Digital Service Act : Que va-t-il changer ? Emilie de Vaucresson pour Followed

Le Digital Service Act est entré en vigueur le 25 août 2023 pour les très grandes plateformes. Dans ce contexte, Emilie de Vaucresson a été invitée à répondre aux questions du magazine Followed. 

 

Pour télécharger l’article publié dans le n°44 du magazine Followed, cliquez ici

 

Pour en savoir plus sur le magazine Followed, c’est par ici

 

Followed numéro 44, octobre 2023, Texte de C. Boulain, page 33
Followed numéro 44, octobre 2023, Texte de C. Boulain, page 33

 

 

Followed numéro 44, octobre 2023, Texte de C. Boulain, page 33
Followed numéro 44, octobre 2023, Texte de C. Boulain, page 34

 

 

 

Actions en réparation du préjudice causé par une pratique anti-concurrentielle 

Téléchargez notre newsletter ici.

 

Actions en réparation du préjudice causé par une pratique anticoncurrentielle : la Cour de cassation confirme un courant jurisprudentiel initié par les juges du fond en précisant que le délai de prescription quinquennal ne saurait courir tant que la victime n’a pas connaissance des faits « de nature à manifester l’existence d’un comportement fautif »

 

La Chambre commerciale de la Cour de cassation a rendu, le 30 août 2023 (pourvoi n°22-14.94), un arrêt très attendu sur la question du point de départ du délai de prescription de l’action indemnitaire consécutive à des pratiques anticoncurrentielles (abus de position dominante – dénigrement de médicaments) sanctionnées par l’Autorité de la concurrence.

 

La Haute juridiction a rejeté le pourvoi formé par les sociétés Sanofi contre l’arrêt rendu le 9 février 2022 par la Cour d’appel de Paris (RG n°19/19969), qui avait jugé que seule la lecture de la décision de sanction de l’Autorité de la concurrence avait pu révéler au demandeur – la Caisse Nationale d’Assurance Maladie (CNAM) – « l’existence d’un dommage réparable », « rattachable à une faute commise par les sociétés Sanofi », lui permettant « d’agir utilement devant une juridiction commerciale ».

 

La Cour de cassation confirme : la Cour d’appel, dont les constatations et appréciations sont souveraines, a exactement décidé que « seule la décision de l’Autorité avait donné connaissance à la CNAM des faits et de leur portée lui permettant d’agir en réparation de son préjudice » (soulignement ajouté).

La Cour de cassation précise : il résulte des constatations et appréciations de la Cour d’appel qu’avant cette décision la CNAM n’était pas en mesure de déterminer si les faits dont elle avait connaissance « étaient de nature à manifester l’existence d’un comportement fautif » (soulignement ajouté).

L’existence d’un comportement fautif n’avait pu être établie, en l’occurrence et comme dans bien des actions indemnitaires consécutives à des décisions de sanction de l’Autorité de la concurrence, qu’en rapportant ces faits dont la CNAM avait connaissance aux « autres éléments matériels issus de l’instruction » menée par l’Autorité de la concurrence, puis en les examinant « dans leur globalité et à la lumière d’une analyse concurrentielle ».

 

Autrement dit : le délai de prescription quinquennal de l’article 2224 du Code civil ne court qu’à compter de la date à laquelle la victime a connaissance d’un dommage rattachable à un comportement fautif (i.e. un dommage réparable). De simples soupçons ne suffisent pas. En matière d’actions en réparation du préjudice causé par une pratique anticoncurrentielle, la spécificité de la faute civile et sa délicate caractérisation expliquent que ce délai ne court habituellement qu’à compter de la décision de sanction.

 

La connaissance d’une pratique qui serait « susceptible » d’enfreindre le droit de la concurrence n’est pas suffisante pour permettre à la victime d’agir utilement et donc pour faire courir le délai de prescription de son action. Il faut encore que la pratique anticoncurrentielle soit établie, dans ses éléments factuels et juridiques, conférant à la victime une connaissance « utile » des faits lui permettant d’agir en justice.

 

Dans cette affaire, la défense de la CNAM était assurée en première instance et en appel par Joffe & Associés (Olivier Cavézian, Tehani Goy et Fanny Callède) et devant la Cour de cassation par la SCP Foussard-Frogier (Régis Frogier).

FINANCE NUMERIQUE : LES ACTEURS DU SECTEUR FINANCIER DOIVENT ANTICIPER DES MAINTENANT LE NOUVEAU REGLEMENT DORA

Finance numerique : le règlement européen n°2022/2554 sur la résilience opérationnelle informatique du secteur financier (« DORA » pour Digital Operational Resilience Act) a été adopté le 14 décembre 2022 et s’appliquera à compter du 17 janvier 2025.

 

Ce règlement a pour objectif de renforcer la sureté technologique et le bon fonctionnement du secteur financier. Il fixe des exigences de sécurité de sorte que les services financiers puissent résister et se remettre des perturbations et menaces liées aux technologies de l’information et de la communication (« TIC ») dans toute l’Union européenne.

Il s’applique à un large éventail d’acteurs évoluant dans le secteur financier ainsi que leurs partenaires technologiques, tels que notamment les établissements de crédit, entreprises d’investissement, établissements de paiement, sociétés de gestion, entreprises d’assurance et prestataires tiers de services TIC opérant dans les services financiers.

 

Le règlement DORA s’articule autour de cinq chapitres qui fixent un ensemble de règles ayant un impact majeur sur les procédures de sécurités internes et les relations contractuelles des acteurs du secteur financier.

 

Les principales mesures sont les suivantes :

 

1° La gestion des risques informatiques

Le règlement DORA impose l’adoption de cadres de gouvernance et contrôle internes afin de garantir une gestion efficace et prudente de tous les risques informatiques.

Les entités financières devront également mettre en place un cadre de gestion des risques informatiques adapté à leurs activités leur permettant de parer aux risques informatiques de manière rapide et efficiente.

 

Ainsi, à titre préventif, elles devront :

  • Utiliser et tenir à jour des systèmes, protocoles et outils de TIC adaptés, fiables et suffisamment résilients sur le plan technologique ;
  • Identifier toutes formes de risques informatiques ;
  • Assurer un suivi et un contrôle permanent du fonctionnement des systèmes et outils TIC ;
  • Mettre en place des mécanismes de détection d’activités anormales ;
  • Définir des processus et mesures d’amélioration continus, une politique de continuité des activités, une politique de sauvegarde et des procédures et méthodes de restauration et rétablissement.

 

Les entreprises concernées devront disposer de capacités et effectifs pour recueillir des informations sur les vulnérabilités, les cybermenaces et les incidents liés au TIC. A ce titre, elles devront réaliser des examens post-incidents à la suite d’incidents majeurs ayant perturbé leurs activités principales.

Cette nouvelle règlementation impose également la formalisation de plans de communication en situation de crise afin de favoriser une divulgation responsable des incidents majeurs liés au TIC.

 

Il convient de relever que le règlement prévoit un cadre simplifié de gestion du risque lié aux TIC pour certains acteurs de petites tailles comme les petites entreprises d’investissements non interconnectées.

2° Les notifications d’incidents informatiques

 

 

Les entités financières devront formaliser et mettre en œuvre un processus de gestion des incidents informatiques encadrant leur gestion, détection et notification. La règlementation DORA introduit une méthodologie standard de classification des incidents de sécurité selon des critères spécifiques (durée de l’incident, gravité des effets sur les SI, nombres d’utilisateurs touchés, …).

 

Les entités financières seront soumises à une obligation de notification des incidents informatiques classés comme majeurs auprès d’autorités compétentes nationales désignées en fonction du type d’entité financière (notamment l’ACPR et l’AMF en France) et devront leur communiquer un rapport intermédiaire et un rapport final. Ces notifications devront intervenir dans des délais fixés ultérieurement par les autorités européennes de surveillance.

 

Dans le cas où un incident qualifié de « majeur » a une incidence sur les intérêts financiers de clients, les entités financières devront également informer ces derniers, dès qu’elles en ont connaissance, de l’incident et des mesures prises pour en atténuer les effets.

 

3° Les tests de résilience opérationnelle informatique

 

Afin d’évaluer leur état de préparation en cas d’incidents informatiques et de mettre en œuvre le cas échéant des mesures correctrices, les acteurs du secteur financier devront formaliser un programme solide de tests de résilience opérationnelle numérique comprenant une série d’évaluations, de tests, de méthodologies, de pratiques et d’outils à appliquer.

 

Tous les trois ans, ils devront également effectuer des tests de pénétration fondés sur la menace, réalisés par des testeurs indépendants et certifiés.

 

4° La gestion des risques liés aux tiers prestataires de services informatiques

 

Le règlement DORA introduit des principes généraux devant être respectés par les entités financières dans le cadre de leurs relations avec des tiers prestataires de services informatiques.

 

Celles-ci devront adopter une stratégie en matière de risques liés à ces tiers et tenir un registre d’information en rapport avec tous les accords contractuels portant sur l’utilisation de services TIC fournis par des prestataires tiers.

 

Les entités financières devront communiquer au moins une fois par an aux autorités compétentes des informations sur les nouveaux accords relatifs à l’utilisation de services informatiques et devront les informer de tout projet d’accord contractuels portant sur l’utilisation de tels services soutenant des fonctions critiques.

Ce texte impose également aux entreprises visées de ne conclure des contrats avec ces tiers uniquement s’ils respectent des normes adéquates en matière de sécurité de l’information.

 

Les droits et obligations entre les entités financières et les prestataires de services informatiques devront être définies au sein d’un contrat écrit qui devra inclure notamment les conditions suivantes :

  • Une description claire et exhaustive des services fournis ;
  • Les lieux où les services seront fournis et les données traitées ;
  • Des dispositions sur l’accessibilité, la disponibilité, l’intégrité, la sécurité et la protection des données personnelles ;
  • Des descriptions des niveaux de service ;
  • L’obligation pour le prestataire de fournir à l’entité financière, sans frais supplémentaires ou à un cout déterminé ex ante, une assistance en cas d’incident informatique ;
  • L’obligation pour le tiers de coopérer pleinement avec les autorités compétentes ;
  • Le droit de résiliation et le délai de préavis minimal.

 

Lorsque les prestataires tiers fournissent des services informatiques soutenant des fonctions critiques ou importantes, les contrats devront définir des conditions additionnelles parmi lesquelles :

 

  • L’obligation pour le prestataire de coopérer lors des tests de pénétration fondés sur la menace ;
  • L’obligation pour le prestataire de mettre en œuvre des plans d’urgence et de mettre en place des mesures de sécurité fournissant un niveau approprié de sécurité ;
  • Des droits illimités d’accès d’inspection et d’audit par l’entité financière ;
  • Les stratégies de sorties, telles que la fixation d’une période de transition adéquate obligatoire.

 

En outre, la règlementation introduit un cadre de surveillance pour les prestataires de services informatiques tiers critiques pour les entités financières selon une série de critères (effet systémique sur la fourniture des services en cas de défaillance, importance systémique des entités financières qui dépendent de ce prestataire, degré de substituabilité du prestataire, …). Les « prestataires critiques de services informatiques » se verront imposer un cadre de surveillance au regard d’un ensemble de critères : exigences de sécurité, processus de gestion des risques, disponibilité, continuité, modalités de gouvernance, …

 

Ces prestataires feront l’objet d’évaluations effectuées par les entités de supervision qui seront dotées de prérogatives leur permettant d’effectuer des demandes d’information, de procéder à des inspections générales et des contrôles sur place et de formuler des recommandations.

 

5° Le partage d’informations et de renseignements  

 

Le règlement DORA introduit des directives sur les échanges d’information entre entités financières sur les cybermenaces. Ces échanges devront viser à améliorer la résilience opérationnelle numérique des entités financières notamment et s’opérer dans le plein respect de la confidentialité des affaires.  De plus, les entités financières se verront imposer une obligation de notification aux autorités compétentes lors de la participation à des dispositifs d’échanges d’information.

 

Enfin, ce règlement prévoit que les différentes autorités compétentes disposeront de pouvoir de surveillance, d’enquête et de sanctions en cas de non-conformité aux dispositions de ce texte.

 

Ce sont les États Membres qui auront la charge d’arrêter les règles prévoyant les sanctions administratives et les mesures correctives appropriées en cas de violation du règlement et qui veilleront à leur mise en œuvre effective. Il convient de relever que, contrairement au RGPD, ce règlement ne prévoit pas un plafond en cas de sanction pécuniaire mais impose que les sanctions soient « effectives, proportionnées et dissuasives ».

 

Notre équipe IT-Digital et Data de Joffe & Associés se tient à votre disposition pour vous accompagner dans votre démarche de mise en conformité afin d’anticiper au mieux la mise en application de ce règlement, notamment lors de la négociation des contrats avec les prestataires TIC mais aussi pour auditer les contrats en cours. A noter que le règlement DORA a une portée plus large que l’arrêté du 3 novembre 2014.

AVOCATS : COMMENT RÉAGIR FACE À UNE CYBER-ATTAQUE TOUCHANT VOS SYSTÈMES D’INFORMATION ?

Retrouvez l’article original publié au « Village de la Justice » ici.

 

Depuis quelques années, les cyber-attaques représentent une menace réelle et croissante pour tous les professionnels dotés d’un système d’information. Les avocats, quelle que soit leur structure d’exercice, ne font pas exception à la règle et doivent en conséquence se saisir rapidement de ces questions.

 

Les risques d’attaques par rançongiciel [1] ciblant les cabinets d’avocats sont en effet d’autant plus élevés du fait qu’ils détiennent des données sensibles et hautement confidentielles sur leurs clients.

 

Or, les conséquences d’une telle attaque peuvent être dramatiques tant pour le client que pour l’avocat.

Si le premier pourrait voir tout ou partie de son dossier divulgué et ses données utilisées à des fins malveillantes (usurpation d’identité, chantage…), le second pourrait subir une suspension de son activité, sans compter les coûts liés à la remédiation de l’incident ainsi que l’atteinte au secret professionnel et à sa réputation.

 

C’est la raison pour laquelle l’ANSSI a publié le 27 juin 2023 un guide [2] relatif à l’état de la menace informatique contre les cabinets d’avocats. Ce guide a pour objectif de sensibiliser les professionnels sur ces questions et leur livrer les mesures de sécurité technique et organisationnelle à mettre en place.

 

Ces mesures de sécurité sont indispensables à la prévention du risque d’attaque ; toutefois comme le risque zéro n’existe pas, il est essentiel de disposer des bons réflexes pour réagir efficacement à une cyberattaque.

Les avocats victimes d’une cyber-attaque devraient donc suivre le plan d’action suivant :

 

1. Prendre une assurance cyber-risque.

 

L’assurance de l’Ordre des avocats du Barreau de Paris ne couvre pas à ce jour les risques liés aux cyber-attaques (vol de données, rançongiciel, etc.). Les cabinets ne doivent pas faire l’économie de souscrire à une assurance cyber-risque qui leur permettra non seulement de bénéficier d’une aide pendant la crise (mise à disposition d’experts en cybersécurité, analyse forensique, définition d’un plan de gestion, etc.) mais également de couvrir les frais liés à la remédiation et à la perte d’exploitation.

 

Dès la découverte de l’attaque cyber et une fois les premières mesures techniques d’urgence prises par le responsable de la sécurité du système d’information du cabinet (sauvegarde, isolement du SI…) ou le prestataire informatique, l’avocat doit contacter son assurance cyber-risque.

 

2. Respecter les obligations de notification et de communication issues du RGPD.

 

Les cabinets d’avocats sont eux aussi soumis au respect du règlement général sur la protection des données (« RGPD ») en tant que responsables de traitement.

Le RGPD prévoit des obligations de notification et de communication à la charge du responsable de traitement en cas de violation de données, étant précisé qu’une violation de données est caractérisée en cas de perte de confidentialité, d’intégrité ou de disponibilité des données personnelles.

 

A titre d’exemple, dans le cas d’une attaque par rançongiciel visant un cabinet d’avocats, la violation de données est caractérisée dès lors que les données personnelles des clients et/ou des collaborateurs et salariés sont cryptées par le cyberattaquant (indisponibilité) voir divulguées (perte de confidentialité).

 

Toute violation de données personnelles devra être notifiée à la CNIL dans un délai de 72 heures maximum après sa découverte, dans le cas où un risque pour les personnes concernées est identifié (article 33 du RGPD).

En cas de risque qualifié d’élevé sur la vie privée des personnes concernées (notamment en cas de divulgation des données personnelles des clients et dans le cas de données sensibles au sens de l’article 9 du RGPD), le cabinet devra compléter cette notification par une communication directe de l’incident aux personnes concernées dans les meilleurs délais. Cette communication peut notamment prendre la forme d’un courriel et doit contenir les mentions obligatoires édictées à l’article 34 du RGPD.

 

L’avocat victime devra alors procéder à une analyse préalable des effets de l’incident sur la vie privée des personnes concernées afin de déterminer s’il doit notifier l’incident à la CNIL et communiquer aux personnes concernées le cas échéant.

 

En tout état de cause, qu’il notifie ou non l’incident à l’autorité de contrôle, l’avocat doit compléter son registre de violation des incidents [3].

 

3. Déposer plainte.

 

L’avocat devra procéder à un dépôt de plainte pénale contenant l’exhaustivité des faits et les fondements juridiques qualifiant les infractions commises dans un délai maximal de 72 heures s’il a souscrit à une assurance cyber. En effet, la loi d’orientation et de programmation du ministère de l’intérieur (LOPMI) du 14 décembre 2022 conditionne désormais le remboursement des rançongiciels au dépôt obligatoire d’une plainte de la victime au plus tard 72 heures après la connaissance de l’atteinte par la victime et ce, afin d’améliorer l’information des forces de sécurité et de l’autorité judiciaire sur les cyber-attaques [4].

 

Cette plainte peut être réalisée :
– Soit par écrit, directement auprès du procureur de la République [5] ;
– Soit auprès d’un service de police/gendarmerie qui renverra à un service spécialisé.

 

Les chefs d’infractions qui fondent généralement une plainte pénale dans le cadre d’une cyber-attaque peuvent être les suivants, selon les faits de l’espèce :

 

  • Atteinte à un système de traitement automatisé de données (« STAD ») [6] :
  • Accès et maintien frauduleux dans un STAD
  • Entrave au fonctionnement d’un STAD
  • Introduction frauduleuse de données dans un STAD
  • Extraction, détention, reproduction, transmission illégitime de données
  • Importation, détention, offre, cession ou mise à disposition d’un équipement d’atteinte aux STAD
  • Participation à un groupe formé ou à une entente établie en vue de commettre des fraudes informatiques

 

  • Escroquerie [7]
  • Vol de données / recel [8]
  • Usurpation d’identité numérique [9]
  • Manquements au RGPD et à la loi n°78-17 du 6 janvier 1978 dite « informatique et liberté » [10].
  • Afin de pouvoir réagir dans les délais, il est recommandé de disposer en amont d’un modèle de plainte pénale rédigé par un conseil spécialisé et/ou de faire appel à l’assistance d’un avocat spécialisé en cybercriminalité.

 

4. Engager la responsabilité civile du prestataire.

 

Des actions en réparation des dommages et intérêts (mise en demeure, assignation) pourront également être exercées dans le cas où l’incident a été causé par un manquement du prestataire informatique à son obligation de sécurité.

 

5. Mettre en place des actions de remédiation.

 

La sortie de crise est l’occasion de tirer les enseignements de l’incident et de repartir sur de bonnes bases.

Il peut être opportun de formaliser ou d’actualiser la politique de gestion des incidents du cabinet. La mise en place d’une politique de gestion des incidents au sein des cabinets d’avocats est non seulement indispensable à la garantie du secret professionnel mais constitue également un gage de confiance vis-à-vis des clients.

 

De même, et plus particulièrement dans le cas où l’incident est le fait du prestataire informatique agissant comme sous-traitant au sens du RGPD, il est fortement recommandé d’auditer les contrats, de vérifier l’existence d’accord sur la protection des données et de les renforcer si besoin. Un audit de sécurité devra également être diligenté auprès du sous-traitant concerné.

A défaut de réaliser ces diligences, la responsabilité du cabinet d’avocats pourrait être engagée pour manquement à son obligation de s’assurer que le sous-traitant a mis en place les mesures techniques et organisationnelles nécessaires à la sécurité et à la confidentialité des données.

 

Les conclusions du rapport de l’expert en sécurité permettront également de mettre à jour ou de renforcer le système d’information du cabinet pour contenir tout nouveau risque d’attaque.

Enfin, la sensibilisation des collaborateurs aux risques cyber ne doit pas être sous-estimée lorsqu’il est notoire que la grande majorité des failles de sécurité sont le fait d’une erreur humaine.

 

 


[1Le rançongiciel ou ransomware consiste en l’envoi à la victime d’un logiciel malveillant qui chiffre l’ensemble de ses données et lui demande une rançon en échange du mot de passe de déchiffrement.

[3Registre obligatoire conformément à l’article 33.5 du RGPD.

[4Article L12-10-1 du Code des assurances.

[5Pour Paris : Parquet de Paris – 3e division JIS/Junalco – section J3.

[6Article 323-1 et suivants du Code pénal.

[7Article 313-1 du Code pénal.

[8Article 311-1 du Code pénal.

[9Article 226-4-1 du Code pénal.

[10Article 226-18 du Code pénal.

ADOPTION DE L’ARTIFICIAL INTELLIGENCE ACT PAR LE PARLEMENT EUROPEEN : QUE RETENIR ?

Le mercredi 14 juin 2023, le Parlement européen a adopté le Artificial Intelligence Act (« AI Act »), un règlement régulant le développement et l’utilisation de l’intelligence artificielle (IA) au sein de l’Union européenne. Ce texte, qui détiendrait le record d’amendements législatifs, est désormais en discussion entre les Etats membres devant le Conseil. L’objectif est d’arriver à un accord d’ici la fin de l’année.

 

Si la date d’entrée en vigueur de cet AI Act demeure incertaine, les entreprises engagées dans le secteur de l’IA ont tout intérêt à anticiper cette future réglementation.

 

Quelles sont les principales mesures ?

 

Les objectifs

 

Le règlement permet d’harmoniser les législations des Etats membres relatives aux systèmes d’IA et offre ainsi une sécurité juridique favorable à l’innovation et aux investissements dans ce domaine. Le texte se veut ainsi protecteur mais équilibré afin de ne pas freiner le développement de l’innovation nécessaire pour relever les défis à venir (lutte contre le changement climatique, l’environnement, la santé). A l’instar du règlement général sur la protection des données (RGPD), dont on retrouve tout au long des articles la même logique, l’AI Act se pose comme une référence mondiale.

 

Le champ d’application est d’ailleurs volontairement large afin d’éviter tout contournement de la règlementation. Il s’applique ainsi tant aux fournisseurs de l’IA (qui développent ou font développer un système d’IA en vue de le mettre sur le marché ou de le mettre en service sous leur propre nom ou leur propre marque) qu’aux utilisateurs (qui utilisent sous leur propre autorité un système d’IA, sauf lorsque ce système est utilisé dans le cadre d’une activité personnelle à caractère non professionnel).

 

Concrètement, il s’applique :

  • aux fournisseurs, établis dans l’Union ou dans un pays tiers, qui mettent sur le marché ou mettent en service des systèmes d’IA dans l’Union ;
  • aux utilisateurs de systèmes d’IA situés dans l’Union ;
  • aux fournisseurs et aux utilisateurs de systèmes d’IA situés dans un pays tiers, lorsque les résultats générés par le système sont utilisés dans l’Union.

Une approche fondée sur les risques

 

L’intelligence artificielle est définie comme la capacité à générer des résultats tels que du contenu, des prédictions, des recommandations ou des décisions qui influencent l’environnement avec lequel le système interagit, que ce soit dans une dimension physique ou numérique.

Le règlement adopte une approche fondée sur les risques et introduit une distinction entre les utilisations de l’IA.

 

 

En ce qui concerne les systèmes d’IA à haut risque :

 

Les exigences minimales suivantes doivent être respectées :

 

  • Etablir un système de gestion des risques : ce système consiste en un processus itératif continu qui se déroule sur l’ensemble du cycle de vie d’un système d’IA à haut risque et qui devra périodiquement faire l’objet d’une mise à jour méthodique.
  • Assurer la qualité des jeux de données: les jeux de données d’entraînement, de validation et de test devront satisfaire aux critères de qualité et devront notamment être pertinents, représentatifs, exempts d’erreurs et complets. L’objectif est notamment d’éviter les « discriminations algorithmiques ».
  • Formaliser une documentation technique : une documentation technique contenant toutes les informations utiles à l’évaluation de la conformité d’un système d’IA à haut risque devra être établie avant que ce système ne soit mis sur le marché ou mis en service et tenue à jour.
  • Prévoir une traçabilité : la conception et le développement des systèmes d’IA à haut risque devront prévoir des fonctionnalités permettant l’enregistrement automatique des événements (« journaux ») pendant le fonctionnement de ces systèmes.
  • Fournir une informationtransparente : les systèmes d’IA à haut risque seront accompagnés d’une notice d’utilisation contenant des informations relatives aux caractéristiques de l’IA (identité et coordonnées du fournisseur, caractéristiques, les capacités et les limites de performance du système d’IA, mesures de contrôle humain…) accessibles et compréhensibles pour les utilisateurs.
  • Prévoir un contrôle humain: un contrôle effectif par des personnes physiques devra être prévu pendant la période d’utilisation du système d’IA.
  • Assurer la sécurité du système : la conception et le développement des systèmes d’IA à haut risque devront atteindre un niveau approprié d’exactitude, de robustesse et de cybersécurité, et de fonctionner de manière cohérente à cet égard tout au long de leur cycle de vie.

Les obligations pèsent sur tous les acteurs de la chaine – le fournisseur, l’importateur comme le distributeur – de sorte que chacun devra prendre ses responsabilités et faire preuve d’une vigilance accrue.

 

  • Les fournisseurs devront notamment :

-démontrer le respect des exigences minimales suscitées en tenant une documentation technique ;

-soumettre leur système d’IA à une procédure d’évaluation de la conformité avant leur mise sur le marché ou leur mise en service ;

-prendre les mesures correctives nécessaires pour mettre en conformité le système d’IA, le retirer ou le rappeler ;

-coopérer avec les autorités nationales ;

-notifier les incidents graves et les dysfonctionnements touchant une IA à haut risque mise sur le marché aux autorités de surveillance de l’Etat membre où l’incident a eu lieu au plus tard 15 jours après que le fournisseur a eu connaissance de l’incident grave ou du dysfonctionnement.

 

A noter que ces obligations se répercutent également sur le fabricant du produit qui intègre un système d’IA à haut risque.

 

  • L’importateur d’un système d’IA à haut risque devra s’assurer que le fournisseur de ce système d’IA a suivi la procédure appropriée d’évaluation de la conformité, que la documentation technique est établie et que le système porte le marquage de conformité requis et est accompagné de la documentation et de la notice d’utilisation requises.
  • Les distributeurs devront également vérifier que le système d’IA à haut risque qu’ils entendent mettre sur le marché porte le marquage de conformité CE requis, qu’il est accompagné de la documentation et de la notice d’utilisation requises et que le fournisseur et l’importateur du système, selon le cas, ont respecté leurs obligations.

 

Contrôle de l’application des règles et gouvernance

 

Au niveau national, les États membres devront désigner une ou plusieurs autorités nationales compétentes et, parmi elles, l’autorité de contrôle nationale chargée de contrôler l’application et la mise en œuvre du règlement.

 

Un Comité européen de l’intelligence artificielle (composé des autorités de contrôle nationales) sera créé aux fins de fournir des conseils et une assistance à la commission européenne, notamment dans l’application cohérente du règlement au sein de l’Union.

 

Soutenir les PME et les start-ups via l’établissement de bacs à sable réglementaires sur l’IA et d’autres mesures visant à réduire la charge réglementaire.

 

Les bacs à sable réglementaires de l’IA offriront un environnement contrôlé qui facilitera le développement, la mise à l’essai et la validation de systèmes d’IA innovants pendant une durée limitée avant leur mise sur le marché ou leur mise en service conformément à un plan spécifique.

 

Sanctions

 

 L’AI Act prévoit trois plafonds de sanction selon la nature de l’infraction :

  • Des amendes administratives pouvant aller jusqu’à 30 000 000 euros ou, si l’auteur de l’infraction est une entreprise, jusqu’à 6 % de son chiffre d’affaires annuel mondial total réalisé au cours de l’exercice précédent en cas de :

-non-respect de l’interdiction frappant les pratiques en matière d’intelligence artificielle ;

-non-conformité du système d’IA avec les exigences relatives aux critères de qualité des données.

  • La non-conformité du système d’IA avec les exigences ou obligations des autres dispositions de l’AI Act feront l’objet d’une amende administrative pouvant aller jusqu’à 20 000 000 euros ou, si l’auteur de l’infraction est une entreprise, jusqu’à 4 % de son chiffre d’affaires annuel mondial total réalisé au cours de l’exercice précédent
  • La fourniture d’informations inexactes, incomplètes ou trompeuses aux organismes notifiés et aux autorités nationales compétentes en réponse à une demande fait l’objet d’une amende administrative pouvant aller jusqu’à 10 000 000 euros ou, si l’auteur de l’infraction est une entreprise, jusqu’à 2 % de son chiffre d’affaires annuel mondial total réalisé au cours de l’exercice précédent, le montant le plus élevé étant retenu.

 

 


Artcile rédigé par Emilie de Vaucresson, Amanda Dubarry et Camille Leflour.

Les influenceurs à l’épreuve de la réglementation

Téléchargez notre article en cliquant ici.

 

La loi n° 2023-451 du 9 juin 2023 visant à encadrer l’influence commerciale et à lutter contre les dérives des influenceurs sur les réseaux sociaux a été publiée au Journal Officiel le 10 juin.

 

Nouvelles définitions

 

La loi définit désormais les influenceurs comme « les personnes physiques ou morales qui, à titre onéreux, communiquent au public par voie électronique des contenus visant à faire la promotion, directement ou indirectement, de biens, de services ou d’une cause quelconque exercent l’activité d’influence commerciale par voie électronique » ainsi que l’activité d’agent influenceur qui consiste à « représenter ou à mettre en relation, à titre onéreux » les personnes exerçant l’activité d’influence commerciale

 

Certaines activités interdites ou plus encadrées et dans tous les cas une obligation de transparence

 

Si les influenceurs doivent déjà respecter les dispositions légales existantes encadrant les pratiques publicitaires lors des placements de produits, ils devront en outre s’interdire toute promotion directe ou indirecte de traitements médicamenteux, de la chirurgie esthétique, de produits alcoolisés ou contenant de la nicotine, de certains produits et services financiers (notamment les crypto-monnaies), des abonnements à des pronostics de paris sportifs ou encore des produits impliquant des animaux sauvages. Ils devront aussi respecter les dispositions encadrant la promotion des jeux d’argent et de hasard.

De plus, pour une meilleure information des abonnés et jeunes utilisateurs des réseaux sociaux, les influenceurs devront indiquer, de manière claire, lisible et identifiable, les mentions « publicité » ou « collaboration commerciale » en cas de partenariats et « images retouchées » ou « images virtuelles » sur leurs photos et vidéos concernées par l’utilisation de filtres ou de procédés d’intelligence artificielle.

 

Vers une responsabilité accrue des influenceurs pour lutter contre le drop-shipping

 

Afin de s’adapter au phénomène du dropshipping, les influenceurs seront dorénavant responsables de plein droit vis-à-vis des acheteurs, au sens de l’article 15 de la LCEN, des produits qu’ils vendent sur leurs réseaux sociaux. Ils devront donc communiquer à l’acheteur les informations prévues à l’article L. 221‑5 du code de la consommation, ainsi que l’identité du fournisseur, et s’assurer de la disponibilité des produits et de leur licéité, notamment du fait qu’il ne s’agit pas de produits contrefaisants.

 

 Vers plus de formalisme contractuel y compris pour les influenceurs établis à l’étranger

 

Les influenceurs devront formaliser des contrats écrits avec leurs agents et les annonceurs, quand les sommes en jeu dépassent un certain seuil, qui sera défini au sein d’un décret d’application. Ces contrats devront inclure plusieurs clauses obligatoires (concernant par exemple les conditions de rémunération, la soumission au droit français, les missions confiées, …). La loi prévoit également que l’annonceur, son mandataire et l’influenceur seront « solidairement responsables des dommages causés aux tiers dans l’exécution du contrat d’influence qui les lie ».

Ces obligations s’imposent à tous les influenceurs s’adressant à un public français, ce qui inclut les influenceurs établis à l’étranger. Ces derniers devront ainsi désigner sur le territoire de l’Union européenne une personne morale ou physique responsable pénalement en cas d’infraction. Le texte impose également à ceux qui exercent hors de l’Union européenne ou de l’espace économique européen de souscrire une assurance civile dans l’Union.

 

Quant aux plateformes hébergeant les contenus des influenceurs, elles doivent permettre aux internautes de signaler tout contenu non conforme aux nouvelles dispositions relatives à l’influence commerciale.

 

Renforcement des pouvoirs de la DGCCRF

 

Outre sa mission de contrôle, la Direction générale de la concurrence, de la consommation et de la répression des fraudes (DGCCRF), bénéficie de pouvoirs renforcés pour infliger des injonctions assorties d’astreintes et mises en demeure à l’encontre des influenceurs. Une brigade de l’influence commerciale composée de 15 agents a ainsi été créée au sein de la DGCCRF.

En cas de violation des obligations posées par ce texte, les influenceurs risqueront jusqu’à 2 ans de prison et 300 000 euros d’amende et pourront être interdits d’exercer.

 

Est également encourue la peine d’interdiction, définitive ou provisoire, « d’exercer l’activité professionnelle ou sociale dans l’exercice ou à l’occasion de l’exercice de laquelle l’infraction a été commise ».

 

Publication d’un guide de bonne conduite

 

Afin d’accompagner les influenceurs dans la mise en conformité des contenus qu’ils proposent et de leur activité, un guide de bonne conduite a été diffusé par le gouvernement. Le secteur attend maintenant les décrets d’application, qui doivent fournir des précisions sur les changements opérés pour l’activité des créateurs de contenu.

 

 


Article rédigé par Véronique Dahan, Emilie de Vaucresson, Thomas Lepeytre et Romain Soiron.

PUBLICATION DU DECRET RELATIF A LA RESILIATION DES CONTRATS PAR VOIE ELECTRONIQUE

Entré en vigueur le 1er juin 2023, le décret n°2023-417 (publié le 31 mai 2023) fixe les modalités de résiliation des contrats par voie électronique prévue par l’article L. 215-1-1 du Code de la consommation introduit par la loi du 16 août 2022 portant mesure d’urgence pour la protection du pouvoir d’achat.

 

Il impose aux professionnels de mettre à disposition un accès rapide, facile, direct et permanent permettant au consommateur et au non-professionnel de notifier à un professionnel la résiliation d’un contrat.

 

Concrètement, cette fonctionnalité doit être présentée sous la mention « résilier votre contrat » ou une formule analogue dénuée d’ambiguïté et être directement et facilement accessible sur l’interface depuis laquelle le consommateur peut conclure des contrats par voie électronique. Le professionnel peut y rappeler les informations sur les conditions de résiliation mais doit s’abstenir d’imposer au consommateur la création d’un espace personnel pour y accéder.

 

Cette fonctionnalité de résiliation doit également inclure des rubriques permettant au consommateur de fournir au professionnel des informations permettant d’attester de son identité, d’identifier le contrat et, le cas échéant, de justifier des éventuels motifs légitimes à l’appui de sa demande de résiliation anticipée. Dans un tel cas, le professionnel doit mentionner une adresse postale et indiquer une adresse électronique ou comporter une fonctionnalité permettant d’adresser les justificatifs du motif légitime.

 

Enfin, le décret prévoit qu’une fois ces rubriques complétées, le consommateur doit pouvoir accéder à une page présentant une récapitulatif de sa résiliation lui permettant de vérifier et modifier les informations fournies avant de notifier sa demande.

 

Pour rappel, tout manquement aux dispositions de cet article L. 215-1-1 est passible d’une amende administrative d’un maximum de 15 000 € pour une personne physique et de 75 000 € pour une personne morale.

 


 

Article rédigé par Emilie de Vaucresson, Amanda Dubbary et Camille Leflour.

Transferts de données vers les Etats-Unis – Sanction record de 1,2 milliards d’euros pour Meta Ireland

Article rédigé par Emilie de Vaucresson, Amanda Dubarry et Camille Leflour.

 

Ce 22 mai 2023, l’autorité de régulation des données personnelle irlandaise, la Data Protection Commission (« DPC »), agissant comme chef de file, a annoncé avoir infligé à la société Meta Ireland une amende record s’élevant à 1,2 milliards d’euros pour avoir enfreint l’article 46, paragraphe 1 du RGPD en transférant des données personnelles vers les Etats-Unis sans mettre en œuvre les garanties appropriées.

 

Depuis l’invalidation du Privacy Shield, Meta Ireland mettait en œuvre ces transferts sur la base des clauses contractuelles types, en conjonction avec des mesures supplémentaires que la DPC a considéré comme insuffisantes au regard des risques pour les droits et libertés des personnes concernées. Les données de ses utilisateurs européens sont en effet stockées aux Etats-Unis, les exposant à une potentielle surveillance des autorités américaines.

 

L’enquête avait été initialement lancée en août 2020 dans le cadre d’une procédure de coopération. Le projet de décision préparé par la DPC avait alors été soumis à ses régulateurs homologues dans l’UE/EEE qui l’avait rejeté et renvoyé au Comité européen de la protection des données (le « CEPD »).

 

Sur la base de la décision du CEPD, la DPC a :

 

  • requis à Meta Ireland de suspendre tout transfert futur de données personnelles vers les États-Unis dans un délai de 5 mois à compter de la date de notification de la décision à Meta Ireland ;
  • condamné Meta Ireland une amende administrative d’un montant de 1,2 milliards d’euros, cette amende, la plus élevée jamais imposée en vertu du RGPD, est justifiée par la gravité des manquements reprochés à la maison mère de Facebook, qui compte des millions d’utilisateurs en Europe, ce qui implique un énorme volume de données transférées en violation du RGPD ; et
  • requis à Meta Ireland de mettre ses opérations de traitement en conformité avec le RGPD, en cessant le traitement illicite, y compris le stockage, aux États-Unis, de données personnelles d’utilisateurs de l’UE/EEE transférées sans garanties, dans un délai de 6 mois à compter de la date de notification de la décision du CPD à Meta Ireland.

 

Selon les termes d’Andrea Jelinek, présidente du CEPD « cette sanction est un signal fort pour les organisations que les infractions graves ont des conséquences considérables ». En effet, elle intervient dans un contexte de renforcement des contrôles envers les GAFAM, cette sanction étant la quatrième amende infligée à Meta Ireland en six mois.

 

De son côté, Meta Ireland qualifie cette amende d’« injustifiée et inutile » et souhaite demander sa suspension en justice. Dans ce contexte, le réseau social espère voir la Commission européenne adopter prochainement le nouveau projet de décision d’adéquation pour le transfert de données vers les Etats-Unis.

 

Dans l’immédiat, tant qu’un accord n’a pas été trouvé entre l’Europe et les Etats-Unis pour l’encadrement des flux de données vers les Etats-Unis, nous rappelons que la simple signature de clauses contractuelles types n’est pas suffisante pour assurer un transfert de données conforme au RGPD. Il est nécessaire de vérifier les garanties additionnelles mises en œuvre par le destinataire des données aux Etats-Unis pour assurer la confidentialité des données et l’impossibilité pour les autorités américaines d’y accéder.

 

QUEL DROIT D’AUTEUR SUR (ET CONTRE) LES CRÉATIONS DE L’INTELLIGENCE ARTIFICIELLE ?

Retrouvez l’article original de « Village de la Justice », rédigé par Véronique Dahan et Jérémie Leroy-Ringuet ici.

 

 

Chat-GPT, Dall·E 2, Stable Diffusion… Les créations de l’intelligence artificielle sont-elles des œuvres protégeables ? Qui pourrait prétendre en être l’auteur ? Mais surtout, les auteurs d’œuvres préexistantes ont-ils des droits contre l’utilisation de leur style et de leurs œuvres par l’IA ?

 

 

L’utilisation de l’intelligence artificielle (IA) par les entreprises, en particulier pour leur communication, est de plus en plus répandue. Des logiciels tels que Stable Diffusion, Midjourney, Craiyon, mais surtout Dall·E 2, développé par OpenAI et lancé en janvier 2022, permettent de créer des images à partir d’instructions en langage naturel (le « text-to-image »). Il est également possible de créer de la musique ou du texte de la même manière, par exemple en demandant à un logiciel de rédiger une description d’un paysage de fjords au coucher du soleil, avec des outils tels que le robot Chat-GPT, lancé en novembre 2022 par OpenAI.

 

Au-delà de leur aspect ludique, les applications artistiques ou professionnelles possibles de ces logiciels sont assez variées : illustration d’un article, création de marque, de logo, de slogan, de jingle, de textes pour un site Internet, pour un support publicitaire ou pour un post sur les réseaux sociaux, etc., et bientôt peut-être des œuvres littéraires complexes ou des films. Les artistes s’en sont emparé pour développer une forme d’art appelé l’Art IA, le Prompt Art ou encore le GANisme (en référence aux réseaux antagonistes génératifs ou Generative Adversarial Networks) et, parfois, en transformant en NFT les résultats obtenus [1].

 

L’IA peut donc être d’une aide significative, que ce soit en fournissant des contenus prêts à emploi ou de simples idées de départ à développer par des moyens « humains » ou en utilisant d’autres logiciels plus « traditionnels ». L’image, le texte ou le groupe de mots obtenu avec une économie de temps et d’efforts peut ainsi être retravaillé et perfectionné, les résultats obtenus étant encore aujourd’hui parfois imparfaits.

 

Pour produire une image sur commande, un logiciel a besoin d’être nourri en images préexistantes et en métadonnées sur ces images (ce qu’on appelle le « deep-learning »).
Par exemple, pour pouvoir créer une image de Mona Lisa dans le style de Van Gogh, le logiciel doit avoir été nourri 1° d’images reproduisant la Joconde de Léonard de Vinci, 2° de l’information que ces images représentent Mona Lisa, 3° d’images de tableaux de Van Gogh et 4° de l’information que ces images représentent des tableaux de Van Gogh. Plus le logiciel dispose d’informations fiables, plus le résultat sera probant :

 

(Image créée avec Stable Diffusion.)

 

 

Il serait également possible, par exemple, de créer des images n’incorporant pas d’œuvres préexistantes mais se référant d’une manière générale au style d’artistes dont les œuvres sont soit dans le domaine public soit encore protégées (c’est-à-dire dont l’auteur est vivant, ou est mort depuis moins de soixante-dix ans), comme l’image d’une sculpture dans le style de Jeff Koons.

 

Le même principe vaut pour les textes : si l’on demande à un générateur de textes de créer un dialogue à la manière de Shakespeare entre deux avocats fiscalistes qui se rencontrent devant une bouche du métro londonien et parlent du Brexit, le texte reproduira les archaïsmes anglophones typiques du théâtre élisabéthain.

 

Comme toute nouveauté technologique, l’utilisation de ces logiciels soulève de nombreuses questions juridiques.
L’objet de cet article est de répondre en particulier à la question centrale qui est : à qui appartiennent les droits (s’ils existent) sur les contenus générés par l’IA ?

 

En droit français, une œuvre est protégeable si elle est originale. L’originalité est définie comme révélant l’empreinte de la personnalité de l’auteur, qui ne peut être qu’un être humain. Il faut donc déterminer qui est l’auteur, ou qui sont les auteurs d’une image ou d’un texte créés via une instruction donnée à un logiciel. Il faut aussi déterminer qui peut en être titulaire des droits puisqu’une personne qui n’est pas l’auteur peut être, par l’effet de la loi, du contrat ou par présomption, titulaire des droits d’exploitation de l’œuvre.

 

Dans le processus qui nous a permis de créer une version de la Joconde de Vinci dans le style de Van Gogh, plusieurs personnes pourraient, volontairement ou non, avoir contribué à la création de l’image (en être auteurs ou coauteurs) ou être titulaires des droits :

  • Les auteurs des œuvres préexistantes, c’est-à-dire Léonard de Vinci et Vincent Van Gogh,
  • Nous-mêmes, lorsque nous avons donné comme instruction au logiciel : « Mona Lisa dans le style de Van Gogh »,
  • L’auteur du logiciel Stable Diffusion et la société exploitant le site Stable Diffusion.

 

Les droits des exploitants des logiciels (Stable Diffusion, Dall·E 2, Midjourney…).

 

Les entités exploitant les sites de Stable Diffusion, Dall·E 2, etc. revendiquent dans leurs conditions générales leur titularité sur les droits afférents à leurs logiciels. Ils sont donc en mesure d’autoriser ou d’interdire l’usage que les internautes font de leurs logiciels.

 

Ces logiciels contribuent au processus permettant d’obtenir des textes et images inédites, dans la mesure où ce sont ces générateurs d’images qui, dans notre exemple, ont sélectionné une atmosphère nocturne bleutée avec les spirales de La nuit étoilée plutôt que, par exemple, le décor vert et jaune de Champ de blé avec cyprès qui aurait également et peut-être mieux convenu. On peut aussi remarquer que le logiciel a choisi de relever le bras droit de Mona Lisa comme dans L’Arlésienne (Madame Ginoux) ou dans Portrait du Dr Gachet, et de la faire assoir sur une chaise qui évoque par sa couleur et la forme de ses ornements La chaise de Gauguin.

 

Nous ne sommes pas dans la situation d’une participation purement passive (comme le serait celle d’un pinceau pour un peintre ou d’un logiciel de traitement de texte pour un écrivain) : c’est précisément la part d’« autonomie » des logiciels d’IA qui jette le trouble dans la conception traditionnelle du droit d’auteur. Néanmoins, la contribution du logiciel se fait de manière automatisée et, à notre sens, l’usage technique d’un logiciel pour créer une image ou un texte ne donne au propriétaire du logiciel aucun droit sur l’image ou sur le texte : en l’absence d’une intervention humaine sur le choix des couleurs et des formes, aucun droit d’auteur ou de coauteur ne peut être revendiqué au nom de l’exploitant du logiciel.

 

Les conditions d’utilisation de ces générateurs de textes et d’images le confirment. Dans le cas de Dall·E 2, les Terms of use prévoient expressément qu’OpenAI transfère à l’utilisateur tous les droits sur les textes et les images obtenus et demande même que le contenu soit attribué à la personne qui l’a « créé » ou à sa société.
Stable Diffusion fait de même en octroyant une licence de droits d’auteur perpétuelle, mondiale, non exclusive, gratuite, libre de redevances et irrévocable pour tous types d’usage, y compris commercial. Mais en l’absence, selon nous, de tout droit transférable, ces dispositions nous semblent constituer de simples précautions.

 

D’autres sites comme Craiyon ne prévoient pas de cession de droits au bénéfice de l’utilisateur sur les résultats obtenus mais encadrent seulement l’usage du logiciel, en prévoyant des licences spécifiques dans le cas d’usages commerciaux des images créées. Le caractère payant de ces licences dépend notamment du chiffre d’affaires de la société utilisant les images créées sur son site. On comprend qu’il s’agit davantage pour Craiyon de monétiser l’usage d’un logiciel qui a représenté un investissement pour la société que de déterminer les contours d’une cession de droits d’auteur.

 

Il est donc essentiel, pour toute personne qui souhaite utiliser, à titre commercial ou non, les images créées via des outils d’IA, de vérifier si la société exploitant le site où il les crée lui en donne les droits et à quelles conditions, même s’il ne s’agit pas de conditions relatives à la titularité de droits sur les contenus.

 

 

Les droits de la personne qui utilise le logiciel.

Dès lors que l’apport créatif de la personne qui donne des instructions au générateur d’images ou de textes est limité à la production d’une idée mise en œuvre par le logiciel, et que les idées ne sont pas protégeables par le droit d’auteur, il est douteux que la qualité d’auteur soit reconnue à cette personne.

 

C’est d’autant plus vrai que, lorsqu’une instruction est donnée au logiciel, le résultat de la mise en forme de l’instruction est inconnu tant qu’il n’apparaît pas à l’écran, et que même des instructions très précises peuvent donner des résultats très variés – comme ce serait d’ailleurs le cas si l’on donnait ces instructions à des êtres humains. Puisque l’utilisateur du logiciel ne conçoit pas mentalement, à l’avance, l’image obtenue, il est difficile d’avancer que cette image porte « l’empreinte de sa personnalité ».

 

C’est particulièrement évident dans le cas d’instructions succinctes ou comprenant des termes abstraits.
Ainsi, les résultats obtenus par nous sur Dall·E 2 en donnant comme instruction « l’insoutenable légèreté de l’être » ont pu présenter des images, certes évoquant la légèreté, mais aussi différentes visuellement – et donc inattendues et déconnectées de nos « personnalités » – que les suivantes :

(Images créées avec Dall·E 2)

 

 

Mais surtout, on pourrait aller jusqu’à dénier la qualification d’œuvre de l’esprit aux images et aux textes créés par l’IA. En effet, si le code de la propriété intellectuelle (CPI) ne définit pas ce qu’est une œuvre, il n’accorde la protection du droit d’auteur qu’à des « œuvres de l’esprit » créées par des humains. Faute d’action positive créatrice de la part d’un humain entre le moment où les instructions sont données et celui où les résultats apparaissent à l’écran, on pourrait avancer qu’aucun « esprit » n’est mobilisé, donc qu’aucune « œuvre de l’esprit » protégeable par le droit d’auteur n’est créée. Pour cette raison, les auteurs de ces logiciels et les sociétés les exploitant ne pourraient pas prétendre à la qualité d’auteur ou de coauteur.

 

S’ils ne sont pas des « œuvres de l’esprit », les textes et images créés par l’IA seraient alors des biens immatériels de droit commun comme peuvent l’être des créations non originales. Ils sont appropriables non pas par le droit d’auteur (du seul fait de leur création, article L. 111-1 du CPI) mais par la possession (article 2276 du code civil) ou par le contrat (conditions générales octroyant la propriété à l’utilisateur).

 

Il s’agit alors de créations libres de droit, appartenant au domaine public alors même qu’elles auraient pu être considérées comme originales et protégeables si elles avaient été créées de la main de l’homme.
Cela fait écho à d’autres types d’« œuvres » sans auteur comme les peintures du chimpanzé Congo ou les célèbres selfies pris en 2008 par un macaque. Les juridictions américaines avaient décidé que l’autoportrait réalisé par un singe qui s’était emparé d’un appareil photo et avait déclenché l’obturateur n’était pas une œuvre protégeable puisqu’il n’a pas été créé par un humain, sujet de droits.
Si la question s’était présentée devant un tribunal français, celui-ci aurait très certainement jugé que ce selfie n’est même pas une « œuvre de l’esprit » au sens du CPI.

 

En revanche, dès lors que le résultat obtenu est retravaillé et qu’un apport personnel formel transforme ce résultat, la qualification d’œuvre de l’esprit peut être retenue, mais uniquement en raison de la modification originale apportée au résultat produit par le logiciel. Ce cas de figure est d’ailleurs prévu dans la Sharing & Publication Policy de Dall·E 2 qui demande à ses utilisateurs qui modifieraient les résultats obtenus de ne pas les présenter comme ayant été entièrement produit par le logiciel ou entièrement produit par un être humain, ce qui est davantage, de sa part, une règle éthique, de transparence, qu’une exigence juridique.

 

L’Office américain du Copyright [2] a récemment publié des lignes directrices en ce sens, avec une portée clairement juridique : il annonce qu’il refusera la protection pour les contenus, ou les parties d’œuvres créés exclusivement par l’IA et ne l’accordera éventuellement que pour les éléments sur lesquels un être humain est intervenu [3].

 

 

Les droits des auteurs des œuvres préexistantes.

 

En droit français, une œuvre nouvelle qui incorpore une œuvre préexistante sans la participation de son auteur est dite « composite » [4]. Si les œuvres préexistantes sont dans le domaine public, comme celles de Vinci et de Van Gogh, leur libre utilisation est permise (sous réserve de l’éventuelle opposition du droit moral par les ayants droit). En revanche, incorporer sans autorisation une œuvre préexistante toujours protégée constitue un acte de contrefaçon.

 

Dans notre exemple, nous considérons que la Mona Lisa dans le style de Van Gogh ne peut pourtant pas être qualifiée d’œuvre composite puisqu’elle ne peut pas être une « œuvre de l’esprit ». Cela ne veut pourtant pas dire que les auteurs d’œuvres préexistantes ne disposent pas de droits sur, ou contre, les textes ou images créées en réutilisant leurs styles ou leurs œuvres.

 

En effet, si l’on remplace notre Joconde par une image obtenue, par exemple, en entrant les instructions : « Guernica de Picasso en couleurs », on obtiendra une image qui intègre et modifie une œuvre préexistante. Or les œuvres de Picasso ne sont pas dans le domaine public. Les ayants droit du peintre disposent donc de droits sur l’image qui serait ainsi créée. Ils doivent pouvoir autoriser ou interdire non seulement l’exploitation de l’image obtenue et en demander la destruction, mais peut-être aussi interdire ou autoriser l’usage des œuvres de Picasso par le logiciel – qui, rappelons-le, puise dans sa « connaissance » d’un nombre d’images considérable, comprenant nécessairement les reproductions des œuvres de Picasso, pour répondre aux instructions qui lui sont données.

 

La production et la publication par un utilisateur d’un « Guernica en couleurs » pourrait donc constituer une contrefaçon ; mais l’intégration de Guernica dans la base de données du logiciel pourrait également, à elle seule, constituer un acte contrefaisant.

 

En effet, les sites proposant des générateurs d’images par IA nourries d’œuvres protégées pourraient théoriquement se voir considérées comme contrefacteurs par le CPI qui sanctionne le fait « d’éditer, de mettre à la disposition du public ou de communiquer au public, sciemment et sous quelque forme que ce soit, un logiciel manifestement destiné à la mise à disposition du public non autorisée d’œuvres ou d’objets protégés » [5].
Le caractère « manifeste » de la mise à disposition, et la qualification de « mise à disposition » elle-même, pourraient être discutés.

 

Mais c’est surtout la directive 2019/790 du 17 avril 2019 qui vient en aide aux exploitants de générateurs d’images et de textes en offrant une sécurisation de leur usage d’œuvres préexistantes protégées.
La directive a imposé une harmonisation européenne de l’exception de « fouille de textes et de données » (text and data-mining, articles 3 et suivants). Elle encadre l’exploitation à toutes fins, y compris commerciales, d’œuvres protégées pour en extraire des informations, notamment dans le cas des générateurs de textes et d’images. Mais la directive prévoit également une possibilité pour les titulaires de droits sur ces œuvres d’en autoriser ou interdire l’usage, hors finalités académiques. Une telle autorisation peut difficilement être préalable et les exploitants, OpenAI, par exemple, mettent donc en place des procédures de signalement de création de contenu contrefaisant (article 3d des conditions générales d’OpenAI). Mais les artistes se plaignent déjà de la complexité qu’il y a à obtenir un tel retrait alors qu’ils font face à une profusion d’images imitant leur style, certains ayant remarqué qu’Internet proposait davantage d’images créées par IA imitant leur style que d’images de leurs propres œuvres [6].

 

Les exploitants de ces logiciels pourraient donc se voir condamner pour contrefaçon, éventuellement sur le fondement de l’article L335-2-1 du CPI, lorsque les titulaires de droits sur des œuvres ont demandé leur retrait et que les exploitants ne se sont pas exécutés. Ils pourraient avoir à indemniser les utilisateurs des textes et images ainsi produits puisque ces derniers ne sont pas censés savoir si un titulaire a fait valoir son droit d’« opt-out ».

 

Le risque représenté par l’incorporation d’œuvres préexistantes a ainsi été anticipé et assumé par certains acteurs comme Adobe qui envisage d’indemniser ses clients ayant acheté des images créées par IA, en cas de réclamation des auteurs ou des ayants droit [7].

 

L’imitation du style des auteurs d’autres œuvres préexistantes : un acte contrefaisant ?

 

Les auteurs d’œuvres préexistantes peuvent subir un préjudice du fait de la multiplication de textes imitant leur style ou d’images représentant des « œuvres » qu’ils auraient pu concevoir mais qu’ils n’ont pas créées, comme notre Joconde imitant le style de Van Gogh, que Van Gogh n’a jamais peinte. Les artistes ainsi imités se mobilisent d’ailleurs en lançant des mots d’ordre du type #SupportHumanArtists. Sur quel fondement pourraient-ils s’opposer à la création de ce type de contenus et quels risques y a-t-il à produire de tels textes ou images ?

 

Le fondement du faux artistique semble à écarter.
Les faux artistiques sont sanctionnés en droit français par la loi « Bardoux » du 9 février 1895, toujours en vigueur. Ils se distinguent des contrefaçons au sens du CPI en ce qu’ils ne sont pas la reproduction non autorisée d’une œuvre préexistante et protégée mais l’imitation d’un style, afin d’attribuer à un auteur une œuvre qu’il n’a pas créée, ou d’associer son style avec une œuvre dont la valeur marchande est bien inférieure à celle d’une œuvre de la main de l’auteur.

 

Mais à strictement parler, l’image d’un ballon 3D qui imite le style de Jeff Koons, ou celle d’un tableau à la manière de Frida Kahlo ne sont pas des faux artistiques puisqu’elles sont seulement la représentation numérique d’un faux qui n’existe pas dans la réalité. Or les photographies ne sont pas concernées par la loi du 9 février 1895. Mais surtout, la qualification de faux artistique est exclue car le texte de loi, de nature pénale et donc d’interprétation stricte, réprime l’apposition d’un nom usurpé sur une œuvre ainsi que l’imitation de la signature de l’auteur. Il n’interdit donc pas la fabrication d’images « à la manière de ».

 

La contrefaçon est également un fondement imparfait. En toute rigueur, produire l’image d’un ballon « dans le style de » Jeff Koons en le présentant comme tel pourrait ne pas constituer une contrefaçon puisque cette image ne reproduit pas celle d’une œuvre préexistante.
L’œuvre créée « à la manière de » ne constitue donc ni un faux artistique ni une contrefaçon [8]. Il n’y a donc contrefaçon que s’il y a « non pas simplement imitation des procédés, du genre ou du style d’un artiste, mais copie d’une œuvre déterminée de cet artiste » [9].

 

Ainsi, comme le rappelle la professeure Alexandra Bensamoun [10], le fondement le plus indiqué nous semble être celui du droit commun, de l’article 1240 du code civil, sur lequel un tribunal pourrait condamner les « créateurs » de ces textes et images imitant le style d’auteurs vivants à réparer le préjudice moral qu’ils ont subi, voire un préjudice économique dans des cas spécifiques d’usage parasitaire du style d’un auteur d’œuvres protégées.

 

 

Conclusion.

 

On le voit, l’irruption des créations de l’IA perturbe le droit de la propriété intellectuelle, dont les outils sont insuffisants pour répondre aux questionnements suscités. Mais les interrogations ne sont pas que juridiques. L’IA est aujourd’hui capable de battre des champions du monde d’échecs ou de go.
On peut imaginer que l’IA permettra un jour de produire de « fausses » sculptures de Camille Claudel, en s’adjoignant la technologie de l’impression 3D, ou encore de faire écrire à Rimbaud ou à Mozart des poèmes et des symphonies d’un niveau artistique approchant ou équivalent, qu’ils auraient pu écrire s’ils n’étaient pas morts si jeunes. Un avenir possible de l’art pourrait être dans la déshumanisation de la création, ce qui non seulement rendrait indispensable une modification du premier livre du CPI (ce qui pourrait se produire sous l’impulsion du règlement européen en discussion sur l’IA, l’« AI act » [11]) mais susciterait en outre des questionnements éthiques.
Si le public prend autant de plaisir à lire un roman écrit par une machine ou à admirer une exposition d’œuvres picturales créées par un logiciel [12], les professions artistiques survivront-elles à cette concurrence ?

 


Notes de l’article:

[1« Intelligence artificielle : ces artistes qui en font leur big data », Libération, 30 décembre 2022.

[4Article L. 113-1 du CPI

[5Article L. 335-2-1

[6« Illustrateurs et photographes concurrencés par l’intelligence artificielle : ‘‘Il n’y a aucune éthique’’ », Libération, 29 décembre 2022

[8Laurent Saenko et Hervé Temime, Quel droit pénal pour le marché de l’art de demain ?, AJ Pénal 2020, p. 108 ; Christophe Caron, Droit d’auteur – la « contrefaçon hommage », Communication Commerce électronique n° 7-8, juillet 2021.

[9Cour d’appel de Paris, 9 juin 1973, JCP 1974, II. 17883.

[10« Intelligence artificielle : ‘‘Le droit d’auteur protège une création précise, mais pas une manière de créer’’, Libération, 31 décembre 2022, interview par Clémentine Mercier.

ChatGPT, Midjourney, Flow Machines … : quel droit d’auteur sur les créations des IA génératives ?

Face à la déferlante des IA créatives et génératives, le droit d’auteurs est quelque peu déstabilisé sur ses bases traditionnelles. La qualification d’« œuvre de l’esprit » bute sur ces robots déshumanisés. Le code de la propriété intellectuelle risque d’en perdre son latin, sauf à le réécrire.

 

L’utilisation de l’intelligence artificielle (IA) par les entreprises, notamment en communication, est de plus en plus répandue. Des logiciels tels que Stable Diffusion, Midjourney, Craiyon, ou encore Dall·E 2 permettent de créer des images à partir d’instructions en langage naturel (le «text-to-image »). Il est également possible de créer du texte avec des outils tels que le robot conversationnel ChatGPT lancé en novembre 2022 par OpenAI (1), voire de la musique avec Flow Machines de Sony (2).

 

 

Flou artistique sur le droit d’auteur

 

Les usages sont assez variés : illustration d’un journal, création d’une marque, textes pour un site Internet, un support publicitaire ou pour un post sur les réseaux sociaux, création
musicale, publication d’une oeuvre littéraire complexe, …, et bientôt produire des films. Les artistes s’en sont emparés pour développer une forme d’art appelé « art IA », « prompt art » ou encore « GANisme » (3). Et, parfois, les artistes transforment les résultats obtenus en NFT (4), ces jetons non-fongibles authentifiant sur une blockchain (chaîne de blocs) un actif numérique unique. Pour produire un texte, une image ou une musique sur commande, le logiciel a besoin d’être nourri en textes, images ou musiques préexistantes et en métadonnées sur ces contenus (« deep learning »). Plus le logiciel dispose d’informations fiables, plus le résultat sera probant. Comme toute nouveauté technologique, l’utilisation de ces logiciels soulève de nombreuses questions juridiques. La question centrale en matière de propriété intellectuelle est de savoir à qui appartiennent les droits – s’ils existent – sur les contenus générés par l’IA ?

 

En droit français, une oeuvre est protégeable si elle est originale. L’originalité est définie comme révélant l’empreinte de la personnalité de l’auteur, qui ne peut être qu’un être humain. Il faut donc déterminer qui est l’auteur, ou qui sont les auteurs d’une image, d’un texte ou d’une musique créés via une instruction donnée à un logiciel. Il faut aussi déterminer qui peut en être titulaire des droits. Il pourrait s’agir des auteurs des oeuvres préexistantes, de nous-mêmes lorsque nous avons donné une instruction au logiciel, ou encore de l’auteur du logiciel (par exemple la société Stability AI qui développe Stable Diffusion). Les entités exploitant ces logiciels contribuent au processus permettant d’obtenir des textes, images ou des musiques inédites, dans la mesure où ce sont ces générateurs de contenus qui proposent un résultat comprenant un ensemble de choix plutôt qu’un autre.

 

Ainsi, c’est la part d’« autonomie » des logiciels d’IA qui jette le trouble dans la conception traditionnelle du droit d’auteur. Un tribunal de Shenzhen (Chine) avait jugé en 2019 qu’un article financier écrit par Dreamwriter (IA mise au point par
Tencent en 2015) avait été reproduit sans autorisation, reconnaissant ainsi que la création d’une IA pouvait bénéficier du droit d’auteur. Néanmoins, la contribution du logiciel se fait de manière automatisée et, à notre sens, l’usage technique d’un logiciel pour créer une image, un texte ou une musique ne donne pas au propriétaire du logiciel de droits sur l’image, sur le texte ou la musique : en l’absence d’une intervention humaine sur le choix des couleurs, des formes ou des sons, aucun droit d’auteur ou de coauteur ne peut être revendiqué au nom du logiciel. Le 21 février 2023, aux Etats-Unis, l’Office du Copyright a décidé que des images de bande dessinée créées par l’IA Midjourney ne pouvaient pas être protégées par le droit d’auteur (5). Les conditions d’utilisation de ces générateurs de textes, d’images ou de musiques peuvent le confirmer. Dans le cas de Dall·E 2, les « Terms of use » prévoient expressément que OpenAI transfère à l’utilisateur tous les droits sur les textes et les images obtenus, et demande même que le contenu ainsi généré soit attribué à la personne qui l’a « créé » ou à sa société. Stability AI octroie une licence de droits d’auteur perpétuelle, mondiale, non exclusive, gratuite, libre de redevances et irrévocable pour tous types d’usage de Stable Diffusion, y compris commercial. Mais en l’absence, selon nous, de tout droit transférable, ces dispositions semblent constituer de simples précautions.

 

 

Droits de la personne utilisant le logiciel

 

Il est donc essentiel, pour toute personne qui souhaite utiliser, à titre commercial ou non, les contenus créés via des outils d’IA, générative ou créative, de vérifier si la société exploitant le site en ligne où il les crée lui en donne les droits et à quelles conditions. Dès lors que l’apport créatif de la personne qui donne les instructions au générateur d’images, de textes ou de musique est limité à la production d’une idée mise en œuvre par le logiciel, et que les idées ne sont pas protégeables par le droit d’auteur, il est douteux qu’un tribunal reconnaisse la qualité d’auteur à cette personne. Puisque l’utilisateur du logiciel ne conçoit pas mentalement, à l’avance, le contenu obtenu, il est difficile d’avancer que ce contenu porte « l’empreinte de sa personnalité ». Mais surtout, on pourrait aller jusqu’à dénier la qualification d’oeuvre de l’esprit aux images, textes ou musiques créés par l’IA. En effet, le code de la propriété intellectuelle (CPI) n’accorde la protection du droit d’auteur qu’à des « œuvres de l’esprit » créées par des humains.

 

 

«Oeuvre de l’esprit » inhérente à l’humain

 

Faute d’action positive créatrice de la part d’un humain, on pourrait avancer qu’aucun « esprit » n’est mobilisé, donc qu’aucune « oeuvre de l’esprit » protégeable par le droit d’auteur n’est créée. S’ils ne sont pas des « oeuvres de l’esprit », les contenus ainsi créés seraient alors des biens immatériels de droit commun. Ils sont appropriables non pas par le droit d’auteur (6) mais par la possession (7) ou par le contrat (conditions générales octroyant la propriété à l’utilisateur). Il s’agit alors de créations libres de droit, appartenant au domaine public. Cela fait écho à d’autres types d’« oeuvres » sans auteur comme les peintures du chimpanzé Congo ou les célèbres selfies pris en 2008 par un singe macaque. Sur ce dernier exemple, les juridictions américaines avaient décidé que l’autoportrait réalisé par un singe n’était pas une oeuvre protégeable puisqu’il n’a pas été créé par un humain, sujet de droits. En revanche, dès lors que le résultat obtenu est retravaillé et qu’un apport personnel formel transforme ce résultat, la qualification d’« œuvre de l’esprit » peut être retenue, mais uniquement en raison de la modification originale apportée au résultat produit par le logiciel.

 

Ce cas de figure est d’ailleurs prévu dans la « Sharing & Publication Policy » de Dall·E 2 qui demande à ses utilisateurs modifiant les résultats obtenus de ne pas les présenter comme ayant été entièrement produits par le logiciel ou entièrement produits par un être humain, ce qui est davantage une règle éthique, de transparence, qu’une exigence juridique. En droit français, une œuvre nouvelle qui incorpore une œuvre préexistante sans la participation de son auteur est dite « composite » (8). Si les œuvres préexistantes sont dans le domaine public, leur libre utilisation est permise (sous réserve de l’éventuelle opposition du droit moral par les ayants droit). En revanche, incorporer sans autorisation une œuvre préexistante toujours protégée constitue un acte de contrefaçon. Si, par exemple, on donne l’instruction « Guernica de Picasso en couleurs », on obtiendra une image qui intègre et modifie une œuvre préexistante. Or les œuvres de Picasso ne sont pas dans le domaine public et les ayants droit doivent pouvoir autoriser ou interdire non seulement l’exploitation de l’image obtenue et en demander la destruction, mais peut-être aussi interdire ou autoriser l’usage des œuvres de Picasso par le logiciel.

 

La production et la publication par un utilisateur d’un « Guernica en couleurs » pourraient donc constituer une contrefaçon ; mais l’intégration de Guernica dans la base de données du logiciel (deep learning) pourrait à elle seule constituer également un acte contrefaisant (9). En effet, le CPI sanctionne le fait « d’éditer, de mettre à la disposition du public ou de communiquer au public, sciemment et sous quelque forme que ce soit, un logiciel manifestement destiné à la mise à disposition du public non autorisée d’oeuvres ou d’objets protégés » (10). Le caractère « manifeste » de la mise à disposition, et la qualification de «mise à disposition » elle-même pourraient être discutés. Mais c’est surtout la directive européenne « Copyright » de 2019 (11) qui pourrait venir en aide aux exploitants d’IA génératrices de contenus en offrant une sécurisation de leur usage d’oeuvres préexistantes protégées. Elle encadre l’exploitation à toutes fins, y compris commerciales, d’oeuvres protégées pour en extraire des informations, notamment dans le cas des générateurs de textes, d’images ou de musiques. Elle prévoit également une possibilité pour les titulaires de droits sur ces oeuvres d’en autoriser ou interdire l’usage, hors finalités académiques.

 

Une telle autorisation peut difficilement être préalable et les exploitants, OpenAI par exemple, mettent donc en place des procédures de signalement de création de contenu contrefaisant (12). Le site Haveibeentrained.com propose, quant à lui, de vérifier si une image a été fournie comme input à des générateurs d’images et de signaler son souhait de retirer l’oeuvre de la base de données. Mais les artistes se plaignent déjà de la complexité qu’il y a à obtenir un tel retrait (13). On le voit, l’irruption des créations de l’IA perturbe le droit de la propriété intellectuelle, dont les outils actuels sont insuffisants pour répondre aux questionnements suscités. On peut imaginer que l’IA permettra un jour de produire de « fausses » sculptures de Camille Claudel, en s’adjoignant la technologie de l’impression 3D, ou encore de faire écrire à Rimbaud ou à Mozart des poèmes et des symphonies d’un niveau artistique équivalent – voire supérieur ! – qu’ils auraient pu écrire et jouer s’ils n’étaient pas morts si jeunes. La question de l’imitation du style d’auteurs encore vivant n’estd’ailleurs pas sans soulever d’autres débats.

 

 

Note : (1) – Le 14-03-23, OpenAI a présenté la version GTP-4 de ChatGPT. (2) – Lire EM@295, p. 4. (3) – Le « GANisme » fait référence aux Generative Adversarial Networks (réseaux antagonistes génératifs). (4) – Non-Fungible Tokens (NFT). (5) – https://lc.cx/ CopyrightGov 21-02-23, 6) – Du seul fait de leur création, article L. 111-1 du CPI. (7) – Article 2276 du code civil. (8) – Article L. 113-1 du CPI. (9) – Getty Images a annoncé le 17-01-23 avoir porté plainte contre Stable Diffusion pour avoir traité dans un processus de deep learning des photos lui appartenant. (10) – Article L. 335-2-1 du CPI. (11) – https://lc.cx/ Copyright17-05-19 (12) – Article 3d des conditions générales d’OpenAI. (13) – https://lc.cx/ Libération29-12-22 (14) – https://lc.cx/Procé

 


Article rédigé par Véronique DAHAN et Jérémie LEROY-RINGUET pour le magazine Edtion Multimdedia n° 297 du 10 avril 2023.