easyntic newsletter – Dimanche 20 avril 2025
Pour bien profiter du weekend prolongé !
✨ Introduction
L’actualité juridique du numérique s’accélère.
Entre la finalisation historique du règlement IA Act au niveau européen, de nouvelles initiatives pour booster l’innovation technologique en Europe, et des défis toujours présents en matière de données personnelles et de cybersécurité, il y a beaucoup à décrypter 🔎. Dans cette newsletter hebdo, nous vous proposons un tour d’horizon de ces sujets. Bonne lecture ! 😊
🗞️ Revue de presse
Publicité ciblée : les médias français font front contre Meta
Plusieurs grands groupes de médias français s’allient pour assigner Meta en justice au sujet de la publicité ciblée. En cause : le non-respect du consentement RGPD par le géant des réseaux sociaux, qui fausserait la concurrence sur le marché publicitaire. Pour rappel, Meta avait déjà été sanctionné fin 2022 par le régulateur irlandais pour ne pas avoir obtenu le consentement explicite des utilisateurs concernant l’utilisation de leurs données à des fins publicitaire. Cette fois, des poids lourds (Le Figaro, Les Échos-Le Parisien, TF1, France Télévisions, etc.), représentant 70 % du marché publicitaire français, reprochent à Meta d’exploiter les données sans consentement et d’accaparer des revenus publicitaires qui devraient leur revenir (plusieurs centaines de millions d’euros de manque à gagner.
Si leur action aboutit, Meta pourrait être contraint de modifier en profondeur ses pratiques publicitaires en Europe pour les rendre conformes au RGPD, ce qui aurait un impact majeur sur son modèle économique. Une décision favorable aux médias français pourrait en outre ouvrir la voie à d’autres recours similaires dans d’autres pays européen (L'actualité juridique numérique de la semaine - 7 avril 2025 - Data Protection - France). Affaire à suivre de très près pour l’équilibre entre acteurs des médias et plateformes ! ⚖️
Blockchain, IA : le CEPD multiplie les initiatives RGPD
Le Comité européen de la protection des données (CEPD) – qui réunit les CNIL européennes – a fait le plein de nouveautés lors de sa séance plénière d’avril. D’une part, il a adopté de nouvelles lignes directrices sur la blockchain afin d’aider les organisations à se conformer au RGPD malgré les défis posés par ces technologies (par exemple le droit à l’effacement difficile à concilier avec l’immutabilité des chaînes de blocs. Ces lignes directrices sont ouvertes en consultation publique jusqu’au 9 juin 2025. D’autre part, le CEPD a annoncé vouloir coopérer étroitement avec le futur Bureau européen de l’IA (prévu par l’IA Act) pour élaborer des recommandations sur l’articulation entre le règlement IA à venir et le droit des données personnelles (Certification, blockchain (chaîne de blocs) et IA : le CEPD adopte de nouveaux documents lors de sa dernière plénière | CNIL).
En parallèle, le CEPD publie un rapport d’experts sur les risques des modèles d’IA générative (LLM) vis-à-vis de la protection des données. Ce rapport fournit des outils pratiques pour aider les organismes à évaluer les risques et à adopter les bons réflexes face aux IA de type ChatGPT.
En résumé, entre certification RGPD, blockchain et intelligence artificielle, les autorités de protection des données européennes préparent activement le terrain pour concilier innovation technologique et respect des droits fondamentaux. 🛡️
Plan “Continent de l’IA” : l’Europe passe à la vitesse supérieure
Bruxelles a dévoilé un ambitieux plan d’action “AI Continent” pour faire de l’Europe un leader mondial de l’intelligence artificielle. Ce plan d’ensemble s’articule autour de cinq piliers stratégiques annoncés par la Commission : (1) construction d’infrastructures de calcul intensif pour l’IA, (2) accès aux données, (3) soutien à l’adoption de l’IA dans l’industrie, (4) renforcement des compétences en IA, et (5) simplification du cadre réglementaire. Concrètement, l’UE va investir dans un réseau de “AI Factories” (supercalculateurs dédiés à l’IA) – 13 consortiums ont déjà été sélectionnés pour déployer ces infrastructures à travers l’Europe. En parallèle, la Commission planche sur un Cloud and AI Development Act visant à accroître les capacités cloud et data centers en Europe et à lever les barrières à leur développement.
Le plan comprend également une initiative “Apply AI” pour accélérer l’adoption de l’IA dans les secteurs clés (santé, éducation, justice, administration…), car aujourd’hui seule 13,5 % des entreprises européennes ont intégré l’IA dans leurs activités. Des consultations publiques ont été lancées dès le 9 avril pour recueillir les avis des parties prenantes sur ces mesures, avec une clôture prévue en juin. En somme, l’UE ne se contente pas de réguler l’IA, elle veut aussi muscler son écosystème pour rattraper son retard et encourager une IA éthique made in Europe 🚀.
Intersport : fuite de données clients et réaction rapide
Nouveau cas de fuite de données personnelles dans le retail. L’enseigne d’articles de sport Intersport a confirmé avoir été victime d’une violation de sécurité exposant des données clients. Parmi les informations compromises figurent des noms, adresses e-mail et numéros de téléphone de sa base clients. Dès la découverte de l’incident, Intersport a réagi en lançant une enquête interne pour identifier l’origine de la faille, en notifiant les clients concernés, et en renforçant ses mesures de sécurité afin de prévenir tout incident.
Cet événement met en lumière l’importance pour les entreprises de se conformer aux obligations du RGPD en matière de sécurité des données et de notification des violations. On peut saluer la réactivité d’Intersport, qui semble avoir respecté le processus de notification et de remédiation attendu. Reste à voir si une enquête de la CNIL sera ouverte et si des manquements à la sécurité seront sanctionnés. Un rappel en tout cas pour tous : aucune entreprise n’est à l’abri d’une fuite de données, et anticipation (mesures de sécurité proactives) comme transparence en cas d’incident sont de mise. 🔒
Cryptomonnaies : le régulateur européen tire la sonnette d’alarme
Les actifs crypto peuvent-ils menacer la stabilité financière ? L’Autorité européenne des marchés financiers (ESMA) met en garde contre les risques systémiques potentiels liés au marché des cryptomonnaies. Dans un contexte où les crypto-actifs gagnent en ampleur et se connectent de plus en plus aux marchés financiers traditionnels, l’ESMA estime qu’une crise importante sur les cryptos pourrait, à l’avenir, ébranler la stabilité financière globale. Pour l’heure, le secteur crypto reste de taille modeste en proportion : les fonds d’investissement crypto ne représentent que <1 % du marché européen, et 95 % des banques de l’UE n’ont pas d’activité crypto significative. Autrement dit, un éventuel choc crypto serait aujourd’hui contenu.
Cependant, le gendarme financier européen souligne qu’en cas de krach d’un acteur majeur – par exemple l’effondrement d’un stablecoin important – des effets de contagion pourraient se faire sentir sur les marchés classiques (les stablecoins étant adossés à des actifs financiers dont la valeur pourrait chuter). L’ESMA appelle donc à une surveillance accrue de ce secteur émergent. Cette prise de position intervient alors qu’outre-Atlantique, les autorités semblent au contraire vouloir assouplir certaines règles (le nouveau gouvernement américain aurait même dissous son unité dédiée à la répression des crimes crypto). Deux visions qui s’opposent : l’UE mise sur la prudence via le règlement MiCA et les mises en garde de l’ESMA, tandis que les USA de 2025 paraissent temporiser sur la régulation crypto.
🔍 Zoom de la semaine – IA Act : le vote définitif et ses implications
C’est officiel : l’IA Act, le tout premier cadre juridique global sur l’intelligence artificielle, vient d’être adopté définitivement par l’Union européenne. Présenté en 2021, ce règlement pionnier – qualifié de “première loi au monde sur l’IA” – a été approuvé par le Parlement européen en mars puis par le Conseil de l’UE en vote final. Il entrera en vigueur dans les semaines à venir, pour une application effective échelonnée d’ici 2026 (la plupart des obligations s’appliqueront après un délai de transition de 2 ans). À l’instar du RGPD en son temps, l’IA Act a une portée extraterritoriale : il s’appliquera à tout système d’IA utilisé dans l’UE, y compris si son fournisseur est établi hors d’Europe. Il crée par ailleurs un Bureau européen de l’IA (European AI Board) chargé de coordonner les autorités nationales et d’assurer une application cohérente du règlement – une structure rappelant le CEPD pour la protection des données.
Mais concrètement, que prévoit cette nouvelle réglementation IA et qu’est-ce que cela va changer pour les professionnels IT et juridiques ? Tout d’abord, l’IA Act instaure une approche par les risques. Sont bannies les utilisations d’IA jugées “à risque inacceptable” pour les droits fondamentaux : par exemple les systèmes d’évaluation sociale à la chinoise, la surveillance biométrique de masse ou les IA manipulant le comportement humain de manière trompeuse (deepfakes malveillants, etc.), sauf exceptions très encadrées.
À l’inverse, les IA à risque minimal (jeux vidéo, filtres anti-spam…) ne seront pas soumises à de nouvelles contraintes réglementaires. Entre les deux, l’IA Act définit surtout le régime des systèmes d’IA “à haut risque”, c’est-à-dire les IA déployées dans des domaines sensibles pouvant affecter la vie des personnes : santé, éducation, recrutement RH, crédit, transport, sécurité, justice. Ces systèmes à haut risque devront obtenir une certification CE avant mise sur le marché et respecter de strictes obligations tout au long de leur cycle de vie : évaluation et gestion des risques (par ex., éviter les biais discriminatoires), haute qualité des données d’entraînement, constitution d’une documentation technique détaillée, maintien de journaux d’audit (logs) pour tracer les décisions, transparence sur le fonctionnement, supervision humaine appropriée, robustesse et cybersécurité renforcée. En pratique, cela revient à imposer un véritable label “IA fiable” aux systèmes critiques, analogue au marquage CE des produits physiques.
Autre point notable du texte final : l’IA Act n’oublie pas la vague actuelle de l’IA générative (type ChatGPT). Les modèles d’IA généralistes ou « fondationnels » qui servent de base à de multiples applications se voient imposer des obligations de transparence spécifiques : un fournisseur de modèle génératif devra notamment informer lorsque du contenu est créé par IA (exemple : mentionner qu’un texte, une image ou une vidéo a été généré artificiellement. Les fameux deepfakes devront être clairement étiquetés comme tels pour ne pas induire le public en erreur. De plus, les modèles les plus puissants susceptibles de présenter un risque systémique (par leur taille ou leur usage très répandu) pourront faire l’objet d’une évaluation renforcée de la part des autorités. À noter que les modèles open-source publiant leurs codes et jeux de données bénéficieront d’obligations allégées, favorisant l’innovation ouverte.
En termes de sanctions, l’IA Act se montre tout aussi dissuasif que le RGPD, voire plus. En cas de manquement grave (par exemple l’exploitation d’une IA interdite), les amendes pourront atteindre 35 millions d’euros ou 7 % du chiffre d’affaires mondial de l’entreprise. Les violations d’obligations moins critiques (documentation incomplète, coopération insuffisante…) entraîneront des amendes moindres (paliers de 3 % et 1,5 % du CA selon la gravité) – un système de sanctions graduées calqué sur le niveau de risque.
Quelles implications pour les professionnels IT et juridiques ? Pour les entreprises développant ou utilisant de l’IA, il est temps de se préparer. Il va falloir faire l’inventaire des systèmes d’IA en place, déterminer lesquels entrent dans les catégories “haut risque” ou autre, et mettre en œuvre dès maintenant des mesures de conformité. Cela passe par exemple par la mise à jour des processus internes (évaluations d’impact, documentation technique, procédures de contrôle humain des décisions algorithmiques, etc.), la vérification des jeux de données utilisés (qualité, biais), et l’audit des fournisseurs externes d’IA. Les fournisseurs d’IA devront sans doute désigner des responsables conformité IA, à l’image des DPO pour les données personnelles. Du côté des juristes, il faudra intégrer ces nouvelles exigences dans les contrats IT (clauses garantissant que les prestataires respectent bien l’IA Act, partage des responsabilités en cas de non-conformité, etc.). Les équipes juridiques et conformité ont tout intérêt à suivre de près les lignes directrices qui seront émises par les régulateurs pour préciser l’application du texte – notamment via le Bureau européen de l’IA qui coordonnera les autorités nationales et travaillera en lien avec le CEPD (voir actu ci-dessus sur leur coopération annoncée) (Certification, blockchain (chaîne de blocs) et IA : le CEPD adopte de nouveaux documents lors de sa dernière plénière | CNIL).
En somme, l’IA Act inaugure une nouvelle ère réglementaire pour l’intelligence artificielle, où la maîtrise des risques et la transparence seront des passages obligés pour innover en confiance. C’est le « premier, et non le dernier mot » en la matière, soulignent les experts, l’UE donnant le la d’une régulation appelée à inspirer d’autres juridictions dans le monde. Nous entrons dans un monde où “IA responsable” devra rimer avec “IA scalable”. Aux organisations de s’adapter dès maintenant pour tirer parti de l’IA tout en restant dans les clous de la loi – un défi passionnant que nous continuerons à suivre de près dans cette newsletter ! 🤖⚖️
📚 À lire / À voir / À écouter
🎥 Webinaire CNIL – « Comment déployer un système d’IA générative » – Un replay de 26 minutes proposé par la CNIL pour tout comprendre des best practices et obligations lors du déploiement d’une IA de type ChatGPT au sein d’une organisation. Les experts de la CNIL y partagent conseils concrets et préconisations juridiques pour un usage responsable de l’IA générative. Un contenu très utile et 100% en français, à ne pas manquer si vous envisagez d’intégrer ce type d’outil dans vos projets ! 🔗 Lien : CNIL – Webinaire IA générative (mars 2025).
📖 Article à ne pas manquer
"Régulation européenne sur le numérique : ne reculons pas !" par Guillaume Tissier sur IT for Business - Une analyse percutante des risques d'un assouplissement de la régulation européenne face aux pressions américaines. 🔗 Lien : Régulation européenne sur le numérique : ne reculons pas !
🎯 Conclusion
N’hésitez pas si vous avez des questions, propositions, commentaires. C’est le début pour moi, donc je suis preneur ! Je vous retrouve la semaine prochaine pour décortiquer d’autres sujets d’actualité. D’ici là, excellente semaine à tous, et restons curieux ! 💡🔗