Newsletter Tech-Data novembre – décembre 2024

Dans ce numéro

• Publication au JOUE de la Directive relative à la responsabilité des produits défectueux
• Résiliation d’un contrat informatique aux torts du client et réparation du préjudice
• Condamnation à 240.000 euros d'amende par la CNIL pour constitution d’une base de données sans autorisation
• Condamnation par l’Autorité italienne de protection des données de Chat GPT
• Publication d'une deuxième version du code de bonnes pratiques de l’UE pour les modèles d’IA à usage général
• Publication de la liste des participants au code de bonnes pratiques sur les modèles d’IA à usage général
• Le ministre de l’Intérieur sanctionné par la CNIL pour un logiciel de vidéosurveillance
• L’autorité néerlandaise de protection des données inflige une amende de 4,75 millions d’euros à Netflix
• Adoption par le CEPD d'un avis sur l’utilisation des données personnelles

Actualités nouvelles technologies

Publication au JOUE de la Directive (UE) 2024/2853 du 23 octobre 2024 sur la responsabilité du fait des produits défectueux

• Directive (UE) 2024/2853 du Parlement européen et du Conseil du 23 octobre 2024 relative à la responsabilité du fait des produits défectueux et abrogeant la directive 85/374/CEE du Conseil

Cette dernière abroge les dispositions de la Directive 85/374/CEE du Conseil, datant du 25 juillet 1985, qui n'était plus adaptée au passage à une économie numérique. Les nouvelles règles en matière de responsabilité civile posée par la nouvelle directive visent à mieux tenir compte du fait que de nombreux produits présentent de nos jours des fonctionnalités numériques et que l'économie devient de plus en plus circulaire.

Principaux éléments :

• Économie numérique : la nouvelle directive élargit la définition du terme "produit" aux fichiers de fabrication numériques et aux logiciels. Les plateformes en ligne peuvent également être tenues pour responsables du fait d'un produit défectueux vendu sur leur plateforme, au même titre que tout autre opérateur économique si elles agissent en cette qualité.
• Économie circulaire : lorsqu'un produit est réparé et mis à niveau en dehors du contrôle du fabricant d'origine, l'entreprise ou la personne qui a modifié le produit devrait être tenue pour responsable.
• Divulgation des éléments de preuve : le droit à réparation a été simplifié en faisant en sorte qu'une personne lésée qui demande réparation devant une juridiction nationale puisse demander l'accès aux éléments de preuve pertinents dont dispose le fabricant afin d'être en mesure d'étayer sa demande.
• Produits achetés auprès de fabricants établis hors de l'UE : en vertu des nouvelles règles, afin de veiller à ce que les consommateurs soient indemnisés pour les dommages causés par un produit fabriqué en dehors de l'UE, l'entreprise qui importe le produit ou le représentant du fabricant étranger établi dans l'UE peut être tenu pour responsable des dommages causés.
• Charge de la preuve : lorsque le consommateur lésé est confronté à des difficultés excessives pour prouver la défectuosité du produit ou le lien de causalité entre sa défectuosité et le dommage, une juridiction peut décider que le demandeur est uniquement tenu de prouver la probabilité que le produit était défectueux ou que sa défectuosité est une cause probable du dommage.

Cette directive devra être transposée d'ici le 9 décembre 2026.

Résiliation d’un contrat informatique aux torts du client et réparation du préjudice

• Cour d'appel de Paris, Pôle 5 chambre 11, 22 novembre 2024, n° 21/08604

Dans un arrêt du 22 novembre 2024, la Cour d'appel de Paris a rendu une décision intéressante car assez rare dans un contentieux entre une société du secteur du BTP et un prestataire intégrateur de logiciel relativement à l’existence d’un préjudice en matière de déploiement de projet informatiques.

En l’espèce, le prestataire devait déployer chez son client une solution informatique dédiée au secteur du BTP (ERP Entreprise Resource Planning Progiciel de gestion Intégré). Mécontent du service fourni, le client avait assigné le prestataire.

Au vu des éléments factuels, le juge a considéré que l'intégrateur avait pleinement satisfait à son obligation de conseil et d'information à l'égard de son client profane. Une telle issue est relativement rare.

Le contrat a alors été résilié aux torts exclusifs du client, ce qui est encore moins fréquent.

Toutefois, bien que le prestataire obtienne du juge le paiement de ses factures, il se voit refuser l'indemnisation au titre du gain manqué.
Finalement le prestataire informatique n'obtient pas pleinement gain de cause, démontrant aussi la difficulté en matière de contentieux informatiques à faire la démonstration d'un préjudice.

Condamnation à 240.000 euros d'amende par la CNIL pour constitution d'une base de données de 160 millions de contacts sans autorisation

• CNIL, 5 décembre 2024, KASPR

Par une décision du 5 décembre 2024, la CNIL a infligé une sanction de 240.000 euros à la société KASPR pour non-respect des obligations prévues par RGPD. Cette amende, rendue publique, s’accompagne d’une mise en demeure visant à contraindre l’entreprise à se conformer à la réglementation. La décision a été prise en collaboration avec les autres autorités européennes de protection des données.

Les manquements reprochés à KASPR concernent l’exploitation d’une extension payante pour le navigateur Chrome, permettant à ses clients d’accéder aux coordonnées professionnelles des personnes dont ils consultent le profil sur LinkedIn. Pour constituer sa base de données, qui comprend environ 160 millions de contacts, l’entreprise a collecté des informations non seulement sur LinkedIn, mais également sur d’autres plateformes en ligne, telles que des annuaires de noms de domaine. Ces données étaient ensuite utilisées par ses clients, notamment pour des démarches de prospection commerciale ou des vérifications d’identité.

La CNIL a reçu plusieurs plaintes de personnes démarchées par des entreprises ayant obtenu leurs coordonnées via l’extension KASPR. À la suite d’un contrôle, la formation restreinte de l’autorité a constaté que ces pratiques violaient plusieurs dispositions du RGPD, justifiant ainsi la sanction :

• Un manquement à l’obligation de disposer d’une base légale (article 6 du RGPD)
• Un manquement à l’obligation de définir et de respecter une durée de conservation des données proportionnée à la finalité du traitement (article 5-1-e du RGPD)
• Un manquement à l’obligation de transparence et d’information des personnes (articles 12 et 14 du RGPD)
• Un manquement à l’obligation de faire droit aux demandes d’exercice du droit d’accès (article 15 du RGPD)

Condamnation par l’Autorité italienne de protection des données de Chat GPT pour s'être entraîné sur des données personnelles sans autorisation

• GPDP (Autorité de protection italienne), 2 novembre 2024, OpenAI

L'Autorité italienne de protection des données (Garante per la Protezione dei Dati Personali - GPDP) a sanctionné OpenAI, développeur de ChatGPT, d'une amende de 15 millions d'euros pour la façon dont le chatbot d'intelligence artificielle générative traite les données personnelles.

L'Autorité a déclaré qu'OpenAI ne l'avait pas informée d'une faille de sécurité survenue en mars 2023 et qu'elle avait traité les données personnelles des utilisateurs pour former ChatGPT sans disposer d'une base juridique adéquate pour le faire. Elle a également accusé l'entreprise d'aller à l'encontre du principe de transparence et des obligations d'information envers les utilisateurs. Enfin, l'Autorité reproche à OpenAI de ne pas avoir mis en place de mécanismes de vérification de l’âge, avec le risque qui en résulte d’exposer les enfants de moins de 13 ans à des réponses inappropriées en ce qui concerne leur degré de développement et de conscience de soi.

L’Autorité a ordonné à OpenAI de mener une campagne de communication institutionnelle de 6 mois à la radio, à la télévision, dans les journaux et sur Internet.

Le contenu, à convenir avec l’Autorité, devra promouvoir la compréhension et la sensibilisation du public au fonctionnement de ChatGPT, en particulier en ce qui concerne la collecte de données d’utilisateurs et de non-utilisateurs pour la formation à l’intelligence artificielle générative et les droits exercés par les personnes concernées, y compris ceux d’opposition, de rectification et de suppression.

Enfin, OpenAI ayant au cours de l’enquête, établi son siège européen en Irlande, l’Autorité italienne, conformément à la règle dite du guichet unique, a transmis les documents de la procédure à l’Autorité irlandaise de protection des données, devenue l’autorité de contrôle principale en vertu du RGPD, afin qu’elle puisse poursuivre l’enquête en ce qui concerne les violations de nature continue qui n’ont pas pris fin avant l’ouverture de la filiale européenne.

Actualités données personnelles

Publication d'une deuxième version du code de bonnes pratiques de l’UE pour les modèles d’IA à usage général

• Commission européenne, 19 décembre 2024, deuxième version du Code de bonnes pratiques pour l’IA à usage général rédigée par des experts indépendants

La deuxième version du code de bonnes pratiques de l’UE pour les modèles d’IA à usage général est maintenant disponible. Il est deux fois plus long que le premier et contient des KPI pour chaque mesure de conformité.

Publication de la liste des participants au code de bonnes pratiques sur les modèles d’IA à usage général

• Code de bonnes pratiques pour l’IA à usage général - Liste des organisations participantes

La Commission européenne a partagé la liste des participants à l'élaboration du code des bonnes pratiques sur les modèles d’IA à usage général. Il convient de noter qu’un tiers des participants sont des experts individuels, mais la Commission s’est jusqu’à présent abstenue de publier leurs noms pour des raisons de protection des données personnelles.

Le ministre de l’Intérieur sanctionné par la CNIL pour un logiciel de vidéosurveillance utilisant la reconnaissance faciale en temps réel

• CNIL, n°MED-2024-150 du 15 novembre 2024, Ministère de l'Intérieur

En décembre 2024, à la suite des révélations de Disclose, la CNIL a mis en demeure le ministère de l’Intérieur et six communes françaises pour non-respect dans l’utilisation du logiciel de vidéosurveillance BriefCam, notamment en ce qui concerne la reconnaissance faciale en temps réel.

Bien que le ministère n’ait pas largement activé la fonction de reconnaissance faciale, la technologie intégrée au logiciel a été utilisée de manière ponctuelle dans le cadre d’une enquête judiciaire. Cependant, à quelques exceptions strictement encadrées, la reconnaissance faciale en temps réel dans l’espace public est interdite en France.

Cette affaire met en évidence une tension croissante entre l’évolution des technologies de sécurité et le cadre juridique rigide, notamment dans le cadre de la loi Informatique et Libertés et du RGPD. Les défenseurs des droits de l’homme et des libertés civiles ont salué l’intervention de la CNIL, perçue comme un garde-fou aux potentielles dérives vers une société de surveillance généralisée.

Les professionnels du droit y ont vu un révélateur de l’inadéquation du cadre juridique actuel aux défis posés par les technologies de surveillance. La question de la proportionnalité des moyens par rapport aux objectifs de sécurité publique est au cœur du débat. Un cadre juridique spécifique semble nécessaire pour clarifier les limites de l’utilisation de la reconnaissance faciale en France, notamment avec l'IA et la mise en œuvre de la réglementation européenne y relative.

L’autorité néerlandaise de protection des données inflige une amende de 4,75 millions d’euros à Netflix pour défaut d'information sur les données personnelles collectées

• AutoriteitPersoonsgegevens(Autoriténéerlandaise),18décembre2024,Netflix

L'Autorité néerlandaise de protection des données a infligé une amende de 4,75 millions d'euros à Netflix, aux motifs qu'entre 2018 et 2020, l'entreprise n'a pas donné à ses clients suffisamment d'informations sur ce qu'elle fait de leurs données personnelles.

Le régulateur a considéré que Netflix avait enfreint le RGPD en ne rendant pas les informations contenues dans sa déclaration de confidentialité suffisamment claires et en fournissant des informations insuffisantes aux consommateurs qui interrogeaient l'entreprise sur les données qu'elle recueillait à leur sujet.

Cette enquête de l'Autorité néerlandaise fait suite à la plainte déposée par l'organisation non-gouvernementale autrichienne de protection des données fondée par Max Schrems, Noyb (None of your business).

Adoption par le CEPD d'un avis sur l’utilisation des données personnelles pour le développement et le déploiement de modèles d’IA

• CEPD, avis 28/2024, 18 décembre 2024 relatif à la protection des données dans les traitements de modèles d'IA

Le comité européen de la protection des données (CEPD) a adopté le 18 décembre 2024 un avis sur l’utilisation des données à caractère personnel pour le développement et le déploiement de modèles d’IA.

Cet avis examine :

1. quand et comment les modèles d’IA peuvent être considérés comme anonymes,
2. si et comment l’intérêt légitime peut être utilisé comme base juridique pour développer ou utiliser des modèles d’IA, et
3. ce qui se passe si un modèle d’IA est développé à l’aide de données à caractère personnel qui ont été traitées illégalement.

Il prend également en compte l’utilisation des données de première partie et de tierce partie.

L’avis a été demandé par l’autorité irlandaise de protection des données en vue de rechercher une harmonisation réglementaire à l’échelle européenne. Afin de recueillir des contributions en vue de cet avis, qui traite des technologies en évolution rapide qui ont un impact important sur la société, le CEPD a organisé un événement à l’intention des parties prenantes et a eu un échange avec l’Office de l’IA de l’UE.

La CNIL publie la liste des entités contrôlées en 2023

Contrôles réalisés par la CNIL - data.gouv.fr

downlaod the pdf