AI Act : quelles obligations pour les fournisseurs de modèles d’IA à usage général (GPAI) ?

Ce qu’il faut retenir

Le Règlement européen sur l’intelligence artificielle (ou “AI Act”), adopté le 13 juin 2024, marque une avancée déterminante dans l’encadrement des technologies d’IA dans l’UE. Les fournisseurs de systèmes d’IA sont soumis à des obligations particulières en matière de conformité, de gouvernance, de sécurité et de transparence concernant le développement et la mise sur le marché de systèmes d’IA. Ce second article est une synthèse sur les obligations concernant les fournisseurs de modèles d’IA à usage général (GPAI).

 

Lire la suite de l'article:  https://www.deleporte-wentz-avocat.com/actualite-ai-act-quelles-obligations-pour-les-fournisseurs-de-modeles-d-ia-a-usage-general-gpai

AI Act : quelles obligations pour les fournisseurs de systèmes d’IA à haut risque ?

 

 

Ce qu’il faut retenir

Le Règlement européen sur l’intelligence artificielle (ou “AI Act”), adopté le 13 juin 2024, marque une avancée déterminante dans l’encadrement des technologies d’IA dans l’UE. Les fournisseurs de systèmes d’IA sont soumis à des obligations particulières en matière de conformité, de gouvernance, de sécurité et de transparence concernant le développement et la mise sur le marché de systèmes d’IA. Ce premier article est une synthèse sur les obligations concernant les fournisseurs de systèmes d’IA à haut risque.

 

Lire la suite de l'article : https://www.deleporte-wentz-avocat.com/actualite-ai-act-quelles-obligations-pour-les-fournisseurs-de-systemes-d-ia-a-haut-risque

L’utilisation des dashcams est-elle licite ?

Ce qu’il faut retenir

L’utilisation des dashcams dans les véhicules n’est pas réglementée spécifiquement en France. L’utilisation des enregistrements doit toutefois respecter les règles de droit à la vie privée, de protection des données personnelles et d’admissibilité de la preuve.

 

Lire la suite de l'article : https://www.deleporte-wentz-avocat.com/actualite-l-utilisation-des-dashcams-est-elle-licite

Intelligence artificielle - une réglementation en construction

 

Ce qu'il faut retenir

L’Union européenne est entrain de construire un droit européen de l’intelligence artificielle : une proposition de règlement, dont l’objet est d’établir des règles harmonisées, a été publiée en avril 2021, axée sur les risques et la responsabilisation des producteurs de systèmes d’intelligence artificielle, suivie de deux propositions de directives le 28 septembre 2022, dont l’objet est de définir et d’encadrer le régime de responsabilité lié aux systèmes d’IA. Ce règlement devrait être adopté d’ici début 2024. Le présent article porte sur la proposition de règlement - ou AI Act.

 

Lire la suite de l'article : https://www.deleporte-wentz-avocat.com/actualite-intelligence-artificielle-une-reglementation-en-construction

DSA : Proposition de règlement sur les services numériques pour encadrer les fournisseurs de services en ligne

Le droit européen du numérique est sur le point d’être profondément réformé avec l’adoption dans les semaines à venir du Règlement sur les marchés numériques (Digital Markets Act - DMA) puis du Règlement sur les services numériques (Digital Services Act - DSA), pour une entrée en vigueur qui devrait intervenir début 2023. Un accord sur le texte définitif du DMA a été trouvé à l’issue du trilogue entre des représentants du Parlement, du Conseil et de la Commission le 24 mars. Le DSA est également en cours de discussions finales. (1)

Ces deux textes ayant des objectifs distincts, nous avons présenté le DMA dans un premier article et présentons les principales dispositions du DSA ci-après.

 

Ce qu’il faut retenir

L’objectif du DSA est de réguler les fournisseurs de services “intermédiaires en ligne”, en leur imposant de nouvelles obligations de transparence et de diligence, afin d’améliorer la lutte contre les contenus illicites et la propagation de fausses informations.  

Les règles de responsabilité des “intermédiaires en ligne” ne sont pas profondément modifiées mais sont aménagées pour prendre en compte l’évolution des services numériques et harmoniser la réglementation dans l’Union européenne.

Le DSA prévoit la mise en place de nouvelles procédures de contrôle avec un système de modération des contenus par les plateformes plus transparent, une meilleure identification des vendeurs professionnels par les plateformes, ainsi que des règles de prévention et de transparence spécifiques pour les “très grandes plateformes” en ligne

Enfin, de nouvelles autorités de contrôle seraient créées au niveau des Etats-membres et au niveau communautaire (Comité européen des services numériques - CESN).


1. Objectif et champ d’application du DSA

Le champ d’application du DSA est plus étendu que le DMA, puisqu’il concerne un large éventail de fournisseurs de services “intermédiaires” en ligne, alors que le DMA se concentre principalement sur les GAFAM (les “contrôleurs d’accès”). (2)

Depuis plusieurs années, la Commission européenne et les tribunaux nationaux tentent d’imposer aux fournisseurs de services en ligne un meilleur contrôle des contenus et produits illicites diffusés et vendus par leur intermédiaire. Jusqu’à présent, les avancées sont restées très limitées, les fournisseurs de services concernés se retranchant derrière la règlementation en vigueur dans leur propre juridiction ou dans l’Union européenne.

L’objectif du DSA est de réguler les fournisseurs de services numériques, ou fournisseurs de services “intermédiaires en ligne”, en leur imposant de nouvelles obligations de transparence et de diligence, afin de lutter plus efficacement contre les contenus illicites et la propagation de fausses informations et in fine, améliorer la qualité des contenus et la confiance des utilisateurs. Ces nouvelles obligations seront cependant adaptées en fonction de la taille du fournisseur de services concerné.

Les contours de la responsabilité des “intermédiaires en ligne” sont redéfinis afin d’améliorer et d’harmoniser la lutte contre les contenus et les produits contrefaisants et illicites (services et produits contrefaisants, contenus à caractère haineux, pédopornographique, terroriste, fausses informations), accessibles en ligne.

Les fournisseurs de services intermédiaires couverts par le DSA recouvrent plusieurs catégories de prestataires de services complémentaires, depuis :
    - les fournisseurs de services de “simple transport”, tels que les fournisseurs de services internet,
    - les fournisseurs de services de “mise en cache”, consistant à transmettre des informations fournies par un bénéficiaire du service, impliquant le stockage automatique, intermédiaire et temporaire de cette information, dans le but de rendre plus efficace la transmission ultérieure de l’information à la demande d’autres bénéficiaires, et enfin
    - les fournisseurs de services d’”hébergement” comprenant notamment les services cloud, les plateformes d’applications (app stores), plateformes de partage de contenus et d’intermédiation, places de marché, réseaux sociaux, etc.

Des discussions sont en cours pour inclure les moteurs de recherche dans le champ du DSA.


2. Un ajustement du régime de responsabilité des fournisseurs de services

Actuellement, le régime de responsabilité applicable aux acteurs de l’internet est binaire. Hormis les fournisseurs d’accès à internet et les fournisseurs de services de mise en cache qui ne sont pas en principe responsables des contenus, les sites web tels que les sites de e-commerce ou les sites d’information, sont globalement soumis au régime des éditeurs, responsables du contenu qu’ils mettent en ligne. D’autre part, les hébergeur techniques, qui hébergent des contenus tiers, mis en ligne par les utilisateurs du service sont soumis à un régime de responsabilité atténuée. Non soumis à une obligation générale de surveillance des contenus hébergés, leur responsabilité est limitée au retrait des contenus manifestement illicites, suite à leur notification par un tiers ou imposé par un juge.

Le DSA ne modifie pas fondamentalement ce système de responsabilité, défini par la directive commerce électronique de juin 2000 (3), mais l’aménage afin de prendre en compte l’évolution des services numériques et d’harmoniser la réglementation dans l’Union européenne.

Ainsi, les fournisseurs de services intermédiaires restent soumis à un régime de responsabilité aménagé pour les contenus mis en ligne par leurs utilisateurs. Comme dans la réglementation actuelle, ces services ne sont pas soumis à une obligation générale de surveillance des contenus, ni de recherche active des faits. (Art. 7 et s. DSA) La notification de contenus illicites aux fournisseurs de services d’hébergement devra être suffisamment précise et dûment motivée. La réception de ces notifications par les hébergeurs signifie qu’il prennent connaissance du caractère illicite du contenu notifié et qu’ils doivent alors traiter ces notifications “en temps opportun, de manière diligente et objective”. (art 14 et s.)

Les fournisseurs de services intermédiaires devront désigner un point de contact unique pour permettre une communication directe avec les autorités des Etats-membres, la Commission et le Comité européen des services numériques. Si le fournisseur de services ne dispose pas d’établissement au sein de l’UE, il devra alors nommer un représentant dans l’un des Etats-membres comme point de contact avec les autorités. (art. 10)


3. La mise en place de nouvelles procédures de contrôle

    3.1 Un système de modération des contenus par les plateformes plus transparent

La Commission européenne souhaite établir un contrôle plus strict des règles de modération des contenus par les plateformes pour assurer un traitement non arbitraire et non discriminatoire des contenus supprimés, et plus de transparence sur le fonctionnement des algorithmes utilisés pour identifier et supprimer les contenus illicites et les fausses informations (“infox”).

A cette fin, les plateformes devront publier un rapport annuel “clair, transparent et facilement compréhensible”, détaillant leur activité en matière de modération des contenus. (art. 13) Les micro-entreprises et PME seraient toutefois exemptées de cette obligation.

    3.2 Une meilleure identification des vendeurs professionnels par les plateformes 

Le renforcement de la sécurité des produits et services proposés à la vente passe par l’amélioration de l’identification, et de la traçabilité des vendeurs professionnels par les plateformes.

A cette fin, le DSA prévoit la mise en place d’un système de connaissance du client commercial (professionnel) par les fournisseurs de services, dont les places de marché. Ce système de “KYBC” (Know Your Business Customer), déjà utilisé dans d’autres secteurs de l’économie, consistera pour les fournisseurs de services, à collecter une série d’informations plus étendue concernant les vendeurs professionnels dont leurs coordonnées (nom, adresse, etc.), un extrait Kbis ou équivalent et une déclaration par laquelle le professionnel s’engage à ne fournir que des produits ou services licites et conformes aux règles communautaires.

Ces informations, qui devront être contrôlées par les fournisseurs de services, ont pour objet de responsabiliser les vendeurs professionnels, à renforcer la protection et la confiance des consommateurs, et enfin à faciliter les poursuites judiciaires en cas de vente de produits ou services illicites ou contrefaisants. (art. 22)

    3.3 La création de nouvelles autorités de contrôle

Au niveau national, la mise en oeuvre des obligations imposées par le DSA et le suivi de la conformité des fournisseurs de services seront contrôlés par de nouvelles autorités compétentes, les coordinateurs pour les services numériques, sauf si l’État membre concerné a assigné certaines missions ou certains secteurs spécifiques à d’autres autorités compétentes. (art. 38 s.)

Un Comité européen des services numériques (CESN) est créé avec pour mission d’assurer la surveillance des fournisseurs de services intermédiaires et de conseiller les coordinateurs pour les services numériques et la Commission. (art. 47 s.)


4. Des règles de prévention et de transparence spécifiques pour les “très grandes plateformes” en ligne (TGPF)

La définition des très grandes plateformes en ligne diffère de celle des contrôleurs d’accès du DMA. Les très grandes plateformes (“TGPF” ou “VLOP”) sont les plateformes disposant de plus de 45 millions de membres actifs dans l’Union européenne. (art. 25) Ce seuil, représentant 10% de la population de l’UE, sera adapté en fonction de son évolution.

Ces très grandes plateformes seront tenues à une série d’obligations supplémentaires pour prendre en compte les risques systémiques posés par leur taille pour les conséquences notamment, de la dissémination de fausses informations.

Parmi ces obligations, on retiendra notamment l’établissement d’un rapport annuel d’évaluation des risques ainsi que la réalisation d’audits indépendants. (art. 26 et 27)

Le rapport annuel d’évaluation des risques porte sur le fonctionnement et l’utilisation de leurs services au sein de l’UE, y compris la diffusion de contenus illicites par leur intermédiaire, et les effets négatifs pour l’exercice des droits fondamentaux (respect de la vie privée, liberté d’expression et d’information, interdiction de la discrimination, droits de l’enfant).

Des audits indépendants devront être organisés au moins une fois par an pour évaluer le respect de leurs obligations et des engagements pris en vertu de codes de conduite.

Les très grandes plateformes devront également mettre en place de mesures d’atténuation des risques (mitigation), adaptées aux risques systémiques identifiés et seront soumises à une obligation de transparence des systèmes de recommandations (algorithmes).

Enfin, les très grandes plateformes devront désigner un ou plusieurs responsables de la conformité dans l’Union européenne, en charge de contrôler le respect du règlement. (art. 32)

Une liste des très grandes plateformes sera publiée et actualisée afin d’en permettre une identification claire.


5. Des sanctions dissuasives

Deux régimes de sanctions sont prévus par le DSA suivant qu’elles s’appliquent aux fournisseurs de services intermédiaires ou aux très grandes plateformes.

Concernant les fournisseurs de services intermédiaires, le montant maximum des amendes pouvant être imposées par les coordinateurs pour les services numériques ou les tribunaux doit être fixé par chaque Etat-membre, sans pouvoir dépasser 6% des revenus ou du chiffre d’affaires annuel du fournisseur de services en cas de non conformité au DSA, ou 1% des revenus ou du chiffre d’affaires annuel en cas de fourniture de renseignements inexacts, incomplets ou dénaturés. (art. 42)

Concernant les très grandes plateformes, les amendes pourront atteindre jusqu’à 6% du chiffre d’affaires annuel réalisé par la très grande plateforme au cours de l’exercice précédent en cas de non conformité au DSA, ou 1% du chiffre d’affaires annuel en cas de fourniture de renseignements inexacts, incomplets ou dénaturés, en réponse à une demande de la Commission. (art. 59)

6. Les modifications apportées par le Parlement européen

Lors de l’examen du DSA par le Parlement européen, les députés ont introduit quelques modifications au projet de règlement. Celles-ci comprennent notamment:
    - une exemption d’application du DSA par les micro et petites entreprises
   - un renforcement des règles relatives à la publicité ciblée, dont l’interdiction des techniques de ciblage et d’amplification comprenant des données de mineurs pour l’affichage de publicités et l’interdiction du ciblage publicitaire de certains groupes de personnes en fonction de leur orientation sexuelle, un handicap, la race, etc.
  - la possibilité pour les destinataires des services numériques et les organisations représentatives de poursuivre les plateformes qui ne respectent pas les dispositions du DSA.


     Certains principes et procédés figurant dans le DSA rappellent le RGPD, tels que l’obligation de désigner un représentant dans l’Union européenne, de désigner un responsable de la conformité (similaire au DPO en matière de protection des données) pour les très grandes plateformes, la création de coordinateurs pour les services numériques (similaire aux autorités de contrôle du RGPD - tels la CNIL), et du Comité européen des services numériques (CESN - similaire au CEPD du RGPD). On notera également le souhait d certains députés européens de porter le montant maximum des amendes de 6 à 10% du chiffre d’affaires annuel des fournisseurs de services pour être en ligne avec le RGPD.

Le projet de DSA risque de subir quelques dernières modifications avant son adoption définitive.


                                                  * * * * * * * * * * *

(1) Proposition de règlement du Parlement européen et du Conseil relatif à un marché intérieur des services numériques modifiant la directive 2000/31/CE (Digital Services Act - DSA)

(2) Google, Amazon, Facebook (Meta), Apple, Microsoft

(3) Directive 2000/31/CE du Parlement européen et du Conseil du 8 juin 2000 relative à certains aspects juridiques des services de la société de l'information, et notamment du commerce électronique, dans le marché intérieur («directive sur le commerce électronique»)


Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Avril 2022

DMA : Proposition de règlement sur les marchés numériques pour encadrer les “contrôleurs d’accès”

La réforme européenne du droit du numérique vient de passer une étape décisive avec le vote, par le Parlement européen, de la proposition de Règlement sur les marchés numériques (Digital Markets Act - DMA) le 15 décembre 2021, suivi du vote de la proposition de Règlement sur les services numériques (Digital Services Act - DSA) le 20 janvier 2022. Ces deux projets de règlements passent maintenant par l’étape d’un trilogue entre des représentants du Parlement, du Conseil et de la Commission afin de parvenir à un accord sur le texte définitif, pour une entrée en application probablement début 2023. (1) 

L’objectif de cette réforme d’envergure est double : réguler le fonctionnement des marchés numériques, et plus particulièrement, le rôle des “contrôleurs d’accès” (ou “gatekeepers”), dont les GAFAM, qui jouent un rôle dominant sur le marché, et réguler les services numériques, afin de lutter plus efficacement contre les contenus illicites et la propagation de fausses informations.

Dans ce premier article, nous nous concentrons sur le DMA. Un second article suivra afin de présenter le DSA, ces deux textes ayant des objectifs distincts.

Ce qu’il faut retenir

Le DMA a pour objectif de réguler le comportement des grandes plateformes numériques, y compris les services de plateforme essentiels, qui agissent en tant que “contrôleurs d’accès” (ou “gatekeepers”) sur les marchés, notamment les GAFAM. Les services concernés comprennent, entre autres, les systèmes d’exploitation, les services de publicité en ligne, les moteurs de recherche, les réseaux sociaux, etc.

Les contrôleurs d’accès seront soumis à un certain nombre d’obligations dans le but d’améliorer la concurrence entre les entreprises utilisatrices et les services proposés par les contrôleurs d’accès.

1. Le DMA - ou la régulation des contrôleurs d’accès

Selon l’exposé des motifs du DMA, “Certaines grandes plateformes jouent de plus en plus le rôle de points d’accès ou de contrôleurs d’accès entre les entreprises utilisatrices et les utilisateurs finaux et jouissent d’une position solide et durable, qui résulte souvent de la création d’écosystèmes de conglomérat organisés autour de leurs services de plateforme essentiels, renforçant ainsi les barrières à l’entrée existantes.”

Ainsi, le DMA a pour objectif de réguler le comportement des grandes plateformes numériques qui agissent en tant que “contrôleurs d’accès” sur les marchés. Alors qu’il existerait plus de 10.000 plateformes actives sur le marché communautaire, seul un petit nombre d’entre elles captent la plus grande part de la valeur générée.

Suivant le constat des régulateurs, ces plateformes ont atteint une taille telle qu’elles ont rendu les utilisateurs - consommateurs et entreprises, dépendants de leurs services. Elles se positionnent ainsi en tant que régulateurs privés pouvant imposer des conditions inéquitables aux entreprises et aux consommateurs (services captifs, blocage de l’accès aux données générées en ligne par les entreprises, etc.) et imposent des barrières à l’entrée à leurs concurrents potentiels, qui ne peuvent avoir accès au marché. En effet, les contrôleurs d’accès, par leur taille, ont acquis une situation dominante, présentant des risques pour les droits des utilisateurs, personnes physiques et morales.


2. Plateformes essentielles et contrôleurs d’accès

Le DMA vise plus particulièrement les services de plateforme essentiels (les contrôleurs d’accès ou certains services qu’ils proposent). Ces services de plateforme essentiels recouvrent les services suivants :

• l’intermédiation en ligne (y compris les places de marchés - Amazon, App Store, Google Play), 
• les moteurs de recherche (Google),
• les réseaux sociaux (Facebook, Instagram),  
• les plateformes de partage de vidéos (Youtube),
• les services de communication électronique,
• les systèmes d’exploitation (Android, iOS),  
• les services en nuage (AWS, iCloud, Google Cloud) et  
• les services de publicité en ligne (Google Ads).
  

Pour être qualifié de contrôleur d’accès, un service de plateforme essentiel doit remplir plusieurs critères quantitatifs (art. 3 DMA), à savoir :

1. avoir une forte incidence sur le marché numérique européen, c’est-à-dire réaliser un chiffre d’affaires annuel dans l’UE égal ou supérieur à 6,5 milliards d’euros au cours des trois derniers exercices ou avoir une capitalisation boursière moyenne, ou atteindre une juste valeur marchande équivalente de l’entreprise à laquelle il appartient, au moins égale à 65 milliards d’euros au cours du dernier exercice, et fournir un service de plateforme essentiel dans au moins trois Etats membres ; 
2. exploiter un ou plusieurs points d’accès majeur des entreprises pour développer leurs activités commerciales en ligne, c’est-à-dire avoir enregistré plus de 45 millions d’utilisateurs actifs par mois dans l’UE et plus de 10.000 entreprises utilisatrices actives dans l’UE au cours du dernier exercice ; 
3. occuper une position solide et durable sur le marché, c’est-à-dire avoir atteint le nombre d’utilisateurs finaux mentionné ci-dessus pendant les trois derniers exercices.
   

Les contrôleurs d’accès doivent informer la Commission de leur situation dans un délai de trois mois et fournir les informations visées ci-dessus. Ils pourront également démontrer à la Commission qu’ils ne remplissent pas ces critères. Enfin, la Commission pourra désigner comme contrôleur d’accès des services de plateforme essentiels qui satisfont aux exigences qualitatives ci-dessus, mais qui ne remplissent pas les critères quantitatifs.


3. Les obligations des contrôleurs d’accès

Les contrôleurs d’accès sont soumis à un certain nombre d’obligations, l’objectif étant d’améliorer la concurrence entre les entreprises utilisatrices et les services proposés par les contrôleurs d’accès.

Parmi ces obligations, les contrôleurs d’accès doivent (art. 5 DMA) : 

• s’abstenir de combiner les données personnelles issues de leurs services avec les données issues des autres services proposés par le contrôleur d’accès ou par des services tiers ; 
• permettre aux entreprises utilisatrices de proposer les mêmes produits ou services aux utilisateurs finaux via des services d’intermédiation en ligne tiers à des prix ou des conditions différents de ceux proposés par le contrôleur d’accès ; 
• permettre aux entreprises utilisatrices de promouvoir leurs offres auprès des utilisateurs finaux acquis grâce au service de plateforme essentiel et de conclure des contrats avec ces utilisateurs finaux ; 
• s’interdire d’exiger des entreprises utilisatrices ou des utilisateurs finaux qu’ils s’abonnent ou s’enregistrent à un autre service de plateforme essentiel comme condition d’accès, d’inscription ou d’enregistrement à l’un de ses services de plateforme essentiel ; 
• faire réaliser un audit, par un auditeur indépendant, sur les techniques de profilage des consommateurs utilisées, les résultats devant être soumis à la Commission. (art. 13 DMA)
  

Par ailleurs, le DMA interdira certaines pratiques manifestement déloyales, telles que l’interdiction pour les utilisateurs de désinstaller des logiciels ou applications pré-installés. Le règlement imposera également l’interopérabilité entre les services proposés sur ces plateformes et les logiciels tiers.

La Commission européenne aura la possibilité de mener des enquêtes de marché ciblées pour déterminer s’il y a lieu de faire évoluer la règlementation sur les contrôleurs d’accès pour suivre l’évolution des marchés numériques. (art. 18 et s. DMA)

 

4. Des sanctions dissuasives en cas de violation du DMA

Les sanctions pouvant être imposées par la Commission européenne et par les tribunaux nationaux se veulent être à la hauteur des enjeux et de la taille des acteurs concernés.

En cas de violation des dispositions du DMA, les amendes pourront atteindre 10% du chiffre d’affaires réalisé au cours de l’exercice précédent par le contrôleur d’accès. Pour fixer le montant de l’amende, la Commission prendra en considération la gravité, la durée et la récurrence des manquements aux obligations du DMA. (art. 26 DMA)


A l’issue de l’examen du DMA par le Parlement, les députés européens souhaitent améliorer les critères de qualification des contrôleurs d’accès. Les députés ont par ailleurs inclus les navigateurs web, les assistants virtuels et les télévisions connectées dans le champ du DMA et ajouté la possibilité de désinstaller des applications préinstallées. Les seuils quantitatifs permettant de désigner les contrôleurs d’accès ont également été relevés à 8 milliards d’euros de chiffre d’affaires annuel ou 80 milliards d’euros de capitalisation boursière et le montant des amendes a été doublé, de 10 à 20% du chiffre d’affaires.

Ces dernières années, avec la montée en puissance des GAFAM, les juridictions des Etats membres et la Commission en Europe d’une part, les juridictions américaines d’autre part, ont tenté de lutter contre des pratiques jugées abusives de la part des sociétés, qualifiées de “contrôleurs d’accès” - sans grand succès. L’objectif du DMA est donc, par l’imposition de règles homogènes dans l’Union européenne, de lutter contre les avantages permettant à ces très grands groupes de conserver leur position dominante, favorisant notamment leurs produits et services par rapport aux entreprises utilisatrices ou exploiter les données générées par ces entreprises à leur propre avantage et, in fine permettre plus de compétitivité et de diversité, en donnant accès au marché à des acteurs de taille plus modeste.

                                                      * * * * * * * * * * *

(1) Proposition de règlement du Parlement européen et du Conseil relatif aux marchés contestables et équitables dans le secteur du numérique (Digital Markets Act - DMA)


Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Février 2022

La fusion entre le CSA et la Hadopi donne naissance à l’Arcom

Selon la Hadopi, la hausse de la consommation de biens culturels dématérialisés s’est accélérée en 2020. Cette accélération a été favorisée par la crise sanitaire et la période de confinement qui ont entraîné la fermeture des lieux culturels (cinémas, théâtres, salles de spectacles). Constat positif mais également négatif puisqu’un quart des internautes français visiterait chaque mois des sites illicites de biens culturels. (1) Face à ce constat, le bilan de la Hadopi relatif à la lutte contre le piratage en ligne des oeuvres audiovisuelles est plus que mitigé, mais reflète cependant les limites de son champ d’action.

Une réforme était donc nécessaire pour tenter de lutter plus efficacement, et plus rapidement, contre les usages illicites sur internet. Celle-ci passe par la réforme, plus large, de l’audiovisuel qui se met enfin en place avec l’adoption, le 25 octobre 2021, de la loi relative à la régulation et à la protection de l’accès aux oeuvres culturelles à l’ère numérique. (2) Cette réforme, annoncée depuis deux ans, consacre la création de l’Autorité de régulation de la communication audiovisuelle et numérique - Arcom, une nouvelle autorité administrative, née de la fusion du Conseil supérieur de l’audiovisuel (CSA) et de la Haute autorité pour la diffusion des oeuvres et la protection des droits sur internet (Hadopi). L’Arcom entrera en activité au 1er janvier 2022.

Cette nouvelle autorité interviendra sur un champ de compétences élargi, avec des agents disposant de pouvoirs d’investigation pour des actions de lutte, on l’espère, plus efficaces contre les sites illicites.


1. Un champ des compétences élargi

L’Arcom disposera d’un champ de compétences élargi par rapport aux missions combinées du CSA et de la Hadopi, consacrant enfin la convergence des technologies de communication avec l’interaction grandissante entre l’audiovisuel traditionnel et internet.

En effet, les compétences attribuées à l’Arcom couvrent les domaines allant de la création des oeuvres jusqu’à la protection du droit d’auteur. Les activités de l’Arcom s’articuleront ainsi autour de plusieurs axes, avec notamment un premier axe sur la lutte contre le piratage des oeuvres protégées, un deuxième axe sur une mission pédagogique et de régulation, et un troisième axe de régulation du secteur audiovisuel.

    1.1 La focalisation sur la lutte contre le piratage des oeuvres protégées

Le premier axe, concernant principalement la communication en ligne portera sur les actions suivantes (3) :

    - La lutte contre le piratage des oeuvres protégées par le droit d’auteur, un droit voisin ou un droit d’exploitation audiovisuelle. L’Arcom pourra ainsi créer une “liste noire” des sites exploitant, de façon massive, des contenus contrefaisant ;

    - La lutte contre les sites sportifs illicites. Considérant que l’accès aux chaînes de sports est généralement trop cher, nombre d’internautes choisissent de visionner les événements sportifs en ligne, sur des sites de streaming sportif illicites. Cette pratique a des conséquences économiques et financières très lourdes pour les diffuseurs et les clubs sportifs. Or, jusqu’ici il était très difficile pour les titulaires des droits de diffusion de lutter contre ces sites, notamment du fait des délais de procédure pour obtenir une décision de blocage. La loi d’octobre 2021 tente de remédier à ce problème en créant une procédure spécifique de référé pouvant être intentée par les titulaires de droits de diffusion d’événements sportifs contre les sites illicites et les sites miroirs ;

    - La lutte contre la désinformation sur internet (lutte contre les “fake news” en application de la loi du 22 décembre 2018) (4) et contre les contenus haineux ;

    - La régulation des plateformes de vidéo par abonnement (SVoD).

    1.2 Une mission pédagogique

A l’instar des actions menées par la CNIL depuis plusieurs années, la loi du 25 octobre 2021 inscrit, parmi les missions de l’Arcom, des actions pédagogiques et de régulation par la création de “soft law”, comprenant :

    - Des actions de sensibilisation et de prévention, notamment auprès des jeunes. Concernant la protection des mineurs, ces actions de prévention concernent non seulement les contenus piratés, mais également les contenus illicites, violents, haineux, ou pornographiques ;

    - Une mission d’encouragement au développement de l’offre légale ;

    - Une mission de régulation et de veille relative aux mesures techniques de protection et d’identification des oeuvres et objets protégés par le droit d’auteur, avec la publication de recommandations, guides de bonne pratiques, modèles de clauses types et codes de conduite. Ces outils auront pour objet d’informer et de former le public.

    - L’Arcom pourra en outre favoriser la signature d’accords volontaires avec les professionnels pour les inciter à mettre en oeuvre des politiques de lutte contre le contrefaçon et le piratage plus efficaces.

    1.3 La régulation du secteur audiovisuel

Enfin, l’Arcom sera en charge de la régulation du secteur audiovisuel. Cette mission de régulation, héritée du CSA, comprend notamment la gestion des fréquences, les conditions de création de nouvelles chaînes de radio et de télévision et le suivi de leurs engagements, la garantie du respect de la liberté d’expression et des droits et libertés fondamentaux sur les chaînes de radio et de télévision, etc.

L’Arcom sera également en charge de garantir le pluralisme de l’offre dans le secteur audiovisuel et des sources d’information. Ce domaine est d’autant plus d’actualité avec, par exemple, le projet de fusion annoncé en mai 2021 entre les groupes TF1 et M6.


2. Des agents publics disposant de réels pouvoirs d’investigation

La direction de l’Arcom sera constituée de 9 membres, dont huit membres choisis en raison de leurs compétences économiques, juridiques ou techniques, nommés par décret, et le président de l’Autorité nommé par le Président de la République. Les membres sont nommés pour un mandat de 6 ans, non renouvelable. L’équilibre hommes/femmes doit être respecté au moment de leur nomination.

L’Arcom disposera par ailleurs d’un “bataillon” d’agents publics assermentés, habilités par décret. Dans le cadre de leurs investigations, les agents de l’Arcom pourront notamment :

    - recevoir des opérateurs de communications électroniques les coordonnées (identité, adresse postale, email, numéro de téléphone) des personnes dont l’accès aux services a été utilisé pour diffuser des oeuvres non autorisées ;

    - mais également constater les faits susceptibles de constituer les infractions lorsqu’ils sont commis en ligne, et “sans en être tenus pénalement responsables :
1° Participer sous un pseudonyme à des échanges électroniques susceptibles de se rapporter à ces infractions ;
2° Reproduire des œuvres ou des objets protégés sur les services de communication au public en ligne ;
3° Extraire, acquérir ou conserver par ce moyen des éléments de preuve sur ces services aux fins de la caractérisation des faits susceptibles de constituer des infractions ;
4° Acquérir et étudier les matériels et les logiciels propres à faciliter la commission d'actes de contrefaçon.” (5)
Toutefois, ces actes ne pourront inciter autrui à commettre une infraction. Les informations recueillies font l’objet d’un procès-verbal pouvant ensuite être utilisé en cas de poursuites judiciaires.


3. Des pouvoirs plus efficaces ?

Regroupant les domaines de la communication audiovisuelle et par internet, l’Arcom devrait pouvoir intervenir sur un champ de compétences élargi. En effet, la convergence des technologies de l’audiovisuel et de l’internet entraîne la disparition de la frontière entre ces deux domaines.

La division des compétences sur des agences séparées n’avait plus de sens. D’une part, le champ d’action de la Hadopi se limitait au téléchargement illicite d’oeuvres en peer-to-peer. Or, cette pratique ne concernerait plus que 25% de la consommation illicite de biens audiovisuels. Depuis plusieurs années la technologie et les pratiques des internautes ont en effet évolué pour accéder aux oeuvres en streaming ou via des sites ou serveurs temporaires ou miroirs. D’autre part, grâce à la technologie de diffusion des oeuvres audiovisuelles en ligne, le rôle du CSA s’est naturellement élargi au domaine de l’internet, avec la multiplication des web radio et web TV, la télévision connectée, les services audiovisuels à la demande (SMAD / SVoD), …

La création de l’Arcom consacre donc la fin d’une frontière devenue artificielle entre les différents modes de diffusion des oeuvres audiovisuelles. L’Arcom a ainsi pour objectif d’améliorer l’efficacité de la lutte contre les différentes formes de piratage audiovisuel : téléchargement en P-to-P, streaming, IPTV, lutte contre les sites sportifs illicites.


    L’Arcom a pour ambition de se positionner comme le moteur d’un nouveau modèle de régulation audiovisuelle, “à l’écoute des publics et de leurs préoccupations, (…) résolument engagée dans la défense des libertés d’expression, d’information et de création.” (6) Cette nouvelle autorité devra toutefois surmonter plusieurs défis : intégrer des personnels venant de deux mondes jusqu’ici distincts, le monde de l’audiovisuel, et le monde d’internet, et démontrer l’efficacité de ses actions, particulièrement dans la lutte contre le piratage.

* * * * * * * * * * *

(1) Etude Hadopi du 6 mai 2021 “12,7 millions d’internautes ont visité en moyenne chaque mois des sites illicites de biens culturels dématérialisés en 2020, soit 24 % des internautes français”

(2) Loi n°2021-1382 du 25 octobre 2021 relative à la régulation et à la protection de l’accès aux oeuvres culturelles à l’ère numérique, modifiant le code de la propriété intellectuelle et la loi n°86-1067 du 30 septembre 1986 relative à la liberté de communication.

(3) Art. L.331-12 et s. du Code de la propriété intellectuelle

(4) Loi n°2018-1202 du 22 décembre 2018 relative à la lutte contre la manipulation de l’information

(5) Art. L.331-14 du Code de la propriété intellectuelle

(6) Communiqué de presse conjoint du CSA et de la Hadopi sur la création de l’Arcom, 26 octobre 2021

Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Novembre 2021

Non-conformité et infractions au RGPD - quelles sont les actions répressives de la CNIL

Avec l’entrée en application du règlement général sur la protection des données (RGPD) le 25 mai 2018, le montant des sanctions pouvant être prononcées par les autorités de contrôle (dont la CNIL) a été décuplé. De 150.000 à 3 millions d’euros au maximum avec la loi Informatique et Libertés - version pré-RGPD, le montant des amendes administratives peut désormais atteindre 20 millions d’euros ou 4% du chiffre d’affaires mondial de l’entreprise. Cependant, un an après l’entrée en application du RGPD, 30% des entreprises européennes ne seraient toujours pas en conformité avec le règlement. (1)

La mise en conformité au RGPD est cependant une procédure souvent lourde et coûteuse pour les organismes. Elle implique la revue des process internes, depuis le développement des nouveaux produits ou services (application du principe de “privacy by design” et le cas échéant réalisation d’une analyse d’impact ou PIA), à la révision des produits et services existant et la création de documents de suivi de conformité (registre des traitements notamment).

Les risques de non-conformité à la réglementation sur la protection des données sont nombreux et les sanctions alourdies. L’action répressive de la CNIL comprend toutefois plusieurs étapes avant la prononciation éventuelle d’une sanction pécuniaire.


1. Non-conformité et infractions à la règlementation sur la protection des données personnelles

La règlementation sur la protection des données personnelles s’est considérablement étoffée avec l’entrée en application du RGPD.

    1.1 Les exemples de non-conformité

Les organismes ont disposé de deux ans, entre la date de publication du RGPD le 27 avril 2016 et son entrée en application le 25 mai 2018, pour mettre leurs activités de traitement de données personnelles en conformité. Les autorités de contrôle ont par la suite décidé d’appliquer une approche pédagogique pendant la première année d’application du RGPD. Un an après, les organismes doivent désormais être en conformité.

La liste des cas de non-conformité au RGPD est longue. On peut citer, entre autre :
- le défaut d’information des personnes concernées,
- la collecte frauduleuse, déloyale ou illicite de données personnelles,
- le détournement de finalité,
- la poursuite d’un traitement en dépit de l’opposition de la personne concernée,
- la conservation des données pour une durée non limitée,
- la conservation illicite de données sensibles,
- la poursuite d’un traitement interdit,
- le traitement illicite du NIR,
- le défaut de sécurité,
- le défaut de notification à l’autorité de contrôle en cas de violation de données,
- ou le transfert non autorisé de données en dehors de l’Union européenne.

    1.2 Le montant des sanctions alourdi

Le montant des sanctions pouvant être prononcées a été significativement alourdi, passant de 150.000 euros à 3 millions d’euros en octobre 2016, avec l’entrée en vigueur de la loi pour une république numérique (2), puis à 10 millions d’euros ou 2% du chiffre d’affaires mondial de l’entreprise ou 20 millions d’euros ou 4% du chiffre d’affaires mondial de l’entreprise avec le RGPD. (3)

Cette évolution du montant des sanctions pécuniaires est le reflet des risques croissants qui pèsent sur les personnes en cas de traitements illicites de leurs données, facilités par les développements des technologies (collecte à l’insu des personnes, détournement de finalité, etc.).

Alors qu’avant le RGPD, les sanctions prononcées en France par la CNIL atteignaient rarement quelques dizaines de milliers d’euros, la première sanction pécuniaire prononcée par la formation restreinte de la CNIL en application du RGPD s’est élevée à 50 millions d’euros. Cette amende a été prononcée à l’encontre de la société Google en janvier 2019, pour manque de transparence, information insatisfaisante et absence de consentement valable pour la personnalisation de la publicité. (4) Plus récemment, la formation restreinte de la CNIL a condamné la société de gestion immobilière Sergic à 400.000€ d’amende pour atteinte à la sécurité des données et non respect des durées de conservation. (5) Enfin, la société Active Assurances vient d’être condamnée à une amende de 180.000€ pour atteinte à la sécurité des données de ses clients. (6)


2. L’action répressive de la CNIL

Les Etats-membres prennent toutes les mesures nécessaires pour la mise en oeuvre du respect du règlement. En cas de sanction, celle-ci doit être effective, proportionnée et dissuasive. (7)

L’action répressive de la CNIL est définie aux articles 20 et suivants de la loi Informatique et Libertés, modifiée. Celle-ci comprend trois étapes, que l’on peut synthétiser comme suit :

    1ère étape - Le signalement

La CNIL prend connaissance des potentiels manquements à la réglementation sur la protection des données par différents canaux d’information, à savoir :

    - Les plaintes reçues par la CNIL : toute personne, en qualité de consommateur, client, salarié, citoyen, etc. dont les données personnelles ont été collectées et ont fait l’objet d’un traitement, peut déposer une plainte à la CNIL, via le site de la Commission, en cas de violation du RGPD par un responsable de traitement (site e-commerce, banque, administration, association, etc.).

    - Les informations publiées dans la presse ou sur internet : les articles de presse ou posts sur les réseaux peuvent alerter la CNIL sur les pratiques de certaines sociétés ou sur des failles de sécurité par exemple.

    - L’auto-saisine par la CNIL : chaque année, la CNIL définit un programme de contrôles pour l’année en cours, avec des thèmes identifiés comme prioritaires. Par exemple, la CNIL a identifié le contrôle des relations entre les responsables de traitements et les sous-traitants (répartition des responsabilités) et les traitements de données de mineurs comme thèmes prioritaires de ses contrôles pour 2019. A ce titre, la CNIL peut ainsi effectuer des contrôle par auto-saisine sur des organismes mettant en oeuvre des traitements identifiés dans ses thèmes prioritaires.

    - La coopération entre les autorités de contrôle européennes : le RGPD prévoit une plus grande coordination entre les autorités de contrôle des Etats-membres. Par exemple, en cas de plainte de la part d’un ou plusieurs consommateurs ou salariés d’un pays à l’encontre d’une société présente dans plusieurs Etats membres, l’autorité de contrôle de ce pays peut désormais signaler ladite plainte à la CNIL si des consommateurs ou salariés sont concernés en France.

    2ème étape - Le contrôle

La procédure de contrôle peut se dérouler comme suit :
    - Le contrôle en ligne, si les manquements signalés sont visibles à distance ;
   - Le contrôle sur place, dans les locaux de l’organisme. Dans ce cas, le contrôleur demandera au responsable du traitement de contrôler les traitements de données mis en oeuvre. par l’organisme ;
    - La convocation, avec audition des personnes responsables des organismes concernés.

Ces trois procédures de contrôle font l’objet d’un procès-verbal identifiant les éléments contrôlés et les manquements éventuellement constatés.

    - Le contrôle sur pièces. Ce type de contrôle est réalisé suite à l’envoi de questions écrites et la demande de documents au responsable du traitement.

    3ème étape - Les suites du contrôle

Suite au contrôle effectué par les agents de la CNIL, deux issues sont possibles :
    - Le contrôle a donné lieu à pas ou peu d’observations. Le dossier est alors clôturé et l’organisme contrôlé reçoit la notification de ladite clôture.

    - Si des manquements sérieux à la règlementation sont avérés, deux cas de figure peuvent alors se présenter :
La présidente de la CNIL peut prononcer une mise en demeure. La mise en demeure peut être publique (par voie de communiqué), la publicité ayant un double effet - d’alerte et pédagogique, pour tout organisme qui serait dans une situation similaire. L’organisme en cause dispose alors d’un délai pour se mettre en conformité, auquel cas, le dossier est clôturé. (8)

Par exemple, le 25 septembre 2018, la présidente de la CNIL a mis en demeure cinq société des groupes Humanis et Malakoff-Médéric pour détournement de la finalité des traitements des assurés. Les sociétés s’étant mises en conformité (modification du système informatique, suppression des données acquises illégalement, formation interne à la protection des données personnelles), les procédures de mises en demeure ont été clôturées le 21 février 2019. (9)

Le 8 novembre 2018, la présidente de la CNIL a mis en demeure la société Vectaury pour absence de recueil du consentement des utilisateurs au traitement de leurs données de géolocalisation à des fins de ciblage publicitaire. Suite à cette mise en demeure, la société Vectaury s’étant mise en conformité (affichage d’une bannière informative lors de l’installation des applications mobiles pour recueillir le consentement des utilisateurs), la procédure de mise en demeure a été clôturée le 26 février 2019. (10)
 

La formation restreinte de la CNIL, exerçant une fonction juridictionnelle, peut prononcer une sanction si l’organisme ne se met pas en conformité suite à la mise en demeure de la présidente de la CNIL. La formation restreinte peut également prononcer directement une sanction contre l’organisme en cause, sans mise en demeure préalable. (11)

La sanction peut être de nature pécuniaire pour les manquements les plus graves (montants définis par le RGPD), ou non pécuniaire (rappel à l’ordre, injonction sous astreinte, etc.). Enfin, les sanctions peuvent être publiques (par voie de communiqué et par la publication de la résolution sur le site de la CNIL et sur Légifrance) ou non publiques.

Les sanctions prononcées par la CNIL peuvent faire l’objet d’un recours par l’organisme sanctionné devant le Conseil d’Etat dans un délai de deux mois.


                                                                * * * * * * * * * * *

(1) “RGPD : près d’un tiers des entreprises non conformes”, Le Monde Informatique, 26 juillet 2019

(2) Loi n°2016-1321 du 7 octobre 2016 pour une république numérique, ancien article 47 al.2 de la loi Informatique et Libertés

(3) Art. 83.5 et 6 du RGPD

(4) Délibération de la formation restreinte n°SAN-2019-001 du 21 janvier 2019 prononçant une sanction pécuniaire à l’encontre de la société Google LLC

(5) Délibération de la formation restreinte n°SAN-2019-005 du 28 mai 2019 prononçant une sanction pécuniaire à l’encontre de la société Sergic

(6) Délibération de la formation restreinte n°SAN-2019-007 du 18 juillet 2019 prononçant une sanction pécuniaire à l’encontre de la société Active Assurances

(7) RGPD, art. 84 (1)

(8) Le délai pour se mettre en conformité est fixé par la présidente. Il varie généralement entre 6 et 12 mois - mais ce délai peut être beaucoup plus court en cas d’urgence par exemple

(9) (Communication de la CNIL sur la clôture des mises en demeure à l’encontre des sociétés des groupes Humanis et Malakoff-Médéric, Site de la CNIL)

(10) (Communication de la CNIL sur la clôture de la mise en demeure à l’encontre de la société Vectaury, Site de la CNIL)

(11) La formation restreinte de la CNIL est un collège spécifique composé de 6 membres. Elle est chargée de mener les procédures de non-conformité au RGPD et à la loi Informatique et Libertés et, le cas échéant, de prononcer des sanctions pécuniaires.


Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Août 2019

ICO : des dispositions innovantes dans la loi PACTE pour développer la confiance

Les ICO (“Initial Coin Offering”) permettent aux start-ups et entreprises innovantes de collecter des fonds de manière dématérialisée à l’international.

La loi PACTE, définitivement promulguée le 22 mai 2019, prévoit des dispositions visant notamment à encadrer et sécuriser la procédure de levée de fonds en crypto-actifs, ou ICO. (1)


1. L’ICO, un moyen alternatif de financer le développement des start-ups

Une ICO consiste en une émission d’actifs numériques sous forme de jetons (ou “tokens”) au public, fonctionnant en principe sur la blockchain. Les investisseurs peuvent acheter des jetons en devise (euros, dollars, etc.) ou en crypto-monnaie (bitcoin, ether, etc.).

Un “actif numérique” est la représentation numérique d’une valeur non émise ni garantie par une banque centrale ou une autorité, et non nécessairement attachée à une monnaie ayant cours légal - émis en bitcoin par exemple. (2)

Les jetons sont définis à l’article L.552-2 du code monétaire et financier comme “tout bien incorporel représentant, sous forme numérique, un ou plusieurs droits pouvant être émis, inscrits, conservés ou transférés au moyen d'un dispositif d'enregistrement électronique partagé (blockchain) permettant d'identifier, directement ou indirectement, le propriétaire dudit bien”.

L’Autorité des marchés financiers (AMF) distingue trois grands types de jetons (tokens) :
    - les crypto-actifs comme monnaie d’échange et unité de valeur (par exemple, le bitcoin) ;
    - les crypto-actifs assimilés à des instruments financiers - “security tokens”, donnant des droits de participation à la gouvernance ou d’intéressement aux profits futurs de l’entreprise émettrice (droits de vote ou dividendes) ; et
    - les crypto-actifs utilitaires - “utility tokens”, donnant des droits d’utilisation de produits ou services futurs proposés par l’émetteur. Ces tokens constituent la plus grande partie des crypto-actifs émis à l’heure actuelle.
Certains tokens sont cependant hybrides ou issus de plusieurs catégories. (3)

Les start-ups qui auraient des difficultés à lever des fonds par les méthodes classiques peuvent envisager de recourir à une ICO. L’ICO présente en effet plusieurs avantages : le coût d’une ICO est moindre qu’une levée de fonds classique, car cette opération peut être réalisée sans intermédiaire financier ; en cas d’attribution de utility tokens, le capital n’est pas dilué puisque les tokens attribués n’offrent qu’un droit d’usage à l’investisseur (droit d’utilisation du bien ou du service produit par la société émettrice, ce bien ou ce service étant généralement à l’état d’idée ou de projet à la date de l’ICO).

Mais les risques (perte du capital investi, absence de marché pour la revente ou l’échange des tokens, etc.) ne doivent pas être sous-estimés : les opérations d’ICO restent peu, voire pas réglementées. Seuls quelques pays commencent à réglementer ces opérations, qui revêtent donc un niveau de risque supérieur à une opération de levée de fonds classique ; les ICO sont le plus souvent non documentées, contrairement à une levée de fonds classique, accompagnée d’un prospectus comprenant des informations détaillées sur la société et l’opération envisagée ; enfin, l’absence d’information sur les sociétés et sur les projets financés ne permet pas d’écarter les risques d’escroquerie (détournement des fonds à des fins personnelles ou autres) ou de blanchiment d’argent par exemple.

Même si les levées de fonds par ICO restent encore marginales dans le monde, ce mode de financement continue de se développer. Plusieurs pays ont ainsi décidé de commencer à réglementer les ICO pour donner plus de transparence à ces opérations et sécuriser la procédure. (4)


2. De nouvelles règles avec un objectif de transparence et de sécurisation de la procédure d’ICO

En France, la loi PACTE du 22 mai 2019 a introduit deux séries de dispositions pour donner plus de transparence et de sécurité aux opérations d’ICO. (5)

Les principales dispositions figurant dans la loi PACTE sont les suivantes :

- Création d’un visa optionnel pour les émetteurs d’ICO, délivré par l’AMF
Le visa pourra être demandé par les émetteurs d’ICO. L’objectif de ce visa est d’apporter une garantie de sérieux au projet. Le visa est principalement destiné aux start-ups innovantes ou développant une activité en France. Il concerne l’émission d’actifs numériques qui ne présentent pas les caractéristiques d’un titre financier ou bon de caisse, et sera délivré pour un projet et une durée déterminés.(6)

Les projets disposant du visa de l’AMF seront inscrits sur une liste blanche. En revanche, les projets ayant perdu le visa seront inscrits sur une liste noire.

La procédure de demande de visa a été publiée par l’AMF le 6 juin dernier (7). Elle repose sur trois conditions :
    1) la fourniture d’un document d’information présentant la société émettrice et décrivant le projet, et précisant notamment le nombre de jetons émis, leur prix, les droits associés, et le protocole de blockchain utilisé pour inscrire les jetons ;
    2) un dispositif garantissant la sécurité des fonds recueillis pendant la durée de l’offre ; et
    3) le respect des obligations en matière de lutte contre le blanchiment d’argent et le financement du terrorisme avec la mise en place d’un système KYC ("Know your customer"). L’émetteur doit être établi ou immatriculé en France.

Il est précisé que l’objet du visa est de valider la structuration du projet et non sa qualité ou son opportunité.

Le délai d’instruction du dossier par l’AMF est fixé à 20 jours ouvrés à compter de la réception du dossier complet.

 - Encadrement du marché secondaire
    Création d’un agrément pour les nouveaux prestataires de services sur actifs numériques (“PSAN”)
Une nouvelle procédure d’agrément volontaire est prévue pour les prestataires de services sur actifs numériques, tels que les plateformes d’échanges de crypto-actifs (bitcoins, ether, etc.) ou les services de conseils aux souscripteurs d’actifs numériques et de gestion de portefeuilles d’actifs numériques pour le compte de tiers. (art. L.54-10-5)

    Enregistrement des plateformes d’achat-vente de crypto-actifs
Enfin, les plateformes d’achat-vente de crypto-actifs en monnaie fiduciaire et les services de conservation de jetons seront soumis à un enregistrement obligatoire auprès de l’AMF, au titre du contrôle de la lutte anti-blanchiment. (art. L.54-10-3) Le non-respect de cette obligation pourra entraîner des sanctions pénales (30.000€ d’amende et deux ans d’emprisonnement).


                                                                  * * * * * * * * * *

(1) Loi n°2019-486 du 22 mai 2019 relative à la croissance et la transformation des entreprises (Loi PACTE)

(2) Article L.54-10-1 du Code monétaire et financier

(3) “ICO françaises : un nouveau mode de financement ?”, Caroline Le Moign, AMF, novembre 2018

(4) Les pays ayant commencé à réglementer les ICO comprennent notamment, outre la France, l’Australie, Singapour. Certains pays considèrent que les ICO avec émission de “security tokens” relèvent de la règlementation sur les valeurs mobilières.
Par ailleurs, certains pays, dont la Chine et la Corée du Sud, ont décidé pour l’instant d’interdire les ICO, considérant le risque de fraude trop élevé.

(5) Art. 85 et 86 de la loi PACTE, codifiés aux articles L.551-1 et s. (“Intermédiaires en biens divers et émetteurs de jetons”), et L. 54-10-1 et s. du code monétaire et financier

(6) Les bons de caisse et jetons correspondant à un instrument financier sont soumis à des règles spécifiques figurant aux articles L.223-1 et s. et L.232-1 du Code monétaire et financier

(7) Instruction AMF n°DOC-2019-06


Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Juillet 2019

La CNUCED publie une carte de l’état de la protection des consommateurs dans le monde

La Conférence des Nations unies sur le commerce et le développement (CNUCED ou UNCTAD) a publié le “Global Cyberlaw Tracker”, une carte du monde interactive qui permet de visualiser les pays qui disposent de lois (ou de projets de lois) sur la protection des données personnelles, la protection des consommateurs, le e-commerce et la cybercriminalité, et les pays sans réglementation dans ces domaines. (1)

Protection de données personnelles
Selon la CNUCED, à ce jour, 107 pays, dont 66 pays en voie de développement économique, ont adopté des lois de protection de données personnelles. (2) Le taux d’adoption pour les pays d’Asie et d’Afrique est au même niveau, avec seulement 40% des pays de ces deux continents protégeant les données à caractère personnel. Des pays tels que Cuba, le Venezuela, l’Algérie, l’Egypte, le Sénégal, le Myanmar, le Laos ou le Cambodge par exemple n’ont toujours pas adopté de loi sur la protection des données personnelles.

Protection des consommateurs
Alors que plus de la moitié des pays, dont tous les pays économiquement développés, disposent d’une règlementation sur la protection des consommateurs, comprenant des dispositions plus ou moins protectrices des consommateurs, de nombreux pays en voie de développement économique n’ont pas encore adopté de loi dans ce domaine, dont un grand nombre de pays d’Afrique, mais également l’Inde et l’Arabie Saoudite.

Commerce électronique
Le taux d’adoption de lois applicables au commerce électronique est particulièrement élevé dans le monde, notamment comparé au domaine de la protection des consommateurs. 145 pays disposent d’une loi sur le commerce en ligne, dont 104 pays en voie de développement économique. Plusieurs pays d’Afrique sont à la traîne dans ce domaine.

Cybercriminalité 

Enfin, la réglementation sur la lutte contre la cybercriminalité se répand. Ainsi, 138 pays dans le monde (dont 95 pays en voie de développement économique) ont adopté une loi de lutte contre la cybercriminalité. 30 pays n’ont toujours pas de loi dans ce domaine.

                                                                               * * * * * * * * * *

(1) ”Data Protection and Privacy Legislation Worldwide”, UNCTAD

(2) Etude menée sur la base des 194 pays membres de la CNUCED

Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Juin 2019

Qu’est-ce que le Cloud Act américain ?

L’adoption du “Cloud Act” aux Etats-Unis en 2018 a suscité de nombreuses critiques et fait couler beaucoup d’encre. Afin de mieux comprendre les enjeux de cette législation, nous résumons ci-après ses principales finalités.

Encapsulé dans la loi américaine sur les dépenses 2018 (“Consolidated Appropriations Act”, 2018), le Cloud Act (pour “Clarifying lawful overseas use of data act”), adopté le 23 mars 2018, donne un cadre légal à la saisie d'emails, documents et communications électroniques localisés dans les serveurs de sociétés américaines et de leurs filiales à l’étranger. (1)

Alors que les sociétés internet et technologiques américaines se félicitent de l’adoption de cette loi, les associations de défense des libertés et de la vie privée dont l'union des libertés civiles américaines (ACLU) et l'Electronic Frontier Fondation (EFF) y sont vivement opposées.

Le Cloud Act devient une alternative au processus actuel de partage d'informations d’utilisateurs entre pays, le MLAT (Mutual legal assistance treaty), et dont la mise en oeuvre est plus rapide et simple à exécuter.

Le Cloud Act contient deux grandes séries de dispositions :

    1 - La communication de données par les sociétés américaines
Toute société dont le siège est aux Etats-Unis, ainsi que les sociétés contrôlées par elle, doit communiquer aux autorités américaines, sur leur demande, les données de communication placées sous son contrôle, sans considération du lieu de stockage de ces données ;

    2 - La signature d’accords entre les administrations américaines et étrangères
Le gouvernement américain pourra signer des accords internationaux avec des gouvernements étrangers, permettant aux autorités de chaque pays de demander directement aux fournisseurs de services de communication, de traitement et de stockage électroniques de données relevant de la juridiction de l’autre pays, la divulgation des données de communication les intéressant, sans avoir à passer par les procédures plus lourdes des MLAT ou des commissions rogatoires internationales.

Ces accords internationaux prendront la forme d’executive agreements, à savoir des accords qui ne nécessitent ni l’accord du Sénat (majorité des deux tiers), ni l’adoption d’une loi par les deux chambres du Congrès. Pour entrer en vigueur, il suffira que les deux chambres ne s’y opposent pas par une résolution conjointe dans les 90 jours de leur signature. En contrepartie, de tels accords ne peuvent être signés qu’avec des pays respectueux des droits fondamentaux et des principaux standards démocratiques.

Les demandes de communication de données concernées par ces accords ne peuvent viser que les infractions les plus graves (« serious crime »). L’objectif est d’accélérer la procédure d’investigation par les forces de l’ordre.

Pour l’instant, il existe une incertitude sur le fait de savoir si un executive agreement pourrait être signé avec l’Union européenne plutôt qu’avec chaque Etat-membre, voire même si les Etats-Unis chercheront à signer avec l’Europe. L’UE serait plutôt favorable à la signature d’un accord global.

En conclusion, le Cloud Act s’applique à toute société placée sous la juridiction des Etats-Unis qui contrôle les données informatiques de ses clients (notamment les GAFAM et leurs filiales), quels que soient leur nationalité et le lieu physique où ces données ont été émises ou sont stockées. Il ne s’agit pas d’une nouvelle procédure mais d’une évolution par rapport à la réglementation précédente issue du Stored Communications Act de datant de 1986.

Le Cloud Act, comme le Stored Communications Act, encadre l’accès des autorités américaines aux données de fournisseurs de services de communication, traitement et stockage électroniques de données placés sous la juridiction des Etats-Unis (procédure judiciaire en cours et sous réserve de disposer d’un mandat (ou warrant) délivré par une juridiction, requête par les autorités gouvernementales américaines dans le cadre d’une procédure pénale sous réserve de disposer d’une réquisition judiciaire (ou court order). Le Cloud Act prévoit que le fournisseur de services auquel les données sont demandées a la possibilité de s’y opposer au motif que la demande, si elle devait être satisfaite, le conduirait à méconnaître la législation d’un pays étranger et l’exposerait à des sanctions (situation de conflits de lois).

Le Cloud Act est-il compatible avec le RGPD ?

Le RGPD (art. 44 et suivants) réglemente les conditions dans lesquelles des données personnelles peuvent être transférées vers des pays tiers. Or le Privacy shield, applicable aux transferts entre sociétés européennes et sociétés américaines adhérant au programme, ne couvre pas les entités gouvernementales.

Le transfert de données à caractère personnel aux autorités américaines par une société américaine ou sa filiale, en application d’une demande fondée sur le Cloud Act et non sur un accord international de type MLAT ou la mise en œuvre d’une commission rogatoire internationale, ne serait pas conforme au RGPD. Il conviendra de suivre comment le Cloud Act sera mis en œuvre dans les prochains mois.

                                                       * * * * * * * * * * *

(1) Consolidated Appropriations Act, 2018 et Clarifying lawful overseas use of data act (Cloud Act), adopté le 23 mars 2018

Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Janvier 2019

Publication d’une ordonnance sur le transfert de titres par blockchain

Après une consultation lancée entre mars et mi-mai 2017 sur la transmission de certains titres financiers via la blockchain, dont la synthèse a été publiée courant septembre, un projet d’ordonnance avait été proposé au Gouvernement par la Direction du Trésor. L’objet de cette consultation était de recueillir l’avis des parties prenantes -banques, sociétés de gestion, acteurs de la blockchain, fintechs, sociétés de conseils, sur la réglementation à mettre en place.

L’ordonnance permettant légalement le transfert de propriété de titres financiers par blockchain vient d’être publiée le 8 décembre. (1) Ce texte a été pris en application de l’article 120 de la loi Sapin II du 9 décembre 2016, dont les dispositions permettent notamment d’adapter le droit applicable à certains titres financiers au moyen d’un dispositif d’enregistrement électronique partagé, ou “technologie de registre distribué” (distributed ledger technology ou DLT). (2)

Bien qu’il soit déjà possible d’utiliser une technologie de registre distribué pour la transmission de titres, de nombreuses zones d’insécurité juridique persistent, y compris concernant le droit applicable en matière de propriété du titre et les modalités de règlement.

La majorité des parties prenantes ayant répondu à la consultation estimait néanmoins qu’il était souhaitable de ne pas remettre en cause le cadre juridique actuel de la transmission de titres, même en cas de transfert de propriété via la blockchain. Elles estimaient par ailleurs nécessaire de prévoir un cadre juridique où “l’intervention du législateur se limiterait à assurer la neutralité technologique des exigences de fond pesant sur les acteurs existants”. Ainsi, la blockchain a besoin d’un cadre juridique, mais a minima.

Ce texte, devant entrer en vigueur au plus tard le 1er juillet 2018, viendra modifier le code de commerce et le code monétaire et financier. Cette réforme s'appliquera aux titres financiers pour lesquels le droit européen n’impose pas de passer par un dépositaire central de titres (parts de fonds, titres de créance négociables, actions et obligations non cotées). Un décret en Conseil d'Etat doit fixer les conditions dans lesquelles les titres financiers peuvent être inscrits dans un dispositif d'enregistrement électronique partagé présentant des garanties, notamment en matière d'authentification, au moins équivalentes à celles présentées par une inscription en compte-titres.


                                                                        * * * * * * * * * * *

(1) Ordonnance n°2017-1674 du 8 décembre 2017 relative à l'utilisation d'un dispositif d'enregistrement électronique partagé pour la représentation et la transmission de titres financiers

(2) art. 120 de la loi n°2016-1691 du 9 décembre 2016 relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique (loi “Sapin II”)


Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Décembre 2017

Après le Parlement européen, le CESE publie un avis sur l’intelligence artificielle (IA)

Après les recommandations sur la robotique, émises par le Parlement européen en février dernier (1), le Comité économique social et européen (CESE) vient de se prononcer sur ce sujet dans un avis publié le 31 mai 2017. (2)

L’intelligence artificielle (IA), comme toutes les technologies de rupture, présente de multiples avantages dans de nombreux domaines (industrie, services, éducation, etc.), mais pose également des risques et des défis en matière de sécurité, de contrôle des robots intelligents et de l’IA, ainsi qu’en matière d’éthique et de protection de la vie privée, sans oublier les impacts sur la société et l’économie.


IA et enjeux de société

Le CESE a relevé onze domaines dans lesquels l’IA soulève des enjeux de société et pour lesquels des réponses doivent être apportées : l’éthique ; la sécurité ; la vie privée ; la transparence et l’obligation de rendre des comptes ; le travail ; l’éducation et les compétences ; l’(in)égalité et l’inclusion ; la législation et la réglementation ; la gouvernance et la démocratie ; la guerre ; la superintelligence.


IA et travail : la seconde ère du machinisme

Le CESE se penche également sur l’incidence de l’IA sur le travail, à savoir, l’emploi, les conditions de travail et les régimes sociaux. Selon Erik Brynjolfsson et Andrew McAfee, professeurs à MIT et auteurs de “The Second Machine Age”, il existe une différence majeure entre la première et la seconde ère du machinisme. La première ère du machinisme a consisté dans le remplacement de la force musculaire (animale, humaine) par les machines. Les répercussions ont porté principalement sur les travailleurs manuels et peu qualifiés. Or avec la seconde ère du machinisme, tous les secteurs de l’industrie et de l’économie sont concernés. Les machines “intelligentes” développent des compétences cognitives et peuvent réaliser des prestations intellectuelles. Ainsi, les répercussions porteront non seulement sur les travailleurs peu qualifiés, mais aussi sur les travailleurs diplômés.

De nombreuses catégories d’emplois, aujourd’hui tenus par des humains, devraient disparaître dans les décennies à venir, au profit de robots plus ou moins intelligents et plus ou loins autonomes. Toutefois, de nouveaux emplois devraient voir le jour, bien que l’on ne soit pas en mesure aujourd’hui de prédire leur nature ou leur nombre. En conséquence, l’un des points fondamentaux sera de permettre au plus grand nombre d’acquérir et de développer des compétences numériques.


IA et réglementation

Un autre point abordé par le CESE concerne la réglementation. Le Comité a d’ores et déjà identifié 39 règlements, directives, déclarations et communications qui devront être révisés ou adaptés par l’UE, ainsi que la Charte européenne des droits fondamentaux pour prendre en compte l’IA.


Des préconisations communes à celles du Parlement européen ...

Certaines des préconisations du Comité rejoignent celles émises par le Parlement européen. Le CESE préconise notamment :

    - l’instauration d’un code européen de déontologie pour le développement, le déploiement et l’utilisation de l’IA, “afin que les systèmes d’IA demeurent, tout au long de leur processus d’exploitation, compatibles avec les principes de dignité humaine, d’intégrité, de liberté, de respect de la vie privée, de diversité culturelle et d’égalité entre hommes et femmes, ainsi qu’avec les droits fondamentaux”. Ainsi, les questions éthiques concernant le développement de l’IA doivent être abordées. Les systèmes d’IA doivent être développés et déployés “dans les limites de nos normes, valeurs et libertés fondamentales et des droits de l’homme”. Ces règles devraient s’appliquer, de manière uniforme, à l’échelle mondiale ;

    - la mise en place d’un système européen de normalisation pour la vérification, la validation et le contrôle des systèmes d’IA, fondé sur des normes de sécurité, de transparence, d’intelligibilité et d’obligation de rendre des comptes. Le Comité reconnaît que la robotique doit être réglementée au niveau pan-européen, notamment pour des raisons concurrentielles sur le marché mondial.


Mais une divergence de fond sur le statut juridique du robot

Enfin, et contrairement au Parlement européen, le Comité se prononce contre la création d’une personnalité juridique spécifique pour les robots. Le CESE prône une approche dite “human-in-command” de l’IA, reposant sur un développement responsable, sûr et utile de l’IA, dans le cadre duquel “les machines resteraient les machines, sous le contrôle permanent des humains”. Pour le CESE, une personne physique devra toujours rester responsable en dernier ressort.


     Le Comité économique social et européen, en qualité de représentant de la société civile européenne souhaite poursuivre la réflexion sur l’IA en y associant toutes les parties prenantes concernées dans les domaines de la politique, de l’économie et de l’industrie, la santé et l’éducation notamment. En effet, compte tenu de la nature transverse des questions posées par l’évolution de l’IA et de ses impacts multiples sur la société, le débat doit couvrir tous les pans de la société sur lesquels l’IA est susceptible d’avoir une incidence.

                                                                      * * * * * * * * * * * *

(1) “Résolution du Parlement européen du 16 février 2017 contenant des recommandations à la Commission concernant des règles de droit civil sur la robotique” (2015/2103(INL)), et voir notre article “De la science-fiction au droit : vers un cadre juridique européen de la robotique à l’aube d’une nouvelle révolution industrielle” publié en mai 2017

(2) Avis du Comité économique et social européen “L’intelligence artificielle – Les retombées de l’intelligence artificielle pour le marché unique (numérique), la production, la consommation, l’emploi et la société”, 31 mai 2017, (INT/806 – EESC-2016-05369-00-00-AC-TRA (NL))
 

Photo © ClaudeAI.uk (https://claudeai.uk/ai-blog/ ) 

 

Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Juillet 2017