Menu
4 juillet 2024

Newsletter ESTIVALE

INTELLIGENCE ARTIFICIELLE

Convention-cadre sur l’IA du Conseil de l’Europe : 1er traité international (contraignant) sur l’IA

Cette Convention vise à garantir que les activités menées dans le cadre du cycle de vie des systèmes d’intelligence artificielle sont pleinement compatibles avec les droits humains, la démocratie et l’État de droit, tout en étant propice au progrès et aux innovations technologiques.

En effet, l’IA présente à la fois des opportunités mais aussi des risques :

  • de pratiques discriminatoires, liées notamment au genre ou à l’origine ethnique, dans les processus de sélection ;

  • de remise en cause des processus démocratiques (par exemple, par la diffusion de fausses informations ou de deepfakes) ;

  • d’atteinte à la vie privée et à l’autonomie personnelle ;

  • d’utilisations abusives des systèmes d’intelligence artificielle par certains États à des fins répressives.

La Convention-cadre promeut et encourage l’innovation pour minimiser ces risques et garantir que les développements technologiques dans le domaine de l’intelligence artificielle se fassent de manière responsable et éthique. Elle s’applique à l’utilisation des systèmes d’IA autant par les pouvoirs publics que les acteurs privés.

La Convention impose aux Etats membres des exigences de transparence et de contrôle:

  • Les processus décisionnels et le fonctionnement des modèles d’IA doivent être compréhensibles et accessibles aux acteurs concernés ;

  • Les utilisateurs doivent être informés lorsqu’ils interagissent avec une IA ;

  • Les Etats doivent prendre des mesures pour que les responsables des systèmes d’IA anticipent et atténuent les risques ;

  • Ils doivent évaluer la nécessité de moratoires ou d’interdictions des systèmes qui menacent les droits fondamentaux ;

  • Ils doivent instaurer un organisme indépendant chargé de surveiller l’application de la Convention.

Des exceptions à ces obligations de transparence peuvent s’appliquer dans l’intérêt de l’ordre public, de la sécurité nationale ou dans le cadre d’activités de recherche et de développement.

Enfin, les Etats doivent mettre à la disposition des personnes des voies de recours pour contester les décisions prises par une IA en cas de violation des droits de l’homme.

La convention sera ouverte à la signature des États en septembre 2024, y compris des pays non européens. Le Conseil de l’Europe a précisé que la Convention-cadre sur l’IA était compatible avec le règlement de l’Union Européenne sur l’IA, l’IA Act, adopté en 2024.

Conseil FIRSH : Firsh assiste les entreprises pour faire un audit de leurs systèmes d’IA et anticiper les nouvelles règlementations à venir.

NOUVELLES TECHNOLOGIES

Le Règlement européen sur la résilience opérationnelle numérique (DORA): améliorer la cybersécurité dans le secteur financier

Le règlement européen sur la résilience opérationnelle numérique du secteur financier (Digital Operational Resilience Act ou DORA) établit des règles en matière de cybersécurité et de gestion des risques informatiques pour un grand nombre d’entités financières. Il entrera en application le 17 janvier 2025.

Son périmètre inclut pratiquement toutes les entités du secteur financier (les établissements de crédit, les entreprises d’investissement, les plateformes de négociation, les sociétés de gestion), ainsi que les entreprises tierces leur fournissant des services informatiques sur des fonctions critiques ou importantes.

Le règlement impose les obligations suivantes :

  • Mettre en œuvre un cadre de gestion du risque lié aux technologies de l’information et de la communication (TIC). Ce cadre doit notamment comprendre la mise en place de règles de gouvernance et de contrôle interne, l’élaboration d’une stratégie de résilience opérationnelle numérique et l’instauration d’une politique complète de continuité des activités de TIC ;

  • Notifier aux autorités nationales compétentes (en France : AMF ou ACPR) les incidents identifiés comme majeurs et liés aux TIC ;

  • Effectuer des tests de résilience opérationnelle numérique. Les entités financières identifiées comme systémiques ou au risque élevé lié aux TIC, devront mettre en place des tests de pénétration fondés sur la menace simulant le mode opératoire de véritables attaques cyber ;

  • Gérer le risque lié au recours à des prestataires tiers de services TIC, avec notamment de nouvelles exigences au niveau contractuel. Les entités financières demeurent pleinement responsables du respect des obligations du règlement DORA lorsqu’elles ont recours à ces tiers ;

  • Coopérer entre acteurs du secteur financier dans le partage d’informations opérationnelles relatives aux menaces d’origine cyber et aux vulnérabilités.

Le règlement introduit un principe de proportionnalité, permettant à certaines entités financières (notamment celles de petite taille) de bénéficier d’un régime simplifié, voire d’être exemptées.

Les prestataires tiers de services TIC considérés comme « critiques », c’est-à-dire susceptibles d’avoir un impact systémique sur la stabilité, la continuité ou la qualité de la fourniture de services financiers, se voient imposés un cadre de supervision au niveau européen.

Conseil FIRSH : Firsh assiste les entreprises pour faire un audit de leurs services TIC et les accompagne dans la mise à jour éventuelle de leurs contrats et la rédaction d’un cadre de gestion des risques liés aux TIC.

 

DONNEES PERSONNELLES

Open data: la CNIL publie ses recommandations sur l’ouverture et la réutilisation de données publiées sur Internet

L’objectif de ces recommandations est de concilier l’ouverture et la réutilisation des données publiées sur Internet avec les enjeux de protection de la vie privée.

Ces recommandations sont à destination des “diffuseurs de données ouvertes”, les acteurs (administrations, entreprises, particuliers, etc.) qui mettent à disposition du public des données personnelles en open data, c’est-à-dire dans un format ouvert, aisément réutilisable et exploitable par une machine, et des “réutilisateurs de données” qui souhaitent réutiliser tous types de données personnelles publiées sur Internet pour divers objectifs (recherche scientifique et R&D, prospection commerciale, etc.).

Elle adresse aux deux types d’acteurs les recommandations suivantes :

  • Le questionnement préalable de l’acteur traitant des données personnelles sur sa qualification au sens du Règlement général sur la protection des données (RGPD), de laquelle vont dépendre ses obligations ;

  • L’identification d’une base légale au projet de traitement des données pour s’assurer de sa conformité ;

  • L’information des personnes concernées par le traitement de leurs données et notamment de leur diffusion sur internet ;

  • Le respect des droits des personnes concernées par le traitement ;

  • Le traitement des données doit être adéquat, pertinent et limité à ce qui est nécessaire au regard des finalités poursuivies ;

  • Les données personnelles traitées doivent être exactes et si nécessaire, tenues à jour

La CNIL identifie aussi des recommandations particulières en ce qui concerne certains usages fréquents des données par les réutilisateurs, comme la réutilisation de données aux fins de diffusion d’annuaires de professionnels, aux fins de constitution et d’enrichissement de bases destinées à la prospection commerciale, à des fins de recherche scientifique (hors santé), et l’aspiration de données par des autorités publiques dans le cadre de leurs missions.

Pour plus de précisions : https://www.cnil.fr/fr/ouverture-et-reutilisation-de-donnees-personnelles-sur-internet-la-cnil-publie-ses-recommandations

Conseil FIRSH : Firsh accompagne les entreprises pour interpréter et mettre en pratique les recommandations de la CNIL.

PROPRIETE INTELLECTUELLE

Quels droits d’auteur pour les œuvres générées par l’IA ?

A l’ère de l’IA générative, on peut s’interroger sur les droits dont disposent les auteurs d’œuvres ainsi générées.

Outre Atlantique arrivent les premières affaires de ce genre. En 2024, l’autrice américaine d’un livre écrit à base de textes générés sur ses instructions par ChatGPT, a obtenu que ses droits de copyright soient reconnus par l’Office américain du Copyright (USCO). Toutefois, la protection accordée reste limitée à la « sélection, la coordination et l’arrangement du texte généré par l’IA ». Autrement dit, l’autrice bénéficie d’une protection sur le livre dans son ensemble mais pas sur les phrases prises isolément. En 2023, un cas similaire avait déjà été examiné s’agissant d’une bande dessinée aux illustrations générées par Midjourney sur la base de indications fournies par l’autrice.

En droit français, le Code de la propriété intellectuelle protège l’auteur d’une “œuvre de l’esprit” (art. L111-1). Cette œuvre doit avoir un caractère original, c’est-à-dire qu’elle doit refléter la personnalité de son auteur. L’intervention humaine est donc indispensable. Une œuvre en partie créée à l’aide de l’IA pourrait être protégée par un droit d’auteur si ce dernier est suffisamment intervenu dans les choix créatifs.

Conseil FIRSH : il est vivement recommandé de lire les conditions générales d’utilisation des systèmes IA qui donnent généralement des précisions sur les droits d’auteur. Par exemple, Midjourney se réserve une « licence de droit d’auteur perpétuelle, mondiale, non exclusive » sur les éléments produits par les utilisateurs en utilisant la plateforme. A l’inverse, ChatGPT cède tous les droits de propriété sur les données de sortie aux utilisateurs.

IA et musique : quand les principaux labels de musique américains poursuivent des IA génératives pour violation des droits d’auteur

Les principaux labels de musique américains – Sony, Universal et Warner, représentés par le syndicat Recording Industry Association of America (RIAA), ont porté plainte le 24 juin 2024 par contre Suno et Udio, deux entreprises d’intelligence artificielle (IA) musicale pour “violation de droits d’auteur de leurs artistes et labels”. Les défenderesses auraient entraîné leur modèle l’IA sur des millions de titres d’artistes ayant signé un contrat avec ces labels et n’ayant pas donné leur accord.

La RIAA demande jusqu’à 150 000 dollars par œuvre dont les droits d’auteur ont été violés.

La question qui se pose est donc la suivante : la loi américaine du Fair Use (« utilisation équitable ») autorise-t-elle les services de génération par IA à collecter de larges catalogues musicaux sous copyright ?

Issu de la législation et de la jurisprudence américaine, le Fair use est un ensemble de règles de droits applicable dans les pays ayant adopté le système juridique Common Law. Il constitue un ensemble de limitations et d’exceptions aux utilisations d’œuvres protégées par le Copyright. Le titulaire d’un droit d’auteur ne peut pas empêcher une autre personne d’utiliser l’œuvre si cette utilisation remplit certains critères (caractère commercial de l’utilisation, nature de l’œuvre protégée, caractère important ou non de l’extrait utilisé par rapport à l’œuvre dans son intégralité, et effet de l’utilisation sur le marché potentiel de l’œuvre ou sur sa valeur).

En France, les exceptions aux droits d’auteur sont limitativement énumérées à l’article L.122-5 du Code de propriété intellectuelle.

Conseil FIRSH : il convient de s’assurer que l’exploitation envisagée d’une œuvre initiale par l’intermédiaire d’un système d’IA n’enfreint pas le cadre légal applicable en matière de propriété intellectuelle et entre éventuellement dans l’une des exceptions prévues par la loi.

SECURISER L’ESPACE NUMERIQUE EN FRANCE

Publication de la loi visant à sécuriser et à réguler l’espace numérique (loi SREN)

La loi n° 2024-449 du 21 mai 2024 visant à sécuriser et à réguler l’espace numérique dite loi SREN a été publiée au Journal Officiel le 22 mai.

Elle s’organise autour de trois principaux axes : la protection des mineurs et des citoyens en ligne, la lutte contre la désinformation et les contenus illicites sur internet et le renforcement des pouvoirs de l’Arcom et de la CNIL en application des règlements européens Digital Services Act (DSA) et Digital Markets Act (DMA).

  1. La protection des mineurs et des citoyens en ligne

  • Obligation pour les sites pornographiques de se conformer à un référentiel de l’Arcom fixant les exigences techniques minimum pour les systèmes de vérification d’âge donnant accès à leur contenu. En cas de non-respect, l’Arcom pourra, après mise en demeure, bloquer les sites pornographiques qui ne contrôlent pas l’âge de leurs utilisateurs et les déréférencer des moteurs de recherche sous 48 heures (art. 2).

  • Nouveau pouvoir du juge qui pourra prononcer une peine complémentaire de “bannissement » des réseaux sociaux pour six mois (un an en cas de récidive) pour les personnes condamnées pour haine en ligne, cyberharcèlement ou d’autres infractions graves (pédopornographie, proxénétisme…).

  • Sensibilisation des collégiens aux risques liés aux contenus générés par IA et des étudiants aux cyberviolences sexistes et sexuelles.

  1. La lutte contre la désinformation et les contenus illicites

  • Nouveau pouvoir de l’Arcom qui pourra enjoindre à des opérateurs de bloquer sous 72 heures la diffusion sur internet d’une chaîne de « propagande » de médias étrangers frappés par des sanctions européennes (tels que Sputnik ou Russia Today France). En cas d’inexécution, elle pourra ordonner le blocage du site concerné et prononcer une amende pouvant aller jusqu’à 4 % du chiffre d’affaires de l’opérateur ou 250 000 €.

  • Introduction à l’article 226-8 du code pénal d’un délit propre aux deepfakes, contenus générés par IA représentant une personne sans son consentement., punis d’un an d’emprisonnement et de 15 000 euros d’amende.

  • Introduction à l’article 226-8-1 du code pénal d’un délit propre aux deepfakes pornographiques, punis de deux ans d’emprisonnement et de 60 000 euros d’amende.

  1. Les nouveaux pouvoirs aux autorités de régulation en application des règlements européens DSA et DMA

Ces deux textes européens imposent des obligations aux géants du numérique.

Au titre du DSA, l’Arcom est désignée en tant que « coordinateur des services numériques » en France. La Direction générale de la concurrence, de la consommation et de la répression des fraudes (DGCCRF) devient l’autorité chargée de contrôler le respect des obligations des fournisseurs de places de marché (market places). La Commission nationale de l’informatique et des libertés (CNIL) sera compétente pour vérifier le respect par les plateformes des limitations posées en matière de profilage publicitaire (interdiction pour les mineurs ou à partir de données sensibles).

S’agissant du DMA, l’Autorité de la concurrence et le ministère de l’économie pourront investiguer, recevoir des renseignements et coopérer avec la Commission européenne sur les pratiques des contrôleurs d’accès, dans le cadre du « réseau européen de concurrence ».

Pour en savoir plus: https://www.vie-publique.fr/loi/289345-loi-du-21-mai-2024-securiser-et-reguler-lespace-numerique-sren#le-cloud-les-locations-touristiques-les-jonum.

 

ACTUALITES « FIRSH »

Portrait de Claire Poirson dans le Bulletin du Barreau

Notre associée fondatrice, Claire Poirson, a eu l’honneur d’être interviewée par le journaliste Louis Doucet et de voir son portrait publié dans le Bulletin du Barreau.

Elle a répondu à quelques questions sur sa vie, son parcours et sa vision de la profession d’avocat, qui l’ont amenée à fonder son propre cabinet, FIRSH, spécialisé dans le droit de la propriété intellectuelle, des technologies de l’information et des données.

« Je voulais ma liberté et exercer selon mes valeurs, au plus près de notre serment et des attentes de la société, un cabinet « citoyen » et ouvert sur les défis technologiques et environnementaux de nos clients ».

C’est notamment pourquoi FIRSH est une entreprise à mission qui conseille des startups et des groupes sur les technologies émergentes centrées sur l’humain. FIRSH a d’ailleurs été nommé Membre du Collège numérique France 2030 auprès du Secrétariat Général pour l’investissement en ce qui concerne les projets innovants de la tech et de l’IA. Pour aller plus loin, Claire Poirson a créé son propre laboratoire juridique, FIRSH LAB qui travaille sur le droit de demain et les bonnes pratiques des usages de la tech.

Ses valeurs se traduisent également par son engagement, en tant que vice-présidente de l’Association française des femmes juristes (AFFJ) et vice-présidente du 2GAP, pour l’égalité des sexes et la gouvernance partagée, pour la présence des femmes dans les médias et dans les comités exécutifs des entreprises françaises, et pour aider les réfugiées afghanes à s’intégrer en France.

« Je suis certaine que ces deux engagements me nourrissent. L’engagement pour une cause, quelle qu’elle soit, nous élève, je suis donc une meilleure avocate pour mes clients lorsque je participe à ces actions collectives ».

Lien vers l’article : https://fr.zone-secure.net/109394/2097543/#page=19&utm_medium=email&utm_campaign=Le%20Bulletin_10_2024

Retrouvez les interventions et contributions de Firsh pour faire avancer le droit et l’innovation :

  • Participation de Claire Poirson à la table ronde intitulée « IA et parcours client: risques, opportunités ou nécessité? » lors des Rencontres de la Gestion

  • Co-organisation par Claire Poirson d’un webinaire sur la directive européenne NIS2 et sa transposition en droit français, avec Bruno Grunemwald, directeur des affaires publiques chez ESET France

  • Participation de Claire Poirson à la table ronde intitulée « Les promesses de l’IA pour les mobilités de demain » dans le cadre de l’événement d’ouverture des Mobilités Innov’ organisée par l’Agence de l’Innovation dans les Transports au Musée de l’Air et de l’Espace

  • Organisation par Claire Poirson d’une conférence sur l’encadrement juridique français et européen des réseaux, l’IA et la désinformation avec le Collectif de journalistes FAKE OFF

En juin, Firsh a notamment assisté ses clients sur les projets suivants :

  • Négociation des termes d’un contrat-cadre entre un designer de parfums et une grande marque dans le domaine des cosmétiques et de la parfumerie

  • Transaction dans le cadre d’un dossier en contrefaçon de droits d’auteur en matière de mobilier

  • Négociation d’accord de confidentialité pour un client dont le projet est hautement innovant et stratégique dans le domaine de l’énergie et de l’environnement

  • Démarches de protection de logiciels auprès de l’Agence pour la Protection des Programmes et rédaction de contrat d’entiercement

  • Application des voies d’exécution dans le cadre d’un contentieux judiciaire suite à une saisie conservatoire sur comptes bancaires en droit commercial

  • Audit en matière de données personnelles auprès d’un client fournissant un logiciel en mode SaaS reposant sur un système d’IA générative

📢 Pour nous suivre sur LinkedIn et recevoir notre lettre d’information, c’est ici : https://www.linkedin.com/company/firshlaw/

📢 Il n’y a pas de collecte directe de vos données personnelles et donc pas d’emailing de la part de Firsh !

Nos Actualités
12 juin 2024
INTERVENTION TABLE RONDE SUR L’IA
Lire la suite
18 juin 2024
CONFERENCE AVEC LE COLLECTIF FAKE OFF – QUE PEUT LE DROIT FACE A LA DESINFORMATION ?
Lire la suite
17 juin 2024
TABLE RONDE – AI DANS LES TRANSPORTS ET LA MOBILITÉ
Lire la suite
Toutes les actualités