Menu
11 février 2025

Newsletter Février 2025

INTELLIGENCE ARTIFICIELLE

➡️Application de l’IA ACT : Acte I : Interdiction des IA à risque inacceptable & formation à la maîtrise de l’IA

L’Artificial Intelligence Act constitue la première réglementation mondiale adoptant une approche fondée sur le risque.

Entré en vigueur le 1er août 2024, ce règlement instaure un cadre législatif structurant, dont l’application se déploie progressivement sur deux ans.

🔒 Interdiction des IA à risque inacceptable :

Le 2 février 2025 marque la première étape de cette mise en application, visant à interdire l’utilisation des IA à risque inacceptable et à imposer la formation des collaborateurs à leur maîtrise.

Un système d’IA est considéré comme présentant un risque inacceptable lorsque son utilisation est contraire aux valeurs fondamentales de l’UE et aux droits fondamentaux. Les systèmes d’IA à risque inacceptable incluent notamment :

  • La manipulation inconsciente

  • L’exploitation des vulnérabilités

  • La notation sociale

  • La catégorisation biométrique

Le principal risque de ces systèmes réside dans leur capacité à identifier ou déduire les émotions et intentions des individus à partir de leurs données biométriques, pouvant mener à des résultats discriminatoires. Ainsi, l’interdiction vise à préserver la vie privée, la dignité humaine et les libertés fondamentales face à ces systèmes intrusifs.

Les entités, publiques ou privées, ne respectant pas ces interdictions s’exposent à des sanctions sévères pouvant atteindre 35 millions d’euros ou 7% de leur chiffre d’affaires annuel mondial. Toutefois, ces sanctions ne seront effectives qu’à partir du 2 août 2025.

📈 L’obligation de formation :

Depuis le 2 février 2025, l’article 4 de l’AI Act impose aux fournisseurs et déployeurs de systèmes d’IA de former leurs équipes sur le déploiement et l’utilisation responsable de l’intelligence artificielle.

🔍 Que dit l’Article 4 ?

« Les fournisseurs et les utilisateurs de systèmes d’IA prennent des mesures pour assurer, dans la mesure du possible, un niveau suffisant de connaissances en matière d’IA à leur personnel et aux autres personnes chargées du fonctionnement et de l’utilisation des systèmes d’IA en leur nom, en tenant compte de leurs connaissances techniques, de leur expérience, de leur éducation et de leur formation, du contexte dans lequel les systèmes d’IA doivent être utilisés et des personnes ou groupes de personnes sur lesquels les systèmes d’IA doivent être utilisés. »

📅 Concrètement, les entreprises doivent :

S’assurer du respect du cadre réglementaire, tout en stimulant l’innovation.

Évaluer les compétences actuelles des employés impliqués dans l’exploitation ou l’utilisation de l’IA. Mettre en place des formations adaptées pour garantir une utilisation efficace et éthique des technologies IA.

Cette obligation s’inscrit dans une approche globale de l’AI Act, complétant l’interdiction des IA à risque inacceptable. Dès août prochain, le cadre réglementaire s’étendra aux systèmes classés « à haut risque ».

🚀 Un enjeu clé pour les entreprises : au-delà de la conformité, former ses équipes permet d’adopter une IA transparente, maîtrisée et alignée avec les principes éthiques et juridiques.

Parole d’experte FIRSH : FIRSH, qui utilise déjà pour ses propres besoins des outils IA de productivité et des IA juridiques, propose un service complet aux directions juridiques et aux entreprises afin d’implémenter des outils d’IA « étagère » ou «créés sur mesure » avec des prestataires techniques en conformité avec la règlementation en vigueur.


FIRSH dispense également des formations à l’ensemble des collaborateurs pour rappeler les bons usages de l’entreprise, sensibiliser sur la PI et la confidentialité des données (cf infra)


N’hésitez pas à passer à la vitesse supérieure de l’IA pour gagner en productivité de vos équipes et à vous concentrer ainsi sur les tâches à plus haute valeur ajoutée.

En savoir plus 👉

https://www.linkedin.com/posts/claire-poirson_pi-activity-7290409323363487744-bWFn?utm_source=share&utm_medium=member_desktop et

https://www.linkedin.com/feed/update/urn:li:activity:7292231327251062785/

DONNEES PERSONNELLES

➡️La CNIL dévoile son plan stratégique 2025-2028 : 4 axes clés pour une société numérique sécurisée

Pour les quatre prochaines années, la CNIL structurera son action autour de quatre axes majeurs, répondant aux défis croissants de la protection des données dans une société de plus en plus numérique. Ce programme ambitieux prévoit des contrôles accrus, une coordination avec d’autres régulateurs et une approche proactive face aux nouvelles menaces.

1️⃣Intelligence artificielle

Face aux risques liés à l’IA générative (deepfakes, désinformation, atteintes à la vie privée), la CNIL clarifiera le cadre légal, développera ses capacités d’audit et continuera à sensibiliser professionnels et grand public aux enjeux de conformité.

Des contrôles coordonnés avec d’autres régulateurs sont également prévus.

2️⃣ Protection des mineurs en ligne

L’attention se portera sur les plateformes utilisées par les jeunes (réseaux sociaux, applications éducatives, jeux vidéo) avec une vigilance particulière sur les pratiques publicitaires et le respect des règles de consentement.

Cet objectif de lutte contre le cyberharcèlement, l’exposition à des contenus inappropriés et la collecte abusive de données personnelles des jeunes, vise à garantir un environnement numérique plus sûr pour les enfants et adolescents.

3️⃣ Cybersécurité

Face à la multiplication des cyberattaques, la CNIL s’assurera que les organismes adoptent des mesures de protection robustes et augmentera ses contrôles après des violations de données pour vérifier la mise en œuvre de correctifs efficaces.

Une coordination répressive renforcée avec d’autres autorités compétentes est également au programme.

4️⃣ Applications mobiles et identité numérique

La CNIL poursuivra le contrôle des applications mobiles, en actualisant ses recommandations et en veillant à leur conformité.

Elle accompagnera également le développement de services d’identité numérique respectueux de la vie privée, en coopération avec les autorités de contrôle réglementaires et les instances européennes, notamment dans le cadre du portefeuille d’identité numérique européen (règlement eIDAS).

En savoir plus👉 https://www.cnil.fr/sites/cnil/files/2025-01/plan_strategique_cnil_2025-2028.pdf

➡️Cybersécurité & Finance : l’UE muscle le jeu avec DORA

En 2021, 28 % des PME européennes ont été victimes d’une cyberattaque, un chiffre encore plus alarmant dans certains pays comme la Grèce (41 %) et le Portugal (48 %) (source : Eurobaromètre).

Ces attaques ne se limitent pas aux petites structures : depuis 2014, de grands établissements financiers ont subi des cyberattaques aux conséquences lourdes, impactant leur image, la confiance du public et parfois même leur activité.

Face à ces menaces croissantes, l’Union Européenne a adopté DORA (Digital Operational Resilience Act), un règlement visant à renforcer la cybersécurité et la résilience des services financiers.

Adopté en novembre 2022, ce texte impose aux entreprises du secteur de renforcer leur résilience numérique en :

Évaluant leur niveau de préparation face aux cyberattaques et aux pannes informatiques

Identifiant les risques et les niveaux de perturbation acceptables pour les utilisateurs

Mettant en place des tests d’intrusion, des plans de sauvegarde et de restauration

Assurant une reprise rapide des systèmes après un incident pour limiter l’impact

Analysant chaque incident et en mettant en place des actions correctives

Notifiant les autorités compétentes selon des modèles de reporting standardisés

🔍 Qui est concerné par DORA ?

Ce règlement s’applique à un large éventail d’acteurs du secteur financier, notamment :

Banques et sociétés de crédit

Établissements de paiement

Sociétés d’investissement

Prestataires de services liés aux crypto-actifs

Compagnies d’assurance

Fournisseurs tiers de services informatiques critiques

💰 Les sanctions en cas de non-conformité :

DORA laisse aux États membres et aux autorités compétentes le soin de déterminer les sanctions applicables. Ces mesures peuvent inclure des sanctions financières, des injonctions de mise en conformité, voire des restrictions d’activité pour les entités financières ne respectant pas leurs obligations (article 50.4 c).

📜 Les fournisseurs tiers jouant un rôle clé dans la sécurité numérique des services financiers sont également dans le viseur de DORA. L’article 30 de DORA instaure un cadre de surveillance spécifique pour les prestataires de services informatiques critiques (cloud, services d’hébergement, gestion des réseaux, etc.). Ces acteurs doivent se conformer à des exigences strictes en matière de gestion des risques, de sécurité et de transparence.

Les entreprises devront également cartographier leurs prestataires tiers et intégrer des clauses contractuelles assurant leur conformité à DORA, afin d’anticiper d’éventuels contrôles des autorités.

Les autorités compétentes pourront exiger des rapports détaillés sur leur résilience opérationnelle, réaliser des contrôles sur pièces ou sur place, restreindre certaines prestations en cas de manquement avéré et même imposer des mesures correctives en cas de manquement. Ces sanctions peuvent aller jusqu’à des astreintes journalières représentant 1 % du chiffre d’affaires mondial, sur une période maximale de six mois (article 35).

📅 Depuis le 17 janvier 2025, DORA est en application dans tous les États membres de l’UE.

Parole d’experte FIRSH : La réglementation se complexifie. Afin de conduire un projet de mise en conformité des contrats de prestations informatiques au règlement DORA, il est important notamment de recenser les prestataires concernés, de déterminer les modalités d’évaluation des risques liés aux prestations fournies et de rédiger les clauses contractuelles adéquates.

Pour être conforme aux réglementations Nis1 /Nis2 / DORA, mais pas seulement, pour assurer la pérennité de l’activité liée au risque cyber qui s’accroit avec l’IA : à vous de jouer.

En savoir plus👉 https://www.linkedin.com/feed/update/urn:li:activity:7293561649658032129

➡️RGPD et Transport Ferroviaire : Une collecte de données non nécessaire ?

La CJUE rappelle un principe fondamental du RGPD : une entreprise ne peut collecter que les informations strictement nécessaires à la finalité du traitement.

Cette décision de la CJUE souligne l’importance du principe de minimisation des données inscrit dans le RGPD : une entreprise ne peut collecter que les informations strictement nécessaires à la finalité du traitement.

En l’espèce, la mention de la civilité, qui implique une identité de genre présumée, ne constitue pas une donnée indispensable à l’achat d’un billet de train.

Les entreprises doivent donc justifier la nécessité de chaque donnée collectée sous peine de sanction, en veillant à ce que leur traitement soit conforme aux exigences du RGPD. La CJUE rappelle également que les pratiques commerciales doivent évoluer vers plus d’inclusivité, notamment en optant pour des alternatives moins intrusives, comme l’utilisation de formules de politesse neutres.

Au-delà du secteur ferroviaire, cette décision pourrait faire jurisprudence pour d’autres domaines où la collecte de la civilité est imposée sans réelle justification. Elle renforce ainsi la protection des droits fondamentaux des individus face aux traitements de données potentiellement discriminatoires, et incite les entreprises à adopter des politiques plus respectueuses de la vie privée.

🔍 Que faut-il retenir ?

La CJUE considère que l’obligation imposée par SNCF Connect de renseigner sa civilité (« Monsieur » ou « Madame ») lors de l’achat d’un billet de train en ligne viole le principe de minimisation des données du RGPD.

Comment appliquer cette décision ?

Si vous collectez la civilité de vos clients, que ce soit dans le cadre d’une vente en ligne ou d’une prospection commerciale par mail, posez-vous les bonnes questions :

  • Cette information est-elle réellement indispensable ?

  • Existe-t-il une alternative moins intrusive ? Plutôt que d’imposer un choix binaire, privilégiez des formules de politesse inclusives et neutres, adaptées à tous vos clients.

Parole d’experte FIRSH : Firsh vous accompagne dans la mise en conformité de votre activité à la réglementation sur les données personnelles de façon opérationnelle et pragmatique. La documentation que Firsh a conçue est simple, claire, pratique facilement utilisable et FIRSH reste en « hotline » pour assurer l’implémentation et les éventuelles mises à jour.

Lire la décision👉 CJUE, 9 janvier 2025, C-394/23

➡️Netflix sanctionné d’une amende de 4 750 000 € pour manquement à son obligation d’information et au droit d’accès

L’Autorité néerlandaise de protection des données (Autoriteit Persoonsgegevens – AP) a infligé une sanction de 4,75 millions d’euros à Netflix pour ne pas avoir respecté son obligation d’information et le droit d’accès des utilisateurs, à la suite de plaintes déposées par NOYB.

En s’appuyant sur les lignes directrices du Comité Européen de la Protection des Données (CEPD), l’AP a rappelé que le RGPD impose aux responsables de traitement de fournir une information claire, complète et accessible à l’ensemble des personnes concernées.

⚖️ Manquements relevés :

  • Destinataires des données : Netflix aurait dû mentionner les noms précis des entités recevant les données publicitaires, et non seulement leurs catégories. Depuis, Netflix a corrigé ce point en ajoutant un lien vers une liste détaillée.

  • Finalités et données traitées : Netflix n’a pas indiqué de manière suffisamment claire quelles données étaient utilisées pour la personnalisation des contenus, l’analyse des groupes cibles et la prévention de la fraude. L’AP insiste sur la nécessité de lier explicitement chaque donnée à sa finalité.

  • Durées de conservation : La plateforme indiquait une durée vague (“comme l’exige ou le permet la loi”), alors qu’elle disposait d’informations plus précises qu’elle aurait dû inclure dans sa politique de confidentialité.

  • Transferts hors EEE : Netflix n’a pas précisé les pays de destination des données transférées ni les garanties applicables, ni mentionné les droits des utilisateurs en cas de transfert en dehors de l’Espace Économique Européen.

💡Implications juridiques :

À la lumière du RGPD, cette décision renforce l’obligation de transparence des grandes plateformes numériques. Elle rappelle que toute information relative au traitement des données personnelles doit être communiquée de manière claire, précise et accessible, garantissant ainsi le plein exercice des droits des personnes concernées. Netflix se voit ainsi contraint d’adopter des pratiques de communication exemplaires pour éviter toute violation des droits des utilisateurs, confirmant que le respect du RGPD est non négociable pour les acteurs du numérique.

Parole d’experte FIRSH : Firsh vous accompagne dans la mise en conformité de votre activité à la réglementation sur les données personnelles de façon opérationnelle et pragmatique. La documentation que Firsh a conçue est simple, claire, pratique facilement utilisable et FIRSH reste en « hotline » pour assurer l’implémentation et les éventuelles mises à jour.

Lire le jugement en entier👉 https://www.autoriteitpersoonsgegevens.nl/actueel/boete-netflix-voor-niet-goed-informeren-klanten

PROPRIETE INTELLECTUELLE

➡️ Marque :

Le 21 octobre 2024, l’INPI a déclaré irrecevable la demande en déchéance pour défaut d’usage sérieux de la marque LADY CONCEPT, formée par un ancien franchisé. Cette demande a été jugée constitutive d’un abus de droit, relevant davantage d’une volonté de nuire que d’un véritable contentieux sur l’usage de la marque.

🔍 Que faut-il retenir?

Bien que l’intérêt à agir n’est pas requis pour une action en déchéance devant l’INPI, cela n’exclut pas la possibilité d’un abus de droit.

Une action en déchéance peut être détournée de son objectif légitime si elle est initiée dans un but malveillant.

En l’espèce, le demandeur, ancien franchisé, avait lui-même exploité la marque durant les cinq années précédant la demande, démontrant ainsi qu’il ne s’agissait pas d’un véritable défaut d’usage.

⚖️ Enjeux juridiques :

Cette décision marque une avancée dans la lutte contre les contentieux abusifs en matière de marques, en encadrant strictement l’usage des actions en déchéance. L’INPI affirme ainsi sa capacité à écarter une demande manifestement abusive, empêchant qu’elle ne soit détournée en arme de représailles contractuelles. Elle rappelle également que le droit d’agir en déchéance n’est pas absolu : un franchisé ne peut remettre en cause une marque qu’il a lui-même exploitée dans une démarche opportuniste ou malveillante.

Cette jurisprudence offre donc aux titulaires de marques un levier pour se prémunir contre des attaques infondées visant à affaiblir leurs droits après un litige commercial.

Parole d’experte FIRSH : La marque est un actif immatériel de valorisation essentielle de l’entreprise. Firsh vous accompagne dans le cadre de vos contentieux administratifs devant les offices de marques et judiciaires en matière de marques, pour assurer la défense de vos droits et créer cet actif de valorisation.

Lire le jugement en entier👉 Requête en déchéance totale n° 0903217 du 29/11/2023 : BOPI 2024-01 du 05/01/2024

➡️Droit d’auteur : La CJUE met fin à la règle de réciprocité en droit d’auteur pour les œuvres d’arts appliqués

Knud Bugge BV et Vitra Collections AG, titulaires des droits d’auteur sur un modèle de mobilier conçu par un créateur danois, reprochent à Kwantum Nederland BV, une enseigne néerlandaise, d’avoir commercialisé une copie de ce design.

L’œuvre en cause, un meuble au design original, est protégée par le droit d’auteur dans l’Union. Cependant, Kwantum invoque l’article 2, § 7 de la Convention de Berne pour contester la protection, en raison de l’origine de l’œuvre dans un pays tiers à l’EEE.

La question posée à la CJUE était de savoir si un État membre pouvait refuser la protection d’un droit d’auteur sur cette base.

⚖️ Enjeux juridiques :

La directive 2001/29 et la Charte des droits fondamentaux de l’UE empêchent les États membres d’appliquer une protection matérielle conditionnée à la réciprocité.

Cette décision s’inscrit dans la continuité de l’arrêt RAAP c. PPI (CJUE, 8 sept. 2020) sur la non-discrimination en matière de droit d’auteur.

Elle a un impact direct sur l’harmonisation européenne du droit d’auteur et la reconnaissance des droits des auteurs étrangers.

Les États membres ne peuvent plus limiter la protection du droit d’auteur des œuvres d’arts appliqués en fonction du pays d’origine de l’œuvre. Cette décision favorise une application plus uniforme des droits d’auteur en Europe et renforce la primauté du droit de l’Union sur les engagements internationaux des États membres.

🔍 Que faut-il retenir ?

La CJUE neutralise la règle de réciprocité prévue par l’article 2, § 7 de la Convention de Berne pour les œuvres d’arts appliqués provenant d’un pays tiers à l’EEE, lorsque leur auteur est ressortissant d’un pays lié à l’Union européenne.

Parole d’experte FIRSH : L’Europe protège ses créateurs !

Lire le jugement en entier👉 CJUE, 24 oct. 2024, aff. C-227/23, Kwantum Nederland BV c/ Knud Bugge BV/ Vitra Collections AG

ACTUALITES « FIRSH »

Retrouvez les interventions et contributions de Firsh pour faire avancer le droit et l’innovation :

➡️ Prise de parole dans les médias Claire Poirson est intervenue à la matinale de TF1 sur l’aspect juridique des escroqueries en ligne
https://www.tf1.fr/tf1/bonjour-la-matinale-tf1/videos/bonjour-la-matinale-de-tf1-du-5-fevrier-2025-41800583.html

➡️ Dans le cadre de son laboratoire d’innovation, FIRSH a publié son premier Livre Blanc ! et signe le lancement officiel de FIRSH LAB qui publie sa première étude en choisissant pour objet de travail un sujet de société aux multiples enjeux : les deepfakes (hypertrucages générés par l’intelligence artificielle). Ce Livre Blanc, après une étude documentée sur les aspects techniques et une réflexion juridique des textes légaux en présence, de la doctrine et des décisions de justice, donne des recommandations juridiques et pratiques : aux pouvoirs publics, aux entreprises ainsi qu’aux personnes physiques. Ce Livre Blanc représente donc + de 6 mois de travail, de recherches, d’analyses juridiques, de rédactions, de corrections, de réflexion, d’interviews riches avec des experts français et étrangers de l’intelligence artificielle, des experts tant techniques que juridiques pour appréhender un sujet majeur de société aux multiples enjeux et apporter des solutions concrètes à chacun des acteurs de la société, de l’école, aux pouvoirs publics.

N’hésitez pas à nous contacter sur le mail suivant pour recevoir un exemplaire du Livre Blanc 👉 contact@FIRSH.LAW

➡️ En janvier, Firsh a notamment assisté ses clients sur les projets suivants :

  • Implémentation d’outils IA juridique au sein d’une société de production audiovisuelle

  • Analyse des droits de propriété intellectuelle d’un cabinet d’architecte intérieur dans le cadre de la reproduction de leurs créations pour deux hôtels et 3 restaurants

  • Négociation d’un protocole transactionnel mettant fin à des usages contrefaisants d’une marque

🔔 Formation à venir, inscrivez vous :

Le droit de l’Intelligence artificielle

Mardi 18 mars, de 9h à 12h :Claire Poirson forme les avocats sur le droit de l’intelligence artificuelle

250€ HT – ️ Nouvelle formation  Les détails de ce module ici sont ici

📢 Pour nous suivre sur LinkedIn et recevoir notre lettre d’information, c’est ici : https://www.linkedin.com/company/firshlaw/.

📢 Il n’y a pas de collecte directe de vos données personnelles et donc pas d’emailing de la part de Firsh !

Nos Actualités
6 septembre 2024
FIRSH rejoint le Mouvement Impact France
Lire la suite
4 juillet 2024
Newsletter ESTIVALE
Lire la suite
27 juin 2024
PORTRAIT DANS LE BULLETIN DU BARREAU DE PARIS
Lire la suite
Toutes les actualités