Toutes les news
SANCTION PENALE POUR NON RESPECT DU RGPD
07/05/2024
Collecte de données personnelles des salariés - les sanctions pénales sont rares, mais possibles ! Les faits en cause dans cet arrêt de cassation concernent l’activité d’une société effectuant pour le compte de ses clients "des recherches sur des personnes portant sur des données à caractère personnel telles qu'antécédents judiciaires, renseignements bancaires et téléphoniques, véhicules, propriétés, qualité de locataire ou de propriétaire, situation matrimoniale, santé, déplacements à l'étranger".Les personnes objet de ces enquêtes pouvaient être des salariés, des candidats, des clients, des prestataires, etc.
Le prévenu, dirigeant de la société prestataire, a été condamné à un an d’emprisonnement avec sursis et 20 000 euros d’amende pour collecte de données personnelles par un moyen déloyal et complicité, et complicité de détournement de la finalité d’un fichier.
La Cour de cassation confirme l’arrêt d’appel sur la caractérisation de l’infraction : "le fait que les données à caractère personnel collectées par le prévenu aient été pour partie en accès libre sur internet ne retire rien au caractère déloyal de cette collecte, dès lors qu’une telle collecte, de surcroît réalisée à des fins dévoyées de profilage des personnes concernées et d'investigation dans leur vie privée, à l'insu de celles-ci, ne pouvait s’effectuer sans qu’elles en soient informées".
L’arrêt d’appel est toutefois cassé sur un moyen relatif à l’imprécision de la période sur laquelle le tribunal était saisi, ce qui viole l’article 388 du code de procédure pénale. L’ordonnance de renvoi visait des faits commis entre 2009 et 2012. Or, le tribunal a pris en compte également des faits remontant jusqu’à 2003.
Cass., crim., 30 avril 2024, n° 23-80.962
NON CONFORMITE AU DROIT EUROPEEN DE LA LOI SUR LES INFLUENCEURS
30/04/2024
Il fallait s’y attendre, l’application de la loi n° 2023-451 du 9 juin 2023 sur l'influence commerciale et les dérives des influenceurs sur les réseaux sociaux rencontre des obstacles. Un rapport de l’Assemblée Nationale du 13 mars 2024 revient sur les observations de la Commission européenne concernant les non-conformités de cette loi avec le droit de l'Union européenne.Outre le fait que certaines dispositions de la loi n'ont pas été correctement notifiées, comme l'exige la directive 2015/1535 du 9 septembre 2015 « SMTD », la Commission relève des problèmes de compatibilité avec plusieurs directives européennes, notamment :
● Incompatibilité avec la directive 2000/31/CE « e-commerce ». La Commission estime que les dispositions de la loi influenceurs ont pour objectif d’imposer « des obligations aux fournisseurs de la société de l’information en ce qui concerne leurs obligations de modération de contenus ». Elles doivent donc respecter le principe « du pays d’origine » qui repose sur la liberté de prestation des services de la société de l’information transfrontaliers. Il convient alors d'introduire dans la loi influenceurs une clause du pays d'origine.
● Incompatibilité avec la directive 2018/1808/CE « Services de médias audiovisuel ». La Commission estime que les influenceurs doivent respecter les règles édictées par cette directive et notamment les « exigences d’équité et de transparence pour la publicité et les autres formes de communications commerciales audiovisuelles ». La Commission suggère que les articles qui portent sur la promotion des produits alimentaires et des boissons nocives, l'interdiction de la publicité pour les produits de nicotine et sur les obligations en matière de publicité, soient alignés sur les dispositions correspondantes de la directive. Selon les rapporteurs, des incertitudes subsistent cepend quant à l’application de cette directive aux influenceurs, il faudrait notamment que les influenceurs remplissent des critères d’audience.
● Incompatibilité avec le règlement (UE) n°2022/2065 sur les services numériques « hashtagDSA ». La Commission relève que les obligations prévues par la loi influenceurs semblent « aller à l’encontre du système de surveillance et d’exécution prévu par le DSA, dans la mesure où les autorités françaises disposent d’une compétence sur les prestataires de services intermédiaires établis en dehors de la France, en violation de l’article 56 paragraphe 1 du DSA ». La loi DDADUE qui vient d’être adoptée a supprimé les dispositions incompatibles de la loi influenceurs.
Moralité : la régulation de l’internet relève maintenant des institutions européennes. Le Parlement national ne peut pas l’ignorer !
Le rapport parlementaire
OPINION DU CEPD SUR LE « CONSENT OR PAY » DES TRES GRANDES PLATEFORMES
24/04/2024
Les données personnelles ne sont pas une marchandise négociable : c’est ce qu’affirme le Comité européen de la protection des données.Les autorités de contrôle néerlandaise, allemande et norvégienne ont sollicité l'avis du CEPD sur les circonstances et conditions dans lesquelles les modèles de "consent or pay" relatifs à la publicité comportementale peuvent être mis en œuvre par les grandes plateformes en ligne.
Le CEPD rappelle la nécessité pour les responsables du traitement de se conformer, outre aux exigences de recueil du consentement - qui doit être valable, informé, non ambiguë et spécifique - également aux principes de limitation de la finalité, de minimisation des données traitées, d’équité, des principes de protection "by Design" et de protection "by Default".
Le CEPD souligne que "les grandes plateformes en ligne ne pourront pas se conformer aux exigences en matière de consentement si elles ne proposent aux utilisateurs qu'un choix binaire entre le consentement au traitement des données à caractère personnel à des fins de publicité comportementale et le paiement d'une redevance". Il rappelle à cet égard "la nécessité d’empêcher que le droit fondamental à la protection des données ne soit transformé en une marchandise dont les personnes concernées doivent payer pour en jouir".
Les grandes plateformes en ligne ne peuvent pas exploiter librement les données à caractère personnel de leurs utilisateurs simplement parce que ces utilisateurs n’ont pas payé pour qu’elles soient protégées.
EDPB avis du 17 avril 2024 - Opinion 08/2024 on Valid Consent in the Context of Consent or Pay Models Implemented by Large Online Platforms
FORMALISME DE LA CESSION DES DROITS SUR UNE PHOTOGRAPHIE
16/04/2024
Les photographies des membres d’un groupe de rock commandées pour la promotion d’une tournée ne pouvaient pas être utilisées pour un EP et les réseaux sociaux du groupe. C’est ce que rappelle le Tribunal judiciaire dans un jugement récent (Tribunal judiciaire, Paris, 3e ch., 2e sect., 5 avr. 2024 – n° 21/09122) opposant le photographe et le management du groupe.Il avait été confié au photographe professionnel la réalisation de photographies des membres du groupe dans le cadre de la promotion d’une tournée.
Sur sa facture le photographe indiquait : "Tous droits cédés. France. 3 ans". "Toute utilisation sortant du cadre initialement prévu dans ce devis est interdite, sauf autorisation expresse et écrite du prestataire".
Le Tribunal rejette sa demande de nullité de sa propre clause au motif qu’elle aurait été trop générale, retenant que le photographe "qui se décrit lui-même comme un photographe professionnel d’une grande notoriété, n’a pu faire aucune erreur (…) sur la portée des termes de celle-ci".
En revanche le tribunal retient la contrefaçon par reproduction des photos sur les réseaux sociaux du groupe et sur la pochette d’un single, et l’atteinte au droit moral, le photographe n’ayant pas été crédité comme photographe sur ledit single.
Moralité : le contrat était mal rédigé et tout le monde est perdant !
INAPPLICABILITE DU RGPD AUX VISITES DOMICILIAIRES DE L’ADMINISTRATION
12/04/2024
Le RGPD n’est pas un joker procédural pour faire annuler un contrôle sanitaire. Un vétérinaire, dont le cabinet avait fait l’objet d’une visite domiciliaire de contrôle par la brigade nationale d'enquête vétérinaire et phytosanitaire, a demandé l’annulation de l’ordonnance autorisant cette visite au motif notamment du non respect du RGPD par l’administration.Parmi les documents saisis, se trouvaient des données « économiques et personnelles des exploitations agricoles » clientes du vétérinaire
Il était fait grief à l’ordonnance de ne contenir aucune mention requise par le RGPD sur les droits des personnes concernées par ces traitements
Ni la Cour d’appel de Nancy, ni la Cour de cassation n’ont fait droit à sa demande.
La Cour d’appel rappelle que le RGPD ne s'applique pas aux traitement de données personnelles effectués « par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites (...) » et que les états membres sont autorisés à limiter la portée des obligations d’information des personnes prévues à l'article 14 du RGPD lorsque le traitement est « mis en oeuvre par les administrations publiques qui ont pour mission soit de contrôler ou de recouvrer des impositions soit d'effectuer des contrôles de l'activité de personnes physiques ou morales pouvant donner lieu à la constatation d'une infraction ou d'un manquement, des amendes administratives ou à des pénalités ».
La Cour de cassation (Cass., com., 4 avr. 2024 – n° 22-22.221) a rejeté le pourvoi au motif que l’article du code de la santé publique appliqué « n'impos[ait] pas de mention, dans cette ordonnance, des garanties relatives à la protection des données à caractère personnel. »
PROSPECTION COMMERCIALE ILLICITE : NOUVELLE SANCTION DE LA CNIL
09/04/2024
La CNIL prononce une sanction de 525 000 euros à l’encontre d’un distributeur de produits reconditionnés pour avoir utilisé, à des fins de prospection commerciale, des données fournies par des courtiers en données, sans s’assurer que les personnes concernées avaient valablement consenti à être démarchées.Il s’agit d’une suite des opérations de contrôle que la CNIL a menées dans le secteur du phoning et qui ont déjà donné lieu à une précédente sanction de 310 000 euros à l’encontre d’une autre société.
Ici, la société mise en cause procède à des campagnes de démarchage par téléphone (3 millions d’appels sur 1 an) et par SMS (1,4 millions de SMS sur 1 an) pour promouvoir les produits vendus dans ses boutiques. Les données des prospects démarchés ont été achetées auprès de « courtiers » en données, éditeurs de sites de jeux-concours et de tests de produits.
La CNIL retient que l’apparence trompeuse des formulaires de participation à des jeux-concours en ligne utilisés par les « courtiers » ne permet pas de recueillir un consentement libre, éclairé et spécifique des personnes concernées à la collecte de leurs données à des fins de prospection commerciale, caractérisant un manquement à l’article L34-5 du du code des postes et communications électroniques.
La CNIL a considéré que, lors de ses opérations de démarchage téléphonique, la société ne permettait pas aux personnes d’être suffisamment informées, en violation de l’article 14 du RGPD.
Autre enseignement de la décision, la CNIL adopte une attitude réaliste et rationnelle en considérant que la conservation en base active des données clients pendant 5 années après le terme de la relation contractuelle n’est pas un manquement au RGPD dès lors qu’il n’est pas démontré que des personnes auraient accès aux données sans avoir besoin d’en connaître.
Cette sanction a été prise par la CNIL en coopération avec les autorités de contrôle européennes concernées (Belgique, Italie, Espagne, Portugal) car le responsable de traitement traitait des données de clients et prospects dans ces autres pays de l’UE.
Délibération SAN-2024-004 du 4 avril 2024
IA GENERATIVE ET DROIT D’AUTEUR
31/03/2024
Qui possède quoi sur les créations générées par l’IA ? Dans son analyse, Etienne Papin, associé et fondateur de NEXT avocats, revient sur les premières jurisprudences du droit de l'internet en 1996 et anticipe le traitement judiciaire qui sera réservé à l'IA.A lire ici.
HEBERGEMENT DES DONNEES DE SANTE DU HDH SUR MICROSOFT AZURE
28/03/2024
Etienne Papin, associé de NEXT avocats, revient sur l'ordonnance du Conseil d'Etat du 22 mars dernier sur laquelle les commentaires à formuler sont nombreux.Health Data Hub – Le Conseil d’Etat ne suspend pas en référé l'autorisation donnée au HDH d’héberger des données de santé sur Microsoft Azure.
Nous pouvons continuer dans les proverbes pour commenter cette séquence judiciaire : il n’y a pas pire aveugle que celui qui ne veut pas voir. (Notre précédent post sur le sujet)
Le CE a été saisi en référé par un groupement d’associations, d’entreprises et de particuliers d’une demande d’annulation de la délibération de la CNIL du 21 décembre 2024 reconnaissant la légalité de l'hébergement de données sensibles du projet EMC2 par un sous-traitant, Microsoft Ireland, dont la société mère est soumise au droit des Etats-Unis.
Par une ordonnance du 22 mars 2024, le CE rejette ce recours.
Il considère que la condition d’urgence de la procédure de référé n’est pas remplie pour les raisons suivantes :
1️⃣ La décision de la CNIL a été motivée par le fait qu'aucune solution ne répondait aux exigences techniques du HDH dans les délais impartis par la convention signée avec l’Agence Européenne du Médicament.
Autrement dit : nécessité fait loi ! On préfère faire peser un risque sur les données de santé de millions de personnes plutôt que le HDH assume les conséquences d’être en retard dans l’exécution d’un marché… On me permettra de ne pas être convaincu par le raisonnement car ce sont des pans entiers de la protection des données personnelles, en particulier, mais des libertés fondamentales, en général, qui peuvent s’effacer devant une telle considération.
2️⃣ Le risque d'accès aux données par les autorités américaines dans le cadre de leurs programmes de surveillance est actuellement « hypothétique » compte tenu de la mesures de sécurité mise en place, à savoir la pseudonymisation des données.
Mais alors, pourquoi depuis la directive européenne du 24 octobre 1995 explique-t-on aux entreprises que les transferts de données personnelles en dehors de l’Union Européenne sont susceptibles de porter atteintes aux droits et libertés des personnes ? Car, le fait que les autorités américaines accèdent effectivement aux données est toujours « hypothétique » de notre côté de l’Atlantique. Aucun responsable de traitement n’est jamais informé par les services de renseignements américains qu’ils accèdent « effectivement » aux données ! Faut-il vraiment expliquer pourquoi ?
▶️Sur la base de ces considérations, le Conseil d'Etat juge que les requérantes ne démontrent pas que la délibération attaquée porte une atteinte grave et immédiate aux intérêts des requérantes.
CE n°492369, 22 mars 2024
SOCIETES D’AUTEURS ET LIBRE PRESTATION DE SERVICE DANS L’UE
26/03/2024
A la question de savoir s’il peut être interdit par une loi nationale à une entité établie dans un autre État membre de fournir des services de gestion de droits d’auteur sur son territoire, la CJUE répond non. En tous cas, pas par une interdiction « générale et absolue ».Liberi editori a autori (LEA), organisme de gestion collective italien "habilité à l’intermédiation des droits d’auteur" faisait grief à une société luxembourgeoise, entité de gestion indépendante des droits d’auteur, d’exercer ses activités d'intermédiation en Italie, au motif :
● qu’elle n’était pas inscrite sur la liste des organismes "habilités à l’intermédiation des droits d’auteur en Italie" ;
● qu’elle ne satisfaisait pas aux exigences spécifiques prévues par un décret italien ;
● et qu’elle n’avait pas informé le ministère des Télécommunications avant de commencer à exercer son activité.
Une question préjudicielle a été soumise à la CJUE.
La CJUE, en interprétant l’article 56 TFUE sur la libre prestation des service et la directive 2014/26/UE sur la gestion collective du droit d’auteur, juge qu’« une législation d’un État membre qui exclut de manière générale et absolue la possibilité pour les entités de gestion indépendantes établies dans un autre État membre de prester dans ce premier État membre leurs services de gestion du droit d’auteur » constitue une restriction non proportionnée au regard de l’objectif de protection du droit d’auteur et s’oppose au droit de l’Union.
CJUE 21 mars 2024 affaire C‑10/22 Liberi editori e autori (LEA) c. Jamendo SA
ABSENCE D’ORIGINALITE DES GRAPHISMES D’UN JEU VIDEO
22/03/2024
Un infographiste spécialisé dans la création 3D avait développé un jeu vidéo de courses de voiture en collaboration avec le dirigeant d’une société italienne spécialisée dans le développement, la production et la commercialisation de logiciels.Des divergences sont survenues entre le dirigeant de la société et l’infographiste. L’infographiste, estimant avoir été privé de redevances qui lui étaient dues, réclamait à la société la fourniture d’une reddition des comptes de recettes. En réponse, la société arguait d’un manque de collaboration et d’investissement dans le développement du jeu.
L’infographiste a assigné la société en paiement de redevances et de dommages et intérêts en responsabilité contractuelle, ainsi que pour contrefaçon de droits d'auteur.
Le tribunal judiciaire a rejeté ses demandes et a jugé que :
"pour chacun des dessins des vingt-et-une carrosseries, des neuf modèles d’enjoliveurs, des treize modèles de pneus, des seize circuits et des quinze menus ou interfaces créés pour les jeux “Real Drift Car Racing” ne sont qu’une reprise du fonds commun des courses automobiles et des jeux qui y sont consacrés, lequel n’est pas appropriable. Leur combinaison ne témoigne pas davantage d’un effort créatif portant l’empreinte de la personnalité de [l’infographiste]."
Le tribunal retient que les créations revendiquées n’étaient pas originales et ne pouvaient donc pas bénéficier de la protection par le droit d'auteur.
TJ Paris, 3è ch. 13 mars 2024, n° 20/10831
DROIT VOISIN DES EDITEURS DE PRESSE : GOOGLE EST SANCTIONNE
21/03/2024
Google (encore!) sanctionné par l’Autorité de la concurrence. Depuis 2019, les éditeurs et agences de presse disposent d’un droit voisin, droit exclusif sur les contenus qu’ils produisent, prévu aux articles L218-1 et suivants du code de la propriété intellectuelle.Comme pour tout droit exclusif, l’autorisation du titulaire doit être obtenue pour que le contenu soit exploité, et cette exploitation est soumise à rémunération. L’article L218-4 du CPI fixe les conditions devant être respectées pour permettre une juste rémunération des titulaires de droit.
L’instauration de ce droit a ouvert un bras de fer entre Google et les titulaires de ce droit voisin, le premier se révélant pour le moins peu enclin à rémunérer les producteurs de contenus qu’il exploitait jusqu’alors sans bourse délier.
Sanctionné pour abus de position dominante pour ne pas avoir négocié conformément aux exigences nouvelles, Google a pris des « Engagements », entérinés par une décision de l’Autorité de la concurrence du 21 juin 2022 (n° 22-D-13).
C’est au constat du non respect de ces Engagements que les sociétés Google sont condamnées à une amende de 250 millions d’euros par décision du 15 mars 2024.
L’Autorité de la concurrence a constaté que Google avait enfreint quatre de ses sept engagements, et notamment :
● Non respect de l’engagement à négocier de bonne foi la rémunération des titulaires de droit, en se basant sur des critères transparents, objectifs et non discriminatoires. L’Autorité constate que Google n’a pas transmis sa note méthodologique simultanément à l'offre de rémunération aux parties négociantes. Elle relève également que cette note est imprécise, qu’elle ne mentionne pas la totalité de ses services pouvant générer un revenu pour la partie négociante et qu’elle traite de manière identique des éditeurs de presse dont les situations sont différentes.
● Non respect de l’engagement de fournir aux éditeurs ou agences de presse les informations requises pour évaluer de manière transparente leur rémunération au titre des droits voisins.
● Non respect de l’obligation de neutralité au titre de laquelle Google ne devait pas lier ses discussions avec les titulaires de droit relatives aux droits voisins, avec les autres relations économiques existant entre Google et ces opérateurs, relatives à d’autres services.
● L’Autorité constate en outre que Google ne s’est pas conformée à son obligation de travailler de bonne foi avec le Mandataire désigné
Enfin, l’Autorité a constaté que le service d’intelligence artificielle « Bard » de Google avait utilisé, aux fins d’entraînement de son modèle fondateur, des contenus des éditeurs et agences de presse sans les informer. Elle retient également que Google n’a pas permis aux éditeurs et agences de presse de s’opposer à l’utilisation de leur contenu par Bard.
Décision 24-D-03 du 15 mars 2024
AI ACT
14/03/2024
L’Europe a donc décidé de réglementer l’IA. Est-ce que les 457 pages du règlement sur l’Intelligence Artificielle permettront de prévenir les risques avérés ou supposés qu’engendre l’IA ?Au-delà des déclarations optimistes faites par les membres de la Commission Européenne, le lecteur de ces 457 pages se doit d’être plus circonspect.
Une chose est certaine : avec ce règlement, les institutions européennes se sont surpassées. Qu’on en juge :
● un nombre record de considérants (180 !) et de définitions (68 !) ;
● des définitions qui appartiennent parfois plus à la philosophie qu’au droit (exemple : "risque" : la combinaison de la probabilité d'un dommage et de la gravité de ce dommage) ou qui relèvent de la tautologie ("mise à disposition sur le marché" : toute fourniture d'un système d'IA ou d'un modèle d'IA à usage général en vue de sa distribution ou de son utilisation sur le marché de l'Union dans le cadre d'une activité commerciale, que ce soit à titre onéreux ou gratuit) ;
● des principes assortis d’exceptions… elles-mêmes assorties d’exceptions ;
● plus d’une dizaine d’actes délégués devant être pris par la Commission ;
● l’entrée du logiciel dans le monde de la certification et du marquage CE ;
● l’arlésienne des « codes de conduite » ;
● la création de nouvelles institutions : Office européen de l’IA, Comité européen de l'intelligence artificielle, Forum consultatif, Panel d’experts indépendants, Autorités compétentes nationales ;
● Etc.
Vous développez, vous distribuez ou vous utiliser les logiciels ? Attention, de gré ou de force, vous allez devoir vous approprier cette nouvelle législation qui s’applique nécessairement à vous.
Directions informatiques, directions générales, directions des achats, directions juridiques : vous ne pourrez plus acquérir et utiliser des solutions logicielles comme avant. L’IA sera partout, le règlement IA également !
NEXT AVOCAT DANS LA PRESSE
Stéphanie Foulgoc, avocate associée, interviewée sur les effets de la condamnation de Google obtenue pour le PRODISS (devenu Ekhoscènes) en matière de commercialisation de billets de spectacles.
Dans un encart « 𝐒𝐢𝐭𝐞𝐬 𝐟𝐫𝐚𝐮𝐝𝐮𝐥𝐞𝐮𝐱 : 𝐕𝐢𝐚𝐠𝐨𝐠𝐨 𝐞𝐧𝐟𝐢𝐧 𝐜𝐨𝐧𝐭𝐫𝐞́ 𝐩𝐚𝐫 𝐥𝐞𝐬 𝐚𝐜𝐭𝐞𝐮𝐫𝐬 𝐝𝐮 𝐬𝐩𝐞𝐜𝐭𝐚𝐜𝐥𝐞 », l’article du magazine UFC-Que Choisir revient sur l’interdiction faite à Google d’accepter des publicités pour des sites n’ayant pas l’autorisation de vendre des billets. Le journaliste relève que cette victoire judiciaire, confirmée au printemps 2023, « s’est traduite par un tarissement des témoignages reçus à Que choisir » de la part de consommateurs victimes de pratiques illicites.
« Le processus de recherche de billets sur Internet a été assaini, car les premiers résultats affichés sont désormais légitimes » commente Stéphanie Foulgoc, avocate associée de NEXT avocats, représentant Ekhoscènes - Syndicat des entrepreneurs du spectacle vivant privé.
UFC que choisir - N°632 – Février 2024 p. 28—29 « Billets de spectacle – Tout le monde veut vendre sa place »
PROSPECTION PAR PHONING : LA CNIL SANCTIONNE
07/03/2024
La CNIL prononce une sanction de 310 000 euros. Pour réaliser des campagnes de phoning, une société a acheté des fichiers de prospects auprès de « courtiers ». La société a été sanctionnée car la collecte initiale des données n’avait pas été réalisée en conformité avec le #RGPD par les fournisseurs de fichiers.Ce que l’on retient de cette décision :
● Le traitement de données personnelles pour réaliser des campagnes de démarchage par téléphone ne peut pas avoir pour base légale l’intérêt légitime du responsable de traitement : les données n’ont pas été collectées en respectant les obligations d’information des personnes concernées.
● Le consentement à recevoir des sollicitations commerciales suite à la participation à un #JeuConcours en ligne n’est pas un consentement spécifique, libre et éclairé : la possibilité offerte de participer au jeu-concours sans accepter de recevoir ces sollicitations n’était pas mise en évidence lorsque cette possibilité n’existait que sous forme d’un lien hypertexte dans le corps du texte, en caractères d’une taille nettement inférieure à celle utilisée pour les boutons et sans mise en valeur particulière
● Le fait d’avoir obtenu les données auprès « d’un courtier » ne décharge pas le responsable du traitement de son obligation de vérifier si les conditions légales lui permettant de réaliser des opérations de prospection sont réunies.
Conclusion : le responsable de traitement ne peut pas se contenter des déclarations ou engagements du fournisseur de données personnelles. Un audit de conformité de la collecte au RGPD doit être réalisé préalablement à l’achat des données.
Délibération de la CNIL SAN-2024-003 du 31 janvier 2024
Intelligence artificielle générative et droit d’auteur : où en serons-nous ? Histoire prédictive du droit d’auteur appliqué à l’IA.
L’intelligence artificielle (« IA ») dite « générative » a fait son irruption sur la scène des technologies de l’information au cours de ces derniers mois. Des solutions simples, gratuites ou peu onéreuses, peuvent être utilisées par n’importe quelle personne disposant d’une connexion internet pour générer des textes, des images, des musiques, etc. qui sont le résultat du travail algorithmique et automatique du moteur d’IA utilisé, guidé par les instructions formulées en langage naturel (« prompts ») de l’utilisateur. Par itérations, les instructions peuvent se faire de plus en plus précises et aboutir, par exemple, à une image au plus proche de ce que l’utilisateur avait à l’esprit.
Textes, images mais aussi musique ou codes source de logiciels, l’IA se propose aujourd’hui de tout créer et les créations en question sont celles qui sont traditionnellement protégées par un droit de propriété incorporelle : le droit d’auteur.
S’ouvre donc un dialogue complexe entre les droits de ceux qui « promptent » (qui donnent leurs instructions à l’IA), de ceux qui conçoivent le moteur d’IA et de ceux dont les œuvres premières ont été automatiquement analysées par l’IA pour pouvoir nourrir son « intelligence » et alimenter les algorithmes lui permettant de générer, en retour, de nouvelles créations.
Le juriste spécialisé en droit du numérique et de la création est de nouveau interpellé par une nouvelle révolution technologique : qui possède quoi sur les créations générées par l’IA ?
