Newsletter n°2 (Février 2024)
✨INTELLIGENCE ARTIFICIELLE✨
➡️ Adoption du Règlement européen sur l’intelligence artificielle
Adopté le 2 février 2023, le règlement européen sur l’intelligence artificielle a pour objectif d’encadrer le développement de l’IA. Il s’agit d’une législation inédite au niveau mondial pour réguler l’intelligence artificielle.
Cette règlementation propose ainsi la première définition légale de l’intelligence artificielle : un système d’intelligence artificielle est un logiciel qui est développé au moyen d’une ou de plusieurs des techniques suivantes : (i) approches d’apprentissage automatique (ii) approches fondées sur la logique et les connaissances (iii) approches statistiques, estimation bayésienne, méthodes de recherche et d’optimisation.
Cette règlementation interdit notamment les pratiques suivantes en matière d’intelligence artificielle dès lors qu’elles peuvent causer un préjudice physique ou psychologique :
-
système d’IA ayant recours à des techniques de manipulation du comportement humain pour contourner le libre arbitre ;
-
système d’IA exploitant les éventuelles vulnérabilités dues à l’âge ou au handicap d’un individu;
-
systèmes d’IA destinés à évaluer ou à établir un classement de la fiabilité de personnes en fonction de leur comportement social ou de caractéristiques personnelles et la notation sociale basée sur le comportement social ou les caractéristiques personnelles ;
-
reconnaissance des émotions sur le lieu de travail et les établissements d’enseignement ;
-
systèmes d’identification biométrique à distance « en temps réel » dans des espaces accessibles au public à des fins répressives, à l’exception de certains cas (recherche de la criminalité, prévention d’une menace spécifique, substantielle et imminente pour la vie ou la sécurité des personnes ou la prévention d’une attaque terroriste, etc.)
En particulier, les citoyens auront le droit de (i) déposer des plaintes concernant les systèmes d’IA mais encore de recevoir des explications sur les décisions fondées sur des systèmes d’IA à haut risque ayant une incidence sur leurs droits.
Le non-respect des règles pourra entraîner des amendes comprises, en fonction de la taille de l’entreprise et de l’infraction, entre 7,5 M€ ou 1,5% du CA et 35M€ ou 7% du CA mondial.
Conseil Firsh : il est recommandé aux entreprises qui utilisent l’IA de mener un audit relatif à l’usage qu’elle-même mais surtout leurs salariés feraient de l’IA dans le cadre de leur activité / travail. Firsh accompagne les entreprises dans le cadre de l’élaboration de leur gouvernance de stratégie IA, dispense des formations de sensibilisation des salariés et équipes et rédige des chartes de l’usage de l’IA.
✨NOUVELLES TECHNOLOGIES✨
➡️ Entrée en vigueur du Digital Services Act visant les services numériques
Le Digital Services Act (DSA) est un règlement européen du 19 octobre 2022 dont le but est de diminuer la diffusion de contenus illégaux et d’instaurer plus de transparence entre les plateformes en ligne et leurs utilisateurs.
En vigueur depuis le 25 août 2023 pour les plateformes en ligne et les moteurs de recherche comptant plus de 45 millions d’utilisateurs dans l’Union européenne, il s’applique désormais à l’ensemble des plateformes et des intermédiaires en ligne offrant leurs services (biens, contenus ou services) sur le marché européen depuis le 17 février 2024.
Ce règlement instaure de nouvelles obligations pour les plateformes en ligne qui devront notamment :
-
informer leurs utilisateurs de toute modification importante de leurs conditions générales ;
-
formuler les conditions générales de manière simple, intelligible, aisément abordable et sans ambigüité, les informations fournies comprennent les mécanismes de recours et de réparation disponibles pour l’utilisateur ;
-
établir des rapports de transparence portant sur leurs systèmes internes de traitement des réclamations et leurs activités de modération des contenus ;
-
suspendre, pendant une période raisonnable et après avertissement, la fourniture de leurs services aux utilisateurs diffusant fréquemment des contenus manifestement illicites ;
-
prendre des mesures appropriées et proportionnées afin de garantir un niveau élevé de protection de la vie privée, de la sureté et de la sécurité des mineurs
Nota Bene : les petites entreprises (- de 50 salariés et CA annuel ou bilan total annuel < à 10M€) et les microentreprises (- de 10 salariés et CA annuel ou bilan total annuel < à 2M€) sont exemptées de l’application de certaines mesures.
En cas de violation du DSA, une amende jusqu’à 6 % du CA mondial annuel au cours de l’exercice précédent peut être infligé à la plateforme. En cas de manquements graves et répétés par une plateforme, une restriction temporaire de l’accès au service peut être appliquée.
Enfin, une astreinte concernant seulement les très grandes plateformes peut aussi être prononcée par les États membres, jusqu’à 5 % des revenus ou du CA mondial quotidiens moyens de la plateforme au cours de l’exercice précédent, par jour d’astreinte, à compter de la date mentionnée dans la décision visée.
Conseil Firsh : il est recommandé aux entreprises de procéder à un inventaire des obligations qui leur sont applicables au titre de cette nouvelle réglementation et d’instaurer des process internes en vue de les respecter. Firsh prépare cet inventaire actuellement pour une plateforme de streaming.
✨DONNEES PERSONNELLES✨
➡️ Violation de données de deux opérateurs de tiers payant
La CNIL mène des investigations sur la violation de données ayant affecté les opérateurs Viamedis et Almerys afin de déterminer notamment si les mesures de sécurité mises en œuvre préalablement à l’incident et en réaction à celui-ci étaient appropriées au regard des obligations du RGPD.
L’autorité a été informée par les opérateurs Viamedis et Almerys, qui assurent la gestion du tiers payant des complémentaires santé, de l’attaque informatique dont ils ont été victimes fin janvier.
Cette attaque, qui concernait plus de 33 millions de personnes, a engendré une fuite de certaines catégories de données personnelles des assurés et de leur famille (état civil, date de naissance, numéro de sécurité sociale, nom de l’assureur santé, garanties du contrat souscrit).
Il appartient depuis lors aux complémentaires santé faisant appel aux prestataires Viamedis et Almerys d’informer individuellement et directement l’ensemble des personnes concernées par la violation.
Bien que les données de contact n’aient pas été concernées par la violation, il est possible que les données ayant fait l’objet de la violation soient couplées à d’autres informations provenant de fuites de données antérieures. Il revient dès lors aux assurés d’être vigilant aux sollicitations qu’ils recevoir avoir et de veiller aux mouvements de leurs comptes.
Conseil Firsh : il est recommandé aux entreprises et particuliers de veiller aux sollicitations et aux messages dont il pourrait être destinataires pour éviter toute usurpation d’identité et hameçonnage (mails piégés)
➡️ La CNIL sanctionne la société PAP d’une amende de 100 000 euros
Le 31 janvier 2024, la CNIL a prononcé une sanction de 100 000 euros à l’encontre de la société PAP qui édite le site pap.fr (De Particulier à Particulier), notamment pour ne pas avoir respecté ses obligations en matière de durée de conservation et de sécurité des données.
PAP avait défini une durée de conservation de 10 ans pour les données de certains comptes clients ayant recours à des prestations payantes du site, sans que cette durée puisse être justifiée par les dispositions du code de la consommation dont elle se prévalait. Elle avait également défini une durée de conservation de 5 ans pour les données des utilisateurs ayant recours à des services gratuits du site, sans pour autant l’appliquer puisqu’elle conservait des données plus longtemps.
PAP informait les personnes au moyen d’une politique de confidentialité incomplète et imprécise en vertu du RGPD (article 13). Un contrat conclu entre la société et un sous-traitant ne comportait pas les mentions requises par le RGPD (article 28).
Plusieurs défauts de sécurité exposaient les données à des risques d’attaques informatiques et de fuites (robustesse insuffisante des mots de passe, conservation en clair des mots de passe notamment).
Conseil Firsh : il est recommandé aux entreprises de procéder à un inventaire de la conservation des données personnelles qu’elles traitent et de circonscrire cette conservation selon des procédures internes précises de sécurité et d’archivage notamment.
Délibération SAN-2024-002 du 31 janvier 2024
➡️ La CNIL publie deux fiches pratiques sur le chiffrement et la sécurité des données
Ayant reçu de nombreuses questions sur le recours au cloud, notamment au regard de la complexité des offres disponibles, la CNIL a récemment publié deux premières fiches pour éclairer les organismes consommateurs de ces services sur le recours au chiffrement et l’utilisation d’outils de sécurité et de performance.
En premier lieu, la CNIL propose une analyse détaillée des différents types de chiffrement appliqués à un service cloud.
En second lieu, la CNIL présente les différents produits de sécurité nécessaires pour sécuriser un service cloud. Ce faisant, elle opère une distinction claire entre des fonctionnalités de sécurité (anti-DDoS, WAF) et des fonctionnalités de performance (CDN, Load balancer) qui sont souvent commercialisées de manière groupée. La CNIL propose enfin des points de vigilance pour ces différents produits.
Conseil Firsh : il est recommandé aux entreprises de procéder à un inventaire des mesures de sécurité instaurées, de vérifier sa politique de sécurité, de la procédure mise en place en cas de fuite de données, (résilience et plan de communication).
A relire les fiches pratiques CNIL sur (i) les outils de sécurisation d’applications web dans le Cloud et (ii) les pratiques de chiffrement en cloud public
✨PROPRIETE INTELLECTUELLE✨
➡️ Marque : déchéance pour cause de dégénérescence
Une demande de déchéance de la marque figurative « CITY STADE », enregistrée le 1er juillet 2013 pour désigner des « constructions transportables métalliques à savoir constructions permettant la pratique de sports ; structure complète en acier habillé bois ou métal permettant la pratique de différents sports (tennis, basket, football) », a été introduite le 24 février 2021 sur le fondement de l’article 58, § 1, sous b) du règlement (UE) 2017/1001 sur la marque de l’Union européenne en ce que la marque serait devenue la désignation usuelle dans le commerce des produits pour lesquels elle avait été enregistrée et, en particulier, pour désigner de manière générique des constructions, des structures ou des terrains multisports destinés à la pratique du basketball, du football et d’autres sports.
Le tribunal de l’UE affirme que les conditions de l’article 58, § 1, sous b), du règlement (UE) 2017/1001 du 14 juin 2017 sont cumulatives. Ainsi, la déchéance pour cause de dégénérescence est prononcée si les preuves sont rapportées que (i) le signe est devenu la désignation usuelle dans le commerce des produits pour lesquels la marque a été enregistrée d’une part et (ii) si cette dégénérescence est le fait de l’action et/ou de l’inaction de son titulaire d’autre part.
En premier lieu, l’usage de la marque doit s’être à ce point généralisé que le signe qui la constitue tend à désigner la catégorie, le genre ou la nature des produits et services visés par l’enregistrement et non plus les produits ou les services provenant spécialement d’une entreprise déterminée ; la marque ne remplissant alors plus sa fonction distinctive.
En second lieu, la dégénérescence d’une marque relève dans une certaine mesure de l’activité, mais surtout de l’inactivité du titulaire constituée par son manque de vigilance et sa passivité dans la défense de sa marque et de l’emploi du signe constituant la marque tel un terme générique (absence ou délai dans le fait d’engager des procédures précontentieuses par exemple pour faire cesser certains usages).
Conseil Firsh : il est recommandé aux entreprises d’exploiter de manière sérieuse leurs marques et de mettre en place une stratégie de défense afin d’éviter la potentielle dégénérescence de leur marque.
Trib. UE 7 févr. 2024, Sports et loisirs (Casal sport) c/ EUIPO, aff. T-220/23
✨DROIT A L’IMAGE – PRESERVATION DES DROITS DE NOS ENFANTS✨
➡️ Adoption de la loi visant à garantir le respect du droit à l’image des enfants
Cette nouvelle loi, adoptée le 19 février, vise à mieux faire respecter le droit à l’image des enfants par leurs parents sur les réseaux sociaux
Cette nouvelle législation pourrait renforcer la protection des mineurs sur internet s’agissant de l’activité des influenceurs dont les enfants sont devenus des atouts pour déclencher des opérations de partenariat.
Le code civil est modifié pour :
-
introduire dans la définition de l’autorité parentale la notion de vie privée, consacrant l’obligation des parents de veiller au respect de la vie privée de leur enfant ;
-
permettre au juge aux affaires familiales d’interdire à un parent de publier ou diffuser toute image de son enfant sans l’accord de l’autre parent ;
-
inscrire que « les parents protègent en commun le droit à l’image de leur enfant mineur » et que « les parents associent l’enfant à l’exercice de son droit à l’image, selon son âge et son degré de maturité », comme l’exige la Convention internationale des droits de l’enfant de 1989.
Par ailleurs, une délégation partielle forcée de l’autorité parentale est créée en cas de diffusion de l’image de l’enfant portant gravement atteinte à sa dignité ou à son intégrité morale.
Enfin, la CNIL a désormais la faculté de saisir le juge des référés pour demander toute mesure de sauvegarde des droits de l’enfant en cas d’inexécution ou d’absence de réponse à une demande d’effacement de données personnelles (article 21 modifié de la Loi « Informatique et libertés »).
Conseil Firsh : Firsh assiste régulièrement des entreprises qui ont recours à des mannequins enfants et les contrats sont rédigés scrupuleusement avec les parents, l’enfant et l’agent.
LOI n° 2024-120 du 19 février 2024 visant à garantir le respect du droit à l’image des enfants
✨ACTUALITES « FIRSH »✨
Retrouvez les interventions et contributions de Firsh pour faire avancer le droit et l’innovation :
Contribution de Claire Poirson au Livre Blanc « l’assurabilité des activités liées à la blockchain et aux cryptoactifs (mythes et réalités) » sous la direction de BDJ, LSN Assurances, NEOTech et Diot-Siaci
Vous pouvez consulter le livre blanc en détail en cliquant sur le lien : https://lnkd.in/eX224HfX
En février, Firsh a notamment assisté ses clients sur les projets suivants :
-
Contrefaçon par imitation de droits d’auteur et parasitisme dans le cadre du plagiat de sketchs entre humoristes ;
-
Plaidoirie devant la Cour d’appel de Bordeaux dans le cadre d’un référé-rétractation de saisie-contrefaçon ;
-
Nouvelle confirmation de la renommée de la marque TESLA grâce au cabinet, par décision de l’INPI dans le cadre d’une opposition de marques (décision publique) ;
-
Négociation d’un accord-cadre pour des prestations intellectuelles de design dans le domaine de la cosmétique et la parfumerie de luxe ;
-
Stratégie de contournement de dépôt de marque pour faire face à une antériorité ;
-
Revue de la politique cookies et de la bannière cookies d’un groupe international dans le secteur de la mode et de la maroquinerie pour le territoire français ;
-
Soumission à un appel d’offre relatif à la stratégie de gouvernance en matière d’IA pour un groupe de logistique et transport ;
-
Précontentieux dans le cadre d’une prétendue rupture partielle des relations commerciales établies.
📢 Pour nous suivre sur LinkedIn et recevoir notre lettre d’information, c’est ici : https://www.linkedin.com/company/firshlaw/.
📢 Il n’y a pas de collecte directe de vos données personnelles et donc pas d’emailing de la part de Firsh !