11/12/2023

En Intelligence Artificielle, l’Union Européenne est la 1ère… à réglementer.

Qu’y a-t-il dans l’accord intervenu le 8 décembre entre le Conseil et le Parlement sur le contenu du Règlement sur l’Intelligence Artificielle ? Tout n’est pas encore connu et il faudra attendre une version consolidée du texte. Voici ce que nous savons déjà.

Les systèmes d’IA sont régulés selon leur niveau de risque :

●Risque limité ➡️ Simples obligations de transparence et d’information à la charge du fournisseur

●Risque élevé : IA utilisée dans les 8️⃣ domaines suivants : Systèmes biométriques et fondés sur la biométrie / Management et opération d’infrastructures critiques / Education et formation professionnelle / Recrutement et gestion des ressources humaines / Accès aux services publics ou services essentiels / Police / Immigration, gestion du droit d’asile, contrôle des frontières / Justice ➡️ Obligations techniques particulières à respecter pour le fournisseur.

●Risque inacceptable : IA destinée à manipuler les comportements humains / exploiter les vulnérabilités des personnes / permettre la notation sociale par les autorités publiques ➡️ Interdiction totale sauf exceptions.

L’accord intervenu entre le Conseil et le Parlement doit permettre de clarifier :

- les responsabilités respectives des fournisseurs et utilisateurs des systèmes d’IA ;
- les règles applicables aux système d’IA à usage général. Un organe ad hoc auprès de la Commission européenne sera chargé de les surveiller ;
- les règles applicables aux modèles de fondation.

Des inquiétudes demeurent en matières de libertés publiques s’agissant de l’utilisation de l’IA par les autorités de police, notamment pour la reconnaissance faciale en directe dans l’espace public. v Des sanctions pouvant aller jusqu’à 35 millions d’euros ou 7% du CA mondial pourront être prononcées en cas de non respect du règlement.

Après sa publication au JOUE, le règlement devrait entrer en vigueur fin 2025.

Le communiqué de presse

31/10/2023

L’UE et les autres membres du G7 appellent les organisations qui fournissent, développent, déploient et utilisent des systèmes d’IA avancés à respecter les principes suivants :

● Identifier, évaluer et atténuer les risques tout au long du cycle de vie de l’IA.
● Mettre en place un système de surveillance et d’atténuation des vulnérabilités, des incidents, des risques et des abus, y compris après mise sur le marché.
● Rendre compte publiquement des capacités, des limites et des domaines d’utilisation des systèmes d’IA dans un but de responsabilisation et de transparence accrue.
● Encourager le partage responsable d’informations et le signalement d’incidents entre les organisations développant des systèmes avancés d’IA.
● Élaborer et divulguer des politiques de gouvernance de l’IA et de gestion des risques.
● Adopter des mesures de protection contre les menaces internes tout au long du cycle de vie de l’IA.
● Développer des mécanismes fiables d’authentification et de provenance du contenu crée avec l’IA avancé.
● Prioriser la recherche pour atténuer les risques pour la société et la sécurité et prioriser l’investissement dans des mesures d’atténuation efficaces.
● Donner la priorité au développement de systèmes d’IA avancés pour relever les défis mondiaux, notamment la crise climatique, la santé mondiale, l’éducation.
● Promouvoir l’élaboration et l’adoption de normes techniques internationales.
● Mettre en œuvre des mesures appropriées de protection des données personnelles et de la propriété intellectuelle.

Ces principes ont servi de base à l’élaboration d’un code de conduite afin de fournir des orientations pratiques et détaillées aux organisations qui développent l’IA : gestion des risques, suivi post-déploiement, transparence, partage d’informations, gouvernance, contrôles de sécurité, authentification des contenus.

Selon la Commission européenne : « Ces principes et le code de conduite volontaire compléteront, au niveau international, les règles juridiquement contraignantes auxquelles les colégislateurs de l'UE mettent actuellement un point final dans le cadre de la législation de l'Union sur l'IA.

Les principes directeurs internationaux du G7 en matière d’IA

Le code de conduite international du G7 en matière d’IA

26/10/2023

Adoption du règlement de l’UE sur l’intelligence artificielle : les recommandations du European Data Protection Supervisor.

Présenté en avril 2021 par la Commission européenne, le règlement sur l’IA vient de franchir une nouvelle étape. L’EDPS - European Data Protection Supervisor a publié le 24 octobre 2023 son avis sur le projet de texte. Que suggère l’EDPS ?

● De supprimer l’exemption d’application du règlement aux systèmes d’IA à haut risque existants à la date d’entrée en vigueur du règlement.
● De permettre aux personnes concernées par l’utilisation des systèmes d’IA d’introduire une plainte devant une autorité compétente en incluant explicitement la compétence de l’EDPS à recevoir les plaintes.
● De clarifier la définition des « fournisseurs » de systèmes d’IA qui sont les débiteurs de la plupart des obligations figurant dans le projet de règlement.
● De supprimer l’exemption d’application du règlement aux systèmes d’IA utilisé dans le cadre de la coopération internationale.
● Que soit clarifié son rôle, ses missions et ses pouvoirs dans le cadre du règlement.

L’adoption par le Parlement européen le 16 juin 2023 du projet modifié de règlement a initié le cycle de négociations en « trilogue » entre la Commission, le Conseil et le Parlement européen. Le 5ème cycle de négociation a débuté le 24 octobre 2023.

Le communique de presse sur les recommandations finales du EDPS.

19/05/2023

Signature électronique en ligne : la jurisprudence se développe et n’est pas nécessairement en faveur des solutions de contractualisation en ligne comme l'illustre l'arrêt de la Cour d’appel de Toulouse du 14 février 2023 : une banque qui souhaitait opposer un contrat conclu en ligne sous forme électronique à un emprunteur qu’elle considérait défaillant est déboutée.

La banque invoquait :

● le fait qu’elle disposait d’une « enveloppe électronique contenant un fichier de preuve crée par un prestataire de services de certification électronique attestant de la signature du document par le signataire » ● Et que « Le signataire s’était identifié en saisissant un code qui lui a été transmis » par la banque.

Toutefois, la Cour d’appel :

● rappelle que la signature électronique, pour être présumée fiable, doit être une signature « qualifiée » au sens du règlement UE du 23 juillet 2014 et donc reposer sur un « certificat qualifié » de signature électronique permettant d’identifier le signataire; ● indique qu’aucun des éléments débattus ne permet de rattacher l’adresse de courrier électronique et l’adresse IP conservée dans le « ficher de preuve » au défendeur ; ● constate que « La banque ne démontre donc pas que la signature électronique invoquée est liée » au défendeur « de manière univoque » et ne permet pas de l'identifier. « Pas davantage n'est rapportée la démonstration de ce que cette signature a été créée à l'aide de données de création de signature électronique que le signataire peut, avec un niveau de confiance élevé, utiliser sous son contrôle exclusif; et qu'elle est liée aux données associées de telle sorte que toute modification ultérieure des données soit détectable, exigences résultant des c) et d) de l'article 28 du règlement UE susvisés ».

➡️ La banque n'établissant pas sa qualité de créancière, ni au titre des intérêts, ni au titre du capital est déboutée de l'ensemble de ses demandes en remboursement.

L’application précise du règlement eIDAS et des article 1366 et 1367 du code civil peut avoir des conséquences majeures pour tous les créanciers qui pensent disposer d’une preuve fiable alors qu’elle ne réunit pas l’ensemble des conditions de validé de la signature électronique.

18/04/2023

Rapport 2022 de la Défenseure des droits : le numérique comme facteur d’atteinte aux droits et à l’égalité

La majorité des réclamations (82 200) reçue par la Défenseure des droits en 2022 porte sur les relations des usagers avec les services publics, notamment en raison des conséquences de la dématérialisation des services publics au préjudice des droits des usagers.

Le rapport met en exergue le fait que la dématérialisation devait s’inscrire comme une offre supplémentaire et non substitutive des services publics.

Or, il constate des prises de contact impossibles avec les services publics autrement que via leurs sites internet (sans possibilité de contact humain ou téléphonique) ; des prises de rendez-vous en ligne difficiles voire impossibles ou l’absence de réponse de la part d’une administration, notamment envers les publics vulnérables et étrangers.

La Défenseure des droits constate que cette situation expose les personnes à une privation de leurs droits et est source d’inégalité entre les usagers.

10/02/2022

Reproduction du sac et de la marque Birkin sous forme de NFT : un tribunal de New-York condamne l’émetteur de 100 NFT reproduisant le célèbre sac d’Hermès à 130 000 dollars de dommages et intérêts.

Etienne Papin interrogé par pour Les Echos : « Quand une société est titulaire d’une marque (…) elle est légitime à user de son droit de propriété pour lutter contre sa dévalorisation ».

21/02/2022

Vous pouvez maintenant revoir l’intégralité de la conférence d’Etienne Papin sur le financement de la création audiovisuelle par les NFT faite lors des Radi Raf 2020 2022 à Angoulême. ▶️ C’est ici.

Son intervention « A legal walk in Metaverse » au Cnam-Enjmin peut également être revue (à partir de 54’00) ▶️ C'est là.

06/10/2022

La régulation de l'IA est un sujet qui agite les institutions françaises et européennes.

Après le Conseil d’Etat qui vient de publier une étude sur les apports potentiels de l’intelligence artificielle pour l’action publique et la Cour de cassation associée à l’INRIA qui propose d’utiliser l’IA pour éviter les divergences de jurisprudence entre les juridictions, la Commission européenne s’attèle au chantier de l’harmonisation des règles nationales en matière de responsabilité délictuelle et de responsabilité des produits défectueux.

La première proposition de directive vise à établir des règles uniformes pour l'accès à l'information et l'allègement de la charge de la preuve en ce qui concerne les dommages causés par des systèmes d'IA et d'instaurer une protection plus large pour les victimes (qu'il s'agisse de particuliers ou d'entreprises).

L’objectif est également d’étendre à l’IA certaines règles pour les actions en réparation ne relevant pas du champ d'application de la directive sur la responsabilité du fait des produits, dans les cas où des dommages sont causés par un comportement fautif (ex : atteinte à la vie privée ou discrimination du fait d’une IA).

Enfin, elle simplifiera le processus juridique pour les victimes en instaurant une présomption de causalité lorsque la faute d’une IA semble raisonnablement probable et en leur octroyant un droit d’accès aux éléments de preuve auprès des entreprises.

06/07/2022

La complexe garantie légale de conformité des biens et contenus numériques (➡️ voir notre présentation) vient de voir son décret d’application publié (décret n°2022-946 du 29 juin 2022).

On retiendra notamment que :

● L’obligation d’information relative à la garantie légale de conformité à la charge du professionnel doit s'exercer par l'insertion d'un encadré, conforme à un modèle prévu par le décret, dans les conditions générales de vente ou de services.
● Lorsqu’un consommateur consent au traitement de ses données personnelles en contrepartie d’un service « gratuit » ou à prix réduit, le professionnel doit préciser son modèle économique en faisant apparaître l’incidence de ce traitement.
● Lors de la fourniture des mises à jour logicielles des biens comportant des éléments numériques, le producteur doit indiquer les logiciels concernés par la mise à jour, la durée de fourniture desdits logiciels, leurs caractéristiques essentielles et toute évolution concernant ces informations.
● La mise en conformité du bien numérique affecté d’un défaut doit faire l’objet de précisions sur les modalités pratiques de renvoi du bien.
Le tout sera applicable au 1er octobre 2022.

07/06/2022

Le 30 mai 2022, l’Autorité des marchés financiers (AMF) a mis à jour sa doctrine relative au régime des prestataires de services sur actifs numériques (PSAN). L’occasion pour elle de rappeler que les prestataires susceptibles d’être considérés comme PSAN doivent s’assurer que les actifs sur lesquels portent leurs services constituent des actifs numériques (!)

● L’AMF consacre le fait que les activités de staking (activité dite « d’engagement ») et #cryptolending (prêt d’actifs numériques) peuvent requérir un enregistrement ou un agrément. L’AMF invite les acteurs à « mener une analyse juridique approfondie » de leurs services. (article 12.3)

● L’AMF considère également que l’accès par un prestataire au portefeuille d’actifs numériques du client par l’intermédiaire d’une interface de programme d’application (API) est susceptible de qualifier le service de conservation d’actifs numériques ou d’autres services sur actifs numériques, « selon les droits conférés via l’interface au prestataire ». (article 9.1)

● L’AMF précise la notion de communication à caractère promotionnel : il s’agit de la communication qui peut être adressée pour le compte du PSAN par un tiers « à sa demande expresse ou avec son accord, même tacite ». L’AMF précise qu’il s’agit, par exemple, de la diffusion de liens inclus sur des pages internet de sites tiers et qui redirigent vers la plateforme de l’acteur. (article 3.1)

● Au sujet des critères pris en compte par l’AMF pour l’agrément des prestataires de services sur actifs numériques, il est ajouté une exigence : désormais, les supports de communication proposés par le PSAN doivent être clairs, exacts et, sauf autre accord du client, en Français. (article 4.2)