’article 46 du RGPD prévoyant que le transfert vers un pays tiers de données à caractère personnel ne peut avoir lieu que si ce pays tiers assure un niveau de protection adéquat.
    Toutefois le Conseil d’État estime que même en l’absence de décision d’adéquation de la Commission européenne prise sur le fondement de l’article 45 du RGPD un transfert de données à caractère personnel reste possible, dans les situations particulières mentionnées à l’article 49 du RGPD, notamment pour des motifs importants d’intérêt public.
    Il décide que l’association requérante n’est pas fondée à demander l’annulation de la décision rendue par la CNIL, celle-ci ayant suffisamment motivé sa décision. Elle rejette ainsi la demande de l’association des Américains accidentels. (CE, 30 janv. 2024, n° 466115 C)

Fichier automatisé des empreintes digitales (Faed): le ministère de l’Intérieur se met en conformité avec le RGPD

  • Par une décision du 24 septembre 2021, la CNIL avait enjoint au ministère de l’Intérieur de se mettre en conformité dans le cadre du traitement des données qu’il est amené à recueillir et conserver. Il avait notamment été enjoint au ministère de l’Intérieur de veiller à l’effacement des données à caractère personnel, de ne conserver que des données sous une forme permettant l’identification des personnes concernées uniquement pendant la durée nécessaire au regard des finalités poursuivies pour lesquelles elles sont traitées. Il lui avait également été demandé de s’assurer que l’ensemble des décisions juridictionnelles définitives soient répercutées dans le Fichier Automatisé des Empreintes Digitales. Ces injonctions étaient assorties d’un délai de mise en conformité expirant le 31 octobre 2022.
    Le 18 février 2022, le ministère de l’Intérieur a adressé au président de la formation restreinte de la CNIL des éléments en vue de justifier sa mise en conformité. La CNIL a relevé que le ministère de l’Intérieur a mis en place un apurement semi-automatisé hebdomadaire des données dont la date de conservation est dépassée et que ce délai court désormais à compter de l’établissement de chaque fiche de signalisation. Par ailleurs, le ministère de l’Intérieur indique que l’ensemble des signalisations dont la date d’expiration est dépassée seront supprimées à partir de la fin du troisième trimestre 2023.
    La CNIL considère que ces mesures permettent de s’assurer que les données à caractère personnel sont conservées uniquement pendant la durée nécessaire au regard des finalités pour lesquelles elles sont traitées. La CNIL estime qu’il ressort des éléments fournis par le ministère de l’Intérieur qu’un nouveau modèle de « fiche navette » a été mis en place permettant au ministère de l’Intérieur d’être correctement informé des décisions prises par les autorités judiciaires afin de les répercuter dans le FAED et que la création d’un réseau de référents dédiés dans les parquets permettront de garantir que les données à caractère personnel qui sont inexactes, incomplètes ou ne sont plus à jour soient effacées ou rectifiées. Ainsi, par une délibération du 8 janvier 2024, la CNIL a décidé de clore la procédure d’injonction. (CNIL, Délib. SAN-2024-001 du 8 janv. 2024)

Intelligence artificielle

Adoption, malgré de forte oppositions, de l’IA Act le 2 février par les États lors de la réunion des représentants permanents auprès de l’Union européenne (Coreper)

  • Le 2 février 2024, le Comité des représentants permanents (Coreper) a approuvé l’IA Act, Ce texte a pour objectif d’encadrer le recours à l’intelligence artificielle sans freiner l’innovation qui en résulte pour autant.
    Le 24 janvier 2024, lorsque le texte a été présenté par la présidence belge du Conseil de l’UE, la plupart des États membres ont émis quelques réserves. En effet, la France, l’Allemagne et l’Italie, demandaient un cadre réglementaire plus souple pour les modèles d’IA puissants, tels que le GPT-4 d’Open AI, qui soutiennent les systèmes d’IA à usage général comme ChatGPT et Bard. Ces trois pays sollicitaient que les règles dans ce domaine se limitent à des codes de conduite afin de ne pas freiner le développement des start-ups européennes prometteuses susceptibles de concurrencer les entreprises américaines dans le domaine de l’IA.
    Toutefois le Parlement européen était unanime sur l’exigence de règles strictes pour ces modèles, estimant qu’il était inacceptable d’exclure de la réglementation les types d’intelligence artificielle les plus puissants tout en laissant peser toute la charge réglementaire sur des acteurs plus modestes.
    Les commissions du Marché intérieur (IMCO) et des Libertés civiles (LIBE) du Parlement européen adopteront l’IA Act le 13 février 2024. Un vote en séance plénière provisoirement prévu pour les 10 et 11 avril 2024 suivra. L’adoption formelle du texte de loi sera ensuite achevée par une approbation au niveau ministériel. L’IA Act, entrera en vigueur 20 jours après sa publication au Journal officiel de l’UE. En outre, les interdictions relatives aux pratiques prohibées commenceront à s’appliquer après six mois, tandis que les obligations relatives aux modèles d’IA entreront en vigueur après un an.

Appels automatisés générés par l’IA jugés illégaux par la Commission fédérale américaine des communications (FCC)

  • La Commission fédérale américaine des communications (FCC) souhaite rendre illégaux les appels automatisés générés par l’IA.
    Les cas inquiétants d’usages de clonage de la voix se multiplient dans la sphère privée (escroquerie), politique (fausse communication), artistique…
    Dans ce contexte, la présidente de la Commission fédérale des communications (FCC) a proposé que les appels effectués à l’aide de voix générées par l’intelligence artificielle soient désormais considérés comme des « voix artificielles » au sens de la loi sur la protection des consommateurs par téléphone (« Telephone Consumer Protection Act » ou TCPA). Une telle mesure rendrait illégale la technologie de clonage de voix utilisée dans les escroqueries courantes par appels automatisés ciblant les consommateurs.
    En franchissant une telle étape, la FCC fournirait un nouvel instrument légal aux procureurs généraux de l’État leur permettant de sanctionner et de tenir légalement responsables les acteurs à l’origine de ces pratiques. En novembre, la FCC avait lancé un Avis d’enquête afin de constituer un dossier sur la manière dont l’agence peut lutter contre les appels illégaux. Elle a fait part de plusieurs interrogations notamment concernant l’hypothèse où l’IA est utilisée pour des escroqueries résultant d’appels indésirables imitant la voix de personnes connues. De plus, elle envisage la possibilité que cette technologie soit soumise à une surveillance en vertu de la TCPA.
    Le Téléphone Consumer Protection Act est la principale loi utilisée par la FCC pour limiter les appels indésirables. Cette loi restreint les appels de télémarketings et l’usage de systèmes de numérotation téléphonique automatique et de messages vocaux artificiels ou préenregistrés. En vertu de cette loi, il est notamment prévu que les télévendeurs doivent obtenir le consentement écrit exprès des consommateurs avant d’effectuer des appels téléphoniques automatisés.
    Ainsi, si la proposition de la FCC est adoptée, les appels vocaux générés par l’IA seront également soumis à ces mêmes normes. (FCC, communiqué du 31 janv. 2024)

Protection des mineurs

Porno : X (ex-Twitter) dans le viseur du CSA belge

  • Le Conseil supérieur de l’audiovisuel (CSA) a publié le 5 février 2024 les premiers résultats d’un monitoring dédié à l’accessibilité aux contenus pornographiques en ligne, notamment pour les mineurs, et plus particulièrement sur la plateforme X (anciennement Twitter), pour laquelle ont été répertoriés près de 5 000 contenus potentiellement problématiques.
    L’étude menée par le CSA, le régulateur du secteur en Belgique francophone, à l’aide de l’intelligence artificielle, visait principalement la plateforme X (ancien Twitter). Depuis l’entrée en vigueur du Digital Services Act, les très grandes plateformes en ligne sont soumises à des obligations spécifiques, notamment en matière de transparence et de modération des contenus, en particulier lorsque ces derniers peuvent porter atteinte au public mineur.
    Ce monitoring s’est étendu sur une période de 4 mois, (du 6 septembre au 11 décembre 2023), durant laquelle près de 5 000 contenus potentiellement problématiques ont été répertoriés. Parmi les contenus traités, 908 d’entre eux contenaient un caractère clairement pornographique.
    La majorité des comptes identifiés durant le monitoring sont des profils exclusivement dédiés à la diffusion de ces contenus, révélant ainsi une véritable activité pornographique sur la plateforme. Par ailleurs, les vidéos sont diffusées autant par des amateurs que des professionnels, qui utilisent la plateforme X comme vitrine pour orienter les utilisateurs vers d’autres sites et services payants (comme Only Fans, par exemple).
    Face à ce flux de contenus illicites, la modération de la plateforme X a été mise en cause, le CSA relevant qu’à peine 10 % d’entre eux sont supprimés par leurs services. Cette quasi-absence de modération avait déjà été dénoncée par les autorités australiennes, qui avaient infligé une sanction de 385 000 dollars à l’encontre de la plateforme pour modération insuffisante, après avoir constaté le licenciement de plus de 1 200 modérateurs.
    L’intelligence artificielle utilisée (l’interface « KIVI ») est au cœur de la stratégie de modération de l’autorité de régulation. Sur le principe de « machine learning », l’interface a pu se perfectionner au fil des analyses, à partir de mots-clés dégagés par le CSA.
    Le taux de détection par ce type d’IA est jugé exceptionnellement haut par le régulateur belge, ce qui permettrait d’identifier et de bloquer des contenus pornographiques avec une marge d’erreur très faible.
    L’objectif serait donc d’étendre l’utilisation de l’intelligence artificielle dans la modération d’autres types de contenus pouvant porter un préjudice grave aux mineurs et à tout public tels que les postes haineux, violents, ou portant atteinte à la dignité des personnes. (CSA Belge, Etude publiée le 5 févr. 2024)

Adoption de la proposition de loi sur le droit à l’image des enfants définitivement

  • Le 6 février 2024, l’Assemblée nationale a adopté la proposition de loi visant à garantir le respect du droit à l’image des enfants. Cette loi introduit la notion de « vie privée » de l’enfant dans la définition de l’autorité parentale du code civil, afin de responsabiliser l’usage du numérique des parents.
    La proposition de loi cible la publication sur les comptes des parents de contenus (photographies ou vidéos) sur leurs enfants (« sharenting » en anglais).
    Cette pratique répandue présente des risques importants d’atteinte à leur vie privée. En effet, les images d’enfants circulant sur internet peuvent être détournées, notamment par des réseaux pédophiles. La durabilité des contenus diffusés sur Internet est également susceptible de porter préjudice à l’enfant sur le long terme.
    Les dispositions du Code civil ont ainsi été modifiées pour insérer la notion de « vie privée » de l’enfant, consacrant l’obligation pour les parents de veiller à son respect, au titre des obligations liées à l’exercice de l’autorité parentale, au même titre que la sécurité ou la santé de leur enfant (article 1er de la Proposition de loi).
    Concernant le « droit à l’image » de l’enfant, ce dernier est exercé en commun par les deux parents, en associant l’enfant « selon son âge et son degré de maturité ». En cas de désaccord, le texte prévoit que le juge aux affaires familiales pourra interdire à l’un d’eux la publication ou la diffusion de tout contenu relatif à l’enfant sans l’autorisation de l’autre parent (articles 2 et 3 de la Proposition de loi).
    Par ailleurs, dans le cas d’atteinte grave à la dignité ou à l’intégrité morale de l’enfant, le texte prévoit la possibilité d’une délégation forcée de l’exercice de son droit à l’image. Dans ce cas, un juge pourra confier son exercice à un tiers (membre de la famille, par exemple) ou aux services de l’aide sociale à l’enfance (article 4 de la Proposition de loi).
    Enfin, un dernier article permet à la Commission nationale de l’informatique et des libertés de saisir le juge des référés pour procéder à l’effacement de données personnelles de l’enfant, en cas d’inexécution ou d’absence de réponse à une telle demande (article 5 de la Proposition de loi). Cette prérogative vient ainsi modifier la loi de 1978 relative à l’informatique, aux droits et aux libertés (art. 21 et 125).
    Bien que la protection des enfants sur internet ait déjà fait l’objet d’une loi en 2020 (L. n° 2020-1266 du 19 oct. 2023) visant à encadrer l’exploitation commerciale de leur image sur les plateformes en ligne, cette nouvelle législation pourrait renforcer la protection des mineurs sur internet. Pour rappel, cette loi ciblait l’activité des influenceurs dont les enfants étaient devenus des atouts pour déclencher des opérations de partenariat.

Blocage des sites pornographiques aux mineurs : rapport du 7 février 2024 du conseiller d’État, Maxime Boutron en faveur de la compétence de l’Arcom

  • Suite aux requêtes formées en février 2022 par deux éditeurs de sites pornographiques, le Conseil d’État doit se prononcer sur la légalité d’un décret du gouvernement encadrant la protection des mineurs. Lors d’une audience publique tenue le 7 février 2024, le Rapporteur public de la juridiction administrative a demandé le rejet des requêtes.
    Le décret n° 2021-1306 du 7 octobre 2021 « relatif aux modalités de mise en œuvre des mesures visant à protéger les mineurs contre l’accès à des sites diffusant un contenu pornographique » dispose que les sites pornographiques doivent filtrer l’accès aux mineurs efficacement. Ce décret précise les conditions d’application du dispositif d’intervention, prévu à l’article 23 de la loi n° 2020-936 (du 30 juillet 2020), à l’égard des services de communication au public en ligne permettant à des mineurs d’avoir accès à leur contenu, en violation de l’article 227-24 du Code pénal.
    En cas de violation de ces dispositions, le CSA peut saisir le président du tribunal judiciaire pour ordonner le blocage de l’accès aux sites en cause par les fournisseurs d’accès ou obtenir l’arrêt du référencement sur les moteurs de recherche. Le décret précise également en son article 3 qu’il sera tenu compte du niveau de fiabilité du procédé technique mis en place par l’éditeur du site afin de vérifier la majorité de ses utilisateurs.
    En février 2022, les éditeurs de sites pornographiques tchèques WebGroup Czech Republic (XVideos) et NKL Associates (Xnxx) ont formé des requêtes auprès du Conseil d’État pour obtenir l’annulation de ce décret. Les éditeurs font valoir que la procédure de blocage des sites ne garantirait pas d’empêcher l’accès des mineurs aux contenus pornographiques. Par ailleurs, le pouvoir réglementaire n’aurait pas « apporté les précisions indispensables pour permettre d’identifier les solutions techniques de vérification de l’âge satisfaisantes ». Enfin, les deux éditeurs de contenus pornographiques invoquent le non-respect de la procédure de notification de la démarche de blocage par le régulateur auprès de la République tchèque et de la Commission européenne, arguant qu’elle relève du droit pénal et n’est donc pas soumise aux règles de la directive e-commerce.
    Lors d’une audience publique tenue le 7 février 2024, le Rapporteur public de la plus haute juridiction administrative s’est largement prononcé pour un rejet des requêtes formulées par les éditeurs tchèques. Le Conseil d’État devra rendre sa décision afin que le tribunal judiciaire de Paris statue sur le fond. Pour rappel, le tribunal judiciaire doit se prononcer sur la demande de blocage des cinq sites pornographiques les plus importants de France, formulée par l’Autorité de régulation de la communication audiovisuelle et numérique. Ces sites sont jugés négligents dans le contrôle de l’accès des mineurs à leurs contenus. Ce recours a donc conduit le tribunal judiciaire à surseoir à statuer, le 7 juillet 2023, dans l’attente de la décision du Conseil d’État sur la légalité du décret du 7 octobre 2021.

DSA (art. 33 § 4) : publication le 5 février 2024 de la mise à jour de la liste des très grandes plateformes et des très grands moteurs de recherche

 

© Lefebvre Dalloz