Messages les plus consultés

lundi 31 juillet 2017

Après le Parlement européen, le CESE publie un avis sur l’intelligence artificielle (IA)


Après les recommandations sur la robotique, émises par le Parlement européen en février dernier (1), le Comité économique social et européen (CESE) vient de se prononcer sur ce sujet dans un avis publié le 31 mai 2017. (2)

L’intelligence artificielle (IA), comme toutes les technologies de rupture, présente de multiples avantages dans de nombreux domaines (industrie, services, éducation, etc.), mais pose également des risques et des défis en matière de sécurité, de contrôle des robots intelligents et de l’IA, ainsi qu’en matière d’éthique et de protection de la vie privée, sans oublier les impacts sur la société et l’économie.


IA et enjeux de société

Le CESE a relevé onze domaines dans lesquels l’IA soulève des enjeux de société et pour lesquels des réponses doivent être apportées : l’éthique ; la sécurité ; la vie privée ; la transparence et l’obligation de rendre des comptes ; le travail ; l’éducation et les compétences ; l’(in)égalité et l’inclusion ; la législation et la réglementation ; la gouvernance et la démocratie ; la guerre ; la superintelligence.


IA et travail : la seconde ère du machinisme

Le CESE se penche également sur l’incidence de l’IA sur le travail, à savoir, l’emploi, les conditions de travail et les régimes sociaux. Selon Erik Brynjolfsson et Andrew McAfee, professeurs à MIT et auteurs de “The Second Machine Age”, il existe une différence majeure entre la première et la seconde ère du machinisme. La première ère du machinisme a consisté dans le remplacement de la force musculaire (animale, humaine) par les machines. Les répercussions ont porté principalement sur les travailleurs manuels et peu qualifiés. Or avec la seconde ère du machinisme, tous les secteurs de l’industrie et de l’économie sont concernés. Les machines “intelligentes” développent des compétences cognitives et peuvent réaliser des prestations intellectuelles. Ainsi, les répercussions porteront non seulement sur les travailleurs peu qualifiés, mais aussi sur les travailleurs diplômés.

De nombreuses catégories d’emplois, aujourd’hui tenus par des humains, devraient disparaître dans les décennies à venir, au profit de robots plus ou moins intelligents et plus ou loins autonomes. Toutefois, de nouveaux emplois devraient voir le jour, bien que l’on ne soit pas en mesure aujourd’hui de prédire leur nature ou leur nombre. En conséquence, l’un des points fondamentaux sera de permettre au plus grand nombre d’acquérir et de développer des compétences numériques.


IA et réglementation

Un autre point abordé par le CESE concerne la réglementation. Le Comité a d’ores et déjà identifié 39 règlements, directives, déclarations et communications qui devront être révisés ou adaptés par l’UE, ainsi que la Charte européenne des droits fondamentaux pour prendre en compte l’IA.


Des préconisations communes à celles du Parlement européen ...

Certaines des préconisations du Comité rejoignent celles émises par le Parlement européen. Le CESE préconise notamment :

    - l’instauration d’un code européen de déontologie pour le développement, le déploiement et l’utilisation de l’IA, “afin que les systèmes d’IA demeurent, tout au long de leur processus d’exploitation, compatibles avec les principes de dignité humaine, d’intégrité, de liberté, de respect de la vie privée, de diversité culturelle et d’égalité entre hommes et femmes, ainsi qu’avec les droits fondamentaux”. Ainsi, les questions éthiques concernant le développement de l’IA doivent être abordées. Les systèmes d’IA doivent être développés et déployés “dans les limites de nos normes, valeurs et libertés fondamentales et des droits de l’homme”. Ces règles devraient s’appliquer, de manière uniforme, à l’échelle mondiale ;

    - la mise en place d’un système européen de normalisation pour la vérification, la validation et le contrôle des systèmes d’IA, fondé sur des normes de sécurité, de transparence, d’intelligibilité et d’obligation de rendre des comptes. Le Comité reconnaît que la robotique doit être réglementée au niveau pan-européen, notamment pour des raisons concurrentielles sur le marché mondial.


Mais une divergence de fond sur le statut juridique du robot

Enfin, et contrairement au Parlement européen, le Comité se prononce contre la création d’une personnalité juridique spécifique pour les robots. Le CESE prône une approche dite “human-in-command” de l’IA, reposant sur un développement responsable, sûr et utile de l’IA, dans le cadre duquel “les machines resteraient les machines, sous le contrôle permanent des humains”. Pour le CESE, une personne physique devra toujours rester responsable en dernier ressort.


     Le Comité économique social et européen, en qualité de représentant de la société civile européenne souhaite poursuivre la réflexion sur l’IA en y associant toutes les parties prenantes concernées dans les domaines de la politique, de l’économie et de l’industrie, la santé et l’éducation notamment. En effet, compte tenu de la nature transverse des questions posées par l’évolution de l’IA et de ses impacts multiples sur la société, le débat doit couvrir tous les pans de la société sur lesquels l’IA est susceptible d’avoir une incidence.

                                                                      * * * * * * * * * * * *

(1) “Résolution du Parlement européen du 16 février 2017 contenant des recommandations à la Commission concernant des règles de droit civil sur la robotique” (2015/2103(INL)), et voir notre article “De la science-fiction au droit : vers un cadre juridique européen de la robotique à l’aube d’une nouvelle révolution industrielle” publié en mai 2017

(2) Avis du Comité économique et social européen “L’intelligence artificielle – Les retombées de l’intelligence artificielle pour le marché unique (numérique), la production, la consommation, l’emploi et la société”, 31 mai 2017, (INT/806 – EESC-2016-05369-00-00-AC-TRA (NL))

 
Photo © ClaudeAI.uk (https://claudeai.uk/ai-blog/ ) 
 
Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Juillet 2017

jeudi 20 juillet 2017

Plateformes en ligne : le Parlement européen pour une évolution de leur régime de responsabilité


Répondant à une communication de la Commission européenne du 25 mai 2016, le Parlement européen a voté, le 15 juin 2017, une résolution dans laquelle les euro-députés se sont prononcés en faveur de la responsabilisation des plateformes en ligne concernant le respect du droit d’auteur, la lutte contre les contenus illégaux, et la protection des mineurs et des consommateurs. (1)


La définition du terme “plateforme”


Les euro-députés constatent tout d’abord la difficulté de donner une définition unique de la notion de plateforme en ligne “qui soit juridiquement pertinente et à l’épreuve du temps, compte tenu de facteurs tels que la grande variété des plateformes en ligne et de leurs domaines d’activités ou encore l’évolution rapide de l’environnement numérique à l’échelle mondiale”. Les plateformes, B-to-C ou B-to-B, englobent en effet un large éventail d’activités telles que moteurs de recherche, réseaux sociaux, commerce électronique, communication et médias, paiement en ligne, etc. Il est donc difficile de créer des règles applicables aux différents types de plateformes et il semble plus approprié de les aborder de manière sectorielle.

Il existe néanmoins des caractéristiques communes aux plateformes, telles que par exemple, la possibilité de mettre en relation différents types d’utilisateurs, d’offrir des services en ligne adaptés à leurs préférences et fondés sur des données fournies par les utilisateurs, de classer ou de référencer des contenus, notamment au moyen d’algorithmes.


L’évolution du régime de responsabilité des intermédiaires

Les plateformes en ligne qui hébergent des contenus fournis par des tiers-utilisateurs bénéficient actuellement du régime de responsabilité des hébergeurs, prévu à l’article 14 de la directive du 8 juin 2000 sur le commerce électronique (2) (transposée en droit français par la loi du 21 juin 2004 pour la confiance dans l’économie numérique). (3)

En vertu de ce régime de responsabilité, les hébergeurs ne peuvent voir leur responsabilité engagée pour les contenus hébergés sur leurs serveurs que s’ils en avaient une connaissance effective, ou si après avoir été informés de leur caractère manifestement illicite, ils n’ont pas supprimé l’accès à ces contenus.

La jurisprudence a été amenée à définir les contours de la notion d’hébergeur, et plus particulièrement les cas dans lesquels leur responsabilité pouvait être engagée, à savoir, lorsque l’hébergeur (ou la plateforme) a connaissance des contenus hébergés par la notification de leur caractère manifestement illicite, par une modération de ces contenus avant leur mise en ligne, voire par une intervention sur ces contenus (référencement par exemple). (4)

Même si le régime de responsabilité spécifique des hébergeurs est adapté à l’activité des plateformes en ligne, pour autant qu’elles n’interviennent pas sur les contenus hébergés, avec le temps les plateformes ont réalisé de plus en plus d’opérations sur les contenus hébergés, afin d’améliorer leur référencement et/ou de le monétiser via des bannières publicitaires et autres actions marketing de plus en plus ciblées.

Selon les euro-députés, le développement durable et la confiance des consommateurs dans les plateformes en ligne nécessite un environnement réglementaire “efficace et attrayant”. Les euro-députés proposent alors de préciser les obligations des intermédiaires, notamment en responsabilisant les plateformes qui ne jouent pas un rôle neutre au sens de la directive du 8 juin 2000 sur le commerce électronique, qui ne pourraient plus bénéficier du régime de responsabilité aménagé.

A cette fin, les euro-députés demandent à la Commission de formuler “des orientations sur la mise en œuvre du cadre de responsabilité des intermédiaires afin de permettre aux plateformes en ligne de respecter leurs obligations ainsi que les règles relatives à la responsabilité", notamment en clarifiant les procédures de notification et de retrait de contenus et en présentant des orientations sur les mesures volontaires de lutte contre ces contenus.


Plateformes en ligne et partage de contenus culturels

L’évolution de la responsabilité des plateformes est une demande importante du Parlement notamment pour les industries culturelles et créatives, avec un renforcement des mesures de lutte contre les contenus en ligne illégaux et dangereux – une référence étant faite à la proposition de directive SMA (services de médias audiovisuels) et aux mesures pour les plateformes de partage de vidéos, concernant la protection des mineurs et le retrait des contenus associés à des discours haineux.

Par ailleurs, constatant que bien que l’on n’ait jamais autant consommé de contenus issus de la création, par l’intermédiaire de plateformes de mise à disposition de contenu par les utilisateurs  (tels que Youtube ou Dailymotion par exemple) et les services d’agrégation de contenus, les secteurs de la création ne bénéficient pas d’une augmentation de leurs revenus proportionnée à cette augmentation de la consommation.

Alors que plusieurs textes européens sont en cours d’examen au Parlement, les euro-députés souhaitent un renforcement de la sécurité juridique et du “respect envers les titulaires de droits”. Selon les euro-députés, les plateformes qui hébergent un volume important d’oeuvres protégées, mises à la disposition du public, devraient conclure des accords de licence avec les titulaires de droits correspondants, (à moins qu’elles ne soient pas actives et qu’elles relèvent du régime de responsabilité prévu à l’article 14 de la directive de juin 2000), en vue de partager avec les auteurs, créateurs et titulaires de droits correspondants une juste part des bénéfices engendrés.

De telles initiatives commencent ainsi à voir le jour, telle la plateforme de streaming musical Spotify, qui a annoncé récemment la création d'un fonds de 43 millions de dollars pour améliorer la rémunération des droits d'auteur d'artistes américains. (5)


Plateformes et algorithmes

Les euro-députés rappellent enfin l’importance de préciser les méthodes de prise de décision fondée sur des algorithmes et de promouvoir la transparence quant à leur utilisation de ces algorithmes. L’accent doit être mis sur les risques d’erreur et de distorsion dans l’utilisation des algorithmes afin de prévenir toute discrimination ou pratique déloyale et toute atteinte à la vie privée. Le Parlement demande à la Commission européenne de mener une enquête sur les erreurs possibles et l’exploitation des algorithmes et de créer des conditions de concurrence équitables pour des services en ligne et hors ligne comparables.


Bien que les résolutions ne soient pas des actes réglementaires contraignants - les résolutions ne créent pas d’obligations juridiques mais ont une valeur politique et indicative -, ce texte a pour objet de communiquer la position des députés européens à la Commission. Celle-ci s’en inspirera lors de sa proposition de révision de la directive e-commerce qui devrait intervenir dans les mois à venir.

                                                             * * * * * * * * * * * *

(1) Résolution du Parlement européen du 15 juin 2017 sur “Les plateformes en ligne et le marché unique numérique” et Communication de la Commission du 25 mai 2016 sur “Les plateformes en ligne et le marché unique numérique – Perspectives et défis pour l’Europe

(2) Directive 2000/31/CE du Parlement européen et du Conseil du 8 juin 2000 relative à certains aspects juridiques des services de la société de l'information, et notamment du commerce électronique, dans le marché intérieur («directive sur le commerce électronique»)

(3) L’article 6 I 2 de la LCEN dispose que “Les personnes physiques ou morales qui assurent, même à titre gratuit, pour mise à disposition du public par des services de communication au public en ligne, le stockage de signaux, d'écrits, d'images, de sons ou de messages de toute nature fournis par des destinataires de ces services ne peuvent pas voir leur responsabilité civile engagée du fait des activités ou des informations stockées à la demande d'un destinataire de ces services si elles n'avaient pas effectivement connaissance de leur caractère illicite ou de faits et circonstances faisant apparaître ce caractère ou si, dès le moment où elles en ont eu cette connaissance, elles ont agi promptement pour retirer ces données ou en rendre l'accès impossible.
L'alinéa précédent ne s'applique pas lorsque le destinataire du service agit sous l'autorité ou le contrôle de la personne visée audit alinéa.


(4) Voir par exemple TGI Paris, ordonnance du 15 novembre 2004, Jurisdata 2004 n°258504 ; CA Paris, 4é ch.A, 7 juin 2006, Tiscali Media c. Dargaud ; CA Paris, Pôle 5 ch.1, 2 déc. 2014, TF1 et autres c. Dailymotion

(5) “Spotify crée un fonds de 43 millions de dollars pour indemniser les artistes”, in La Tribune 30 mai 2017



Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Juillet 2017

jeudi 13 juillet 2017

Entrée en application du RGPD en mai 2018 : comment organiser votre mise en conformité au règlement européen ?


Le règlement général sur la protection des données (RGPD) entrera en application dans tous les pays de l’Union européenne dans moins d’un an, le 25 mai 2018. (1) Il s’agit d’une profonde réforme du droit de la protection des données personnelles qui nécessite, pour les organismes - entreprises, associations et administrations -, de prendre des mesures de mise en conformité afin d’être prêt en mai 2018. De nombreuses différences existent entre la loi Informatique et Libertés et le règlement européen. Notamment, le règlement, qui prend en compte l’évolution des technologies et des modes de traitement des données, a pour ambition de renforcer les droits des personnes concernées sur leurs données, par des règles plus claires relatives au consentement à la collecte et au traitement des données personnelles, mais aussi concernant les politiques de protection des données des entreprises.

Les organismes sont désormais soumis à un nouveau principe de responsabilité (“accountability”) applicable à la protection des données dans l’entreprise. Ce principe de responsabilité se traduit par la mise en place de procédures nouvelles, telles que la prise en compte de la protection des données dès la conception d’un produit ou d’un service (“privacy by design”), la réalisation d’analyses d’impact relatives à la protection des données lorsque le traitement est susceptible d’engendrer des risques pour les droits des personnes concernées, la tenue d’un registre des traitements et des procédures mises en place, l’obligation de notifier les violations de données personnelles (à la suite d’une faille de sécurité ou d’une cyberattaque par exemple).

Pour rappel, le montant des sanctions pour violation des dispositions du RGPD sera beaucoup plus élevé qu’actuellement, puisqu’il pourra atteindre, suivant la nature de l’infraction, entre 10 millions d’euros ou 2% du chiffre d’affaires mondial de l’entreprise, et 20 millions d’euros ou 4% du chiffre d’affaires mondial de l’entreprise…

La CNIL en France, et les membres du G29 (CNIL européennes) travaillent activement pour aider les organismes à se préparer à la mise en conformité au RGPD. La CNIL a publié un plan pour aider les organismes à s’organiser pour se préparer à la mise en conformité au RGPD. Par ailleurs, les membres du G29 ont adopté des lignes directrices dont l’objet est de préciser certaines notions nouvelles du règlement.


1. Le plan de mise en conformité préconisé par la CNIL

La Commission nationale de l’informatique et des libertés a publié un plan pour aider les organismes à préparer la mise en conformité au RGPD. (2) Celui-ci se décline en six étapes, comme suit :

    - Etape 1 : désigner un “pilote” à la conformité - CIL ou futur DPO
Compte tenu de la complexité de la mise en oeuvre de la conformité au RGPD, une personne doit être désignée pour piloter cette phase. Cette personne, - correspondant informatique et libertés (CIL), futur délégué à la protection des données (DPD ou DPO) ou conseil externe -, exercera une mission d’information, de conseil et de contrôle en interne et permettra d'organiser et coordonner les actions de mise en conformité à mener.

    - Etape 2 : cartographier les traitements de données personnelles
Pour mesurer concrètement l’impact du règlement européen sur la protection des données traitées par l’entreprise, les traitements réalisés doivent être recensés dans un registre.

    - Etape 3 : prioriser les actions à mener
Sur la base des traitements recensés, les actions de conformité à mettre en oeuvre pourront être identifiées. Ces actions seront classées par ordre de priorité, au regard des risques des traitements réalisés, sur les droits et les libertés des personnes concernées.

    - Etape 4 : gérer les risques
Si des traitements de données personnelles susceptibles d'engendrer des risques élevés pour les droits et libertés des personnes concernées ont été identifiés, une analyse d'impact sur la protection des données (DPIA) devra être réalisée pour chacun de ces traitements. A cette fin, les organismes peuvent se référer aux lignes directrices sur les analyses d’impact relatives à la protection des données pour les guider dans la mise en oeuvre de ces nouvelles procédures (voir ci-après).

    - Etape 5 : organiser les processus internes
Pour assurer un haut niveau de protection des données personnelles en permanence, des procédures internes devront être prévues. Ces procédures devront garantir la prise en compte de la protection des données à tout moment, en considérant l’ensemble des événements qui peuvent survenir au cours de la vie d’un traitement (tels que faille de sécurité, gestion des demande de rectification ou d’accès, modification des données collectées, etc.).

    - Etape 6 : documenter la conformité
Pour démontrer la conformité de l’entreprise au règlement, il conviendra de constituer et regrouper la documentation nécessaire (procédures internes, analyses d’impact, documents d’audit interne, etc.). Ces documents devront être mis à jour régulièrement.


2. Les lignes directrices élaborées par les membres du G29 au 30 juin 2017

Les membres du G29 ont publié plusieurs documents de support à la mise en oeuvre du règlement dont l’objet est de clarifier les nouveaux principes à mettre en oeuvre. Ces lignes directrices (“guidelines”) doivent accompagner les organismes dans leurs travaux de mise en conformité au RGPD. Fin juin 2017, les lignes directrices suivantes étaient publiées :

    - Lignes directrices sur les analyses d’impact relatives à la protection des données
Ces lignes directrices détaillent les types de traitements concernés par une analyse d’impact, les méthodologies existantes pour réaliser une analyse d’impact, les règles selon lesquelles une analyse d’impact doit être publiée et/ou communiquée à l’autorité de contrôle, et les règles selon lesquelles l’autorité de contrôle doit être consultée en cas de traitement potentiellement à risques.

La notion d’analyse d’impact relative à la protection des données (Data Protection Impact Assessment (DPIA) est définie à l’article 35 du RGPD. L’analyse d’impact a pour objet de décrire le traitement envisagé, évaluer la nécessité et la proportionnalité du traitement, et doit permettre de gérer les risques sur les droits et libertés des individus, générés par ce traitement de données.

L’analyse d’impact est l’un des mécanismes prévus dans le cadre de la notion de responsabilité, permettant aux responsables de traitement de se mettre en conformité et de démontrer que des mesures appropriées ont été prévues pour assurer cette conformité au règlement. Le non-respect de l’obligation de réaliser une analyse d’impact est passible, pour l’organisme fautif, d’une amende administrative pouvant s’élever à 10 millions d’euros ou 2% de son chiffre d’affaires mondial de l’année précédente.

    - Lignes directrices relatives au délégué à la protection des données
Ces lignes directrices détaillent les conditions de désignation d’un délégué à la protection des données (DPD ou DPO - data protection officer), ainsi que le rôle et les missions du DPO. La notion et les fonctions du délégué à la protection des données sont prévues aux articles 37 à 39 du règlement européen.

Dans le cadre de l’obligation générale de conformité au RGPD, certains organismes - responsables de traitement et sous-traitants, devront nommer un délégué à la protection des données. Bien que ce concept ne soit pas nouveau (cf le correspondant informatique et libertés - CIL, en France), la désignation d’un DPO n’était pas obligatoire en vertu de la directive de 1995.

Le DPO permet aux organismes d’assurer leur conformité au règlement européen (fonctions d’audit par exemple, de relais entre les différents départements de l’entreprise, avec les autorités de contrôle, et avec les personnes concernées). En revanche, comme le CIL, le DPO ne peut être tenu responsable en cas de non-conformité de l’organisme à la règlementation. Le responsable de traitement, ou le sous-traitant, reste responsable de la conformité au règlement et à sa mise en oeuvre.

    - Lignes directrices sur le droit à la portabilité des données

Ces lignes directrices définissent la notion de droit à la portabilité des données, identifient les principaux éléments de ce nouveau droit, identifient les situations quand ce droit doit s’appliquer, définissent comment les règles relatives aux droits des personnes concernées s’appliquent au droit à la portabilité des données, et enfin, définissent comment les données doivent être communiquées.

Le droit à la portabilité des données est prévu à l’article 20 du règlement européen. Contrairement au droit d’accès, prévu dans la directive de 1995, ce nouveau droit permet aux personnes concernées de recevoir les données fournies au responsable de traitement, dans un format structuré et lisible par la machine et de transmettre ces données à un nouveau responsable de traitement. Le droit à la portabilité des données sera utilisé en cas de passage d’un fournisseur à un autre, mais pas uniquement.

    - Lignes directrices sur l’autorité du chef de file

Le règlement européen crée la notion d’autorité de contrôle chef de file, pour les traitements de données transfrontaliers.

Ces lignes directrices permettent d’identifier l’autorité chef de file compétente pour les traitements de données transfrontaliers, notamment lorsque le lieu de l’établissement principal du responsable de traitement est différent de son siège européen, lorsque plusieurs sociétés sont concernées au sein d’un groupe, ou lorsqu’il y a plusieurs responsables de traitement conjoints. La situation des sous-traitants est également abordée. 

D’autres lignes directrices sont en cours d’élaboration : lignes directrices sur la certification, lignes directrices concernant la notification de violations de données personnelles, lignes directrices sur le consentement des personnes, enfin lignes directrices sur le profilage.


                                                                * * * * * * * * * * * *

(1) Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données ou RGPD)

(2) Voir site de la CNIL

(3) Lignes directrices disponibles, en anglais, sur le site de la CNIL : Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is “likely to result in a high risk” for the purposes of Regulation 2016/679 ; Guidelines on Data Protection Officers (“DPOs”) ; Guidelines on the right to data portability ; Guidelines for identifying a controller or processor’s lead supervisory authority


Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Juillet 2017