Panorama rapide de l’actualité « Technologies de l’information » de la semaine du 8 janvier 2024

Sélection de l’actualité « Technologies de l’information » de la semaine du 8 janvier 2024.

Les données

Un pas supplémentaire vers l’accessibilité des données : le Data Act en entrée en vigueur le 11 janvier 2024

  • Le Data Act (ou règlement européen sur les données) est entré en vigueur ce jeudi 11 janvier 2024. Il complète la loi européenne sur la gouvernance des données entrée en vigueur en septembre 2023 et met en place de nouvelles règles qui permettront aux utilisateurs de produits connectés d’accéder aux données générées par ces dispositifs et de partager ces données avec des tiers.
    Parmi ces mesures, le Data Act prévoit que les organismes du secteur public seront dorénavant en mesure d’accéder aux données détenues par le secteur privé et pourront les utiliser pour faire face à certaines urgences publiques, telles que les inondations et les incendies de forêt. Il instaure également une protection des entreprises européennes contre les clauses abusives imposées par une partie se trouvant dans une position de négociation plus forte, afin de faciliter la participation des petites et moyennes entreprises au marché des données.
    Les nouvelles règles issues du Data Act permettront en outre aux utilisateurs d’alterner plus facilement (et à terme gratuitement) entre les différents fournisseurs de services informatiques en nuage (« cloud »). Ces mesures favoriseront la concurrence sur le marché tout en évitant la captivité des utilisateurs par certains fournisseurs, notamment car elles permettront de réduire considérablement les coûts aujourd’hui supportés par les entreprises et les administrations.
    Enfin, le Data Act introduit des mesures visant à réduire les transferts illicites de données ainsi qu’à promouvoir l’élaboration de normes d’interopérabilité pour faciliter le partage et le traitement des données, conformément à la stratégie de normalisation de l’Union européenne.
    L’entrée en application du Data Act est fixée au 11 septembre 2025.

Réalisation d’un guide pour accompagner les organismes dans l’évaluation des risques pesant sur les transferts de données personnelles hors Europe : la CNIL ouvre une consultation publique

  • Le transfert de données à caractère personnel dans un pays situé en dehors de l’espace économique européen (EEE) doit être fondé sur une décision d’adéquation (article 45 du RGPD) ou être encadré par l’un des outils de transfert prévus par le texte (article 46 du RGPD), sauf dérogations (article 49 du RGPD).
    Si le transfert s’appuie sur l’une des garanties prévues à l’article 46 du RGPD, alors il appartient à l’exportateur d’évaluer le niveau de protection offert par la législation et les pratiques locales afin de déterminer si le pays destinataire offre un niveau de protection suffisant.
    Pour accompagner les organismes dans ce processus, la CNIL a décidé de lancer une consultation publique jusqu’au 12 février 2024 sur un projet de guide pour conduire cette analyse d’impact.
    La méthodologie proposée identifie les différents éléments à prendre en compte dans l’analyse et donne des indications sur la manière dont l’analyse peut être menée en suivant les six étapes établies dans les recommandations du Comité Européen de la Protection des Données (CEPD) :
    1. Connaître son transfert
    2. Recenser l’instrument de transfert utilisé
    3. Évaluer la législation et les pratiques du pays de destination des données et l’efficacité de l’outil de transfert
    4. Identifier et adopter des mesures supplémentaires
    5. Mettre en œuvre les mesures supplémentaires et les étapes procédurales nécessaires
    6. Réévaluer à intervalles appropriés le niveau de protection et suivre les développements potentiels qui pourraient l’affecter
    À l’issue de la consultation publique, les contributions seront analysées pour permettre la publication du guide définitif, sur le site web de la CNIL, courant 2024.

L’intelligence artificielle : une nouvelle étape dans l’élaboration de la Convention internationale sur l’IA

  • Le Conseil de l’Europe publie une nouvelle version de son projet de Convention internationale sur l’IA afin de garantir que son développement demeure compatible avec le respect des droits de l’Homme, le fonctionnement de la démocratie et le respect de l’État de droit.
    Lors de sa 4e réunion plénière, le Comité sur l’intelligence artificielle s’était rassemblé autour d’un projet de « Convention sur l’intelligence artificielle, les droits de l’Homme, la démocratie et l’État de droit ». En décembre 2023, le Comité a abouti à une nouvelle version de la Convention-cadre, rendant compte des résultats de la 2e lecture du projet qui sera examinée lors de la prochaine réunion plénière qui doit se tenir du 23 au 26 janvier.
    À la différence de l’« AI Act » de l’Union européenne, dont l’objectif affiché est la protection du consommateur, cette convention s’inscrit plus généralement dans une logique de protection des droits fondamentaux.
    Le texte du Conseil de l’Europe vient donc poser certains principes afin de garantir que la conception et le développement de l’intelligence artificielle soient pleinement compatibles avec le respect des droits de l’Homme, le fonctionnement de la démocratie et le respect de l’État de droit.
    Pour ce faire, le projet de texte liste une série de principes à respecter : la dignité humaine, la transparence, l’obligation de rendre des comptes, l’égalité et la non-discrimination, le respect de la vie privée et des données à caractère personnel, la préservation de la santé (et de l’environnement), la fiabilité et la confiance et enfin le principe d’innovation « sûre » visant à favoriser l’innovation tout en préservant les droits de l’Homme.
    Le texte se dote également de dispositions garantissant l’existence de recours effectifs en cas de violation des droits de l’Homme et des libertés fondamentales résultant de l’utilisation de systèmes d’intelligence artificielle, ainsi que de garanties procédurales.
    Il s’agit du premier traité international juridiquement contraignant sur le développement, la conception et l’application des systèmes d’IA. Cette nouvelle version du texte servira de base pour une troisième et dernière lecture du Comité, prévue lors d’une prochaine réunion plénière en janvier.

Plateforme : services d’intermédiation en ligne des obligations de publicité et de transparence, mais pas d’obligations générales et abstraites

  • Un État membre ne peut pas imposer aux services d’intermédiation en ligne actifs sur son territoire (tels que Google, Airbnb et Amazon) des obligations générales et abstraites d’information et de transparence, ces derniers étant soumis à la loi de l’État membre dans lequel ils sont établis.
    En Italie, les prestataires de services d’intermédiation et de moteurs de recherches en ligne tels que Google, Airbnb et Amazon, sont inscrits sur un registre, contraints de verser une contribution financière, et soumis à des obligations d’information et de transparence auprès de l’autorité de régulation italienne AGCOM.
    Soutenant que ces obligations sont contraires au règlement de l’Union sur l’équité et la transparence et au principe du pays d’origine établi par la directive sur le commerce électronique (principe selon lequel les services de la société de l’information sont en principe soumis à la loi de l’État membre d’établissement du prestataire, en l’occurrence l’Irlande et le Luxembourg), ces prestataires ont saisi les juridictions italiennes. Le juge italien a donc décidé de soumettre ces questions à la Cour de justice de l’Union européenne.
    Selon l’avocat général Maciej Szpunar, la directive sur le commerce électronique s’oppose effectivement à l’application de ces obligations à caractère général et abstrait à un prestataire de services en ligne établi dans un autre État membre : le principe du pays d’origine doit s’appliquer.
    Il rappelle également que l’objectif du règlement est de contribuer au bon fonctionnement du marché intérieur par la mise en place d’un environnement pour l’activité économique en ligne qui soit équitable, prévisible, durable, et qui inspire confiance, et que la loi italienne ne peut pas être considérée comme une mise en œuvre des règlements de l’UE (les règlements étant d’application directe). Un État membre ne peut donc pas recueillir davantage d’informations que celles pertinentes au regard des obligations qui lui sont imposées par ce règlement.
    La Cour de justice rendra sa décision finale dans les prochains mois. (CJUE, 11 janv. 2024, n° 5/2024 : conclusions de l’avocat général dans les affaires jointes C-662/22, C-663/22, C664/22, C-665/22, C-666/22, C-667/22 - Airbnb Ireland)

 

© Lefebvre Dalloz