Veille Juridique n°77 – novembre 2024. 

L’intelligence artificielle comme outil de travail : quel encadrement ?

L’utilisation de l’IA sur le lieu de travail explose aujourd’hui, souvent sans réflexion préalable et sans que l’employeur sache exactement quelle utilisation ses salariés font des nouveaux outils à leur disposition.

Qu’il s’agisse des modèles de langage désormais classiques tels que ChatGPT, ou d’outils permettant par exemple de réaliser un design graphique (Canva), d’extraire des données du web (Browse AI) ou de prendre automatiquement des notes pendant une réunion (Fireflies), les possibilités sont légion.

Selon une étude IFOP pour Learnthings datant de décembre 2023, presque un salarié sur quatre a déjà utilisé un outil d’intelligence artificielle dans le cadre professionnel et parmi eux, plus de la moitié (55 %) l’ont fait sans en informer leur responsable.

Savoir de quelle façon ces outils sont utilisés en interne est pourtant indispensable afin d’assurer le respect du cadre légal en vigueur, et en particulier du règlement européen sur l’IA et du RGPD.

Plusieurs autorités, dont l’ANSSI et la CNIL, ont publié des recommandations visant à sensibiliser les utilisateurs professionnels. En voici les grandes lignes :

Mettre en œuvre une charte IA au sein de l’entreprise afin de

• Lister les outils autorisés ;
• Cartographier ces outils en fonction des risques, dans le respect du règlement sur l’IA ;
• Encadrer les systèmes à haut risque (par exemple la formation professionnelle et le recrutement RH, où l’utilisation de l’IA risque de générer une « automatisation des discriminations »).

Organiser un dialogue social, consulter le CSE et modifier le règlement intérieur de travail afin de rendre ces règles opposables en interne.

Assurer la sécurité des données : fournir des données personnelles à un système d’IA (par exemple des données de clients ou de collaborateurs), ou encore ou de la documentation sensible ou stratégique, peut avoir des conséquences importantes en termes de confidentialité.

En outre, l’utilisation d’un tel système peut avoir un impact sur l’intégrité du système d’information avec lequel il est connecté.

La CNIL conseille de privilégier le déploiement de solutions « sur site » qui limitent les risques d’extraction de données auprès d’un tiers.

S’il est plus économique de recourir à un système hébergé dans un cloud, il sera nécessaire de prévoir un contrat de sous-traitance précisant les différentes responsabilités et les accès autorisés aux données traitées. 

Dans ce cas, il est recommandé de limiter la fourniture de données à caractère personnel au système d’IA.

Former et sensibiliser les utilisateurs finaux aux bonnes pratiques suivantes :

• Fournir uniquement des données que l’on est autorisé à partager, en excluant par principe toute donnée confidentielle ;
• Vérifier l’exactitude et la qualité des données générées par le système, l’absence de plagiat et le risque de discrimination ;
• Ne pas reproduire telles quelles les sorties des systèmes afin de conserver un regard critique.

Assurer la transparence des traitements, en particulier ceux qui génèrent des décisions automatisées à l’égard des employés et des tiers à l’entreprise.

Établir une gouvernance : désigner le DPO, un comité ou un référent (en impliquant également le RSSI) afin de proposer aux utilisateurs finaux un point de contact pour remonter des problèmes ou des difficultés d’ordre éthique et vérifier le respect des règles.

Outre les sanctions prévues par le RGPD et le règlement sur l’IA, l’adoption d’un cadre clair représente aussi un enjeu d’ordre social et éthique, dans l’intérêt tant des personnes externes qu’internes à l’entreprise.

 

        

La CNIL publie un plan d’action pour accompagner les acteurs de la Silver Economy, filière consacrée aux activités bénéficiant aux seniors.

Elle souligne que les seniors représenteront environ 24 millions de personnes en France d’ici 2060 et que « la nature des données traitées et le ciblage en fonction de l’âge soulève d’importants enjeux en matière de protection des données ».

Elle entend mettre à jour son pack de conformité (fiches pratiques, recommandations, …) et propose un nouveau « bac à sable » pour accompagner trois projets innovants dans ce secteur.

Le 18 novembre, la CNIL et la DGCCRF ont annoncé la signature d’un nouveau protocole de coopération mettant à jour la convention de 2011.

Les deux autorités renforcent leur collaboration et développent de nouveaux axes de partage d’information pour s’adapter aux évolutions de la législation et aux enjeux économiques du numérique.

La CNIL rappelle en outre dans une publication du 19 novembre les principes de protection des données applicables à l’utilisation de caméras augmentées dans l’habitacle des véhicules de transport de marchandises, et insiste sur le fait que l’employeur doit prendre toutes les mesures nécessaires pour assurer la conformité de telles caméras avant leur mise en place.

Le 25 novembre, la CNIL a publié une série de conseils afin de protéger ses données lorsque l’on échange avec un assistant vocal.

Un salarié qui met en œuvre des ordres enfreignant le RGPD expose sa propre responsabilité pénale, même s’il agit sous instruction de son employeur.

Au tribunal correctionnel de Nantes, le procureur de la République vient ainsi de requérir une amende de 6 000 euros dont 3 000 euros avec sursis à l’encontre d’un salarié d’une entreprise de sous-traitance informatique, pour avoir installé un mouchard chez ses clients sur ordre de son patron.

Le procureur demande à l’encontre du patron une peine de prison de 9 mois avec sursis, et une amende de 30 000 €.

Dans un arrêt rendu le 21 novembre 2024, la cour d’appel de Paris a confirmé le jugement prononcé le 23 juillet 2021 par le conseil des prud’hommes de Meaux : une conversation privée sur Messenger, initialement non destinée à être rendue publique, ne peut être considérée comme une violation des obligations contractuelles d’une salariée et le licenciement disciplinaire fondé sur de tels motifs ne peut être légitimement justifié.

La Cour s’appuie sur un arrêt de la Cour de cassation du 22 décembre 2023 sur le même sujet.

Ce raisonnement s’applique même si, comme dans le cas d’espèce, l’employeur n’avait pas cherché à accéder à ces informations : lors de l’absence d’une salariée, il lui avait demandé de transmettre ses identifiants pour permettre à ses collègues d’accéder à ses documents professionnels, et les messages étaient apparus lors de l’ouverture automatique de la conversation sur l’écran.

 

Institutions et organismes européens

Le Comité européen de la protection des données (EDPB) lance un appel à commentaires sur ses lignes directrices relatives à l’article 48 du RGPD.

Les lignes directrices portent sur les demandes de coopération directe entre une autorité publique d’un pays tiers (tels que les régulateurs bancaires, autorités fiscales, forces de l’ordre ou sécurité nationale) et une entité privée de l’Union européenne (UE).

Les commentaires peuvent être transmis jusqu’au 27 janvier 2025.

L’EDPB a également adopté début décembre une déclaration concernant le deuxième rapport de la Commission européenne sur l’application du RGPD, dans laquelle il souligne l’importance de la cohérence de la législation numérique avec le RGPD.

L’EDPB va intensifier la production de contenu pour les non-experts, notamment les petites et moyennes entreprises, et souligne le besoin de ressources financières et humaines supplémentaires pour aider les autorités de protection des données (APDs) à faire face à des défis de plus en plus complexes et à des compétences supplémentaires, notamment en matière d’IA.

La victoire de l’opposant anti UE au premier tour de l’élection présidentielle roumaine le 24 novembre a des répercussions au niveau européen.

Alors que la Cour constitutionnelle du pays vient d’annuler ce premier tour suite à la déclassification de documents du renseignement national faisant état d’une opération d’envergure sur TikTok en faveur de ce candidat, la Commission européenne a lancé le 29 novembre une demande officielle d’informations à la société au titre du règlement sur les services numériques (DSA).

Le 28 novembre, le Comité sur l’IA du Conseil de l’Europe a adopté une méthodologie (HUDERIA) pour l’évaluation des risques et des impacts des systèmes d’IA du point de vue des droits de l’homme, de la démocratie et de l’État de droit.

Cette méthodologie peut être utilisée par les acteurs publics et privés pour aider à identifier et à traiter ces risques et impacts tout au long du cycle de vie des systèmes d’IA.

Mi-novembre, le Digital Freedom Fund a publié, dans le cadre du projet digiRISE, une base de données complète sur les recours collectifs en Europe, conçue pour favoriser l’action collective dans la défense des droits numériques en vertu de la Charte des droits fondamentaux de l’UE.

Le document comprend des ressources sur la façon dont dix États membres de l’UE ont mis en œuvre des mécanismes de recours collectifs : des rapports nationaux, un rapport comparatif et un outil comparatif pour découvrir les convergences et les différences entre les juridictions étudiées sont disponibles.

En matière de recours collectifs également, l’ONG NOyB indique qu’elle est désormais agréée en tant qu’« entité qualifiée » pour intenter des actions de recours collectif devant les tribunaux de l’UE.

Une telle action en vertu de la directive (UE) 2020/1828 peut être une « injonction » ou une mesure de « réparation ».

Ces dernières permettent à des milliers d’utilisateurs d’être représentés et de demander, par exemple, des dommages-intérêts non matériels lorsque leurs données à caractère personnel ont été traitées de manière illicite.

Contrairement aux recours collectifs américains, la législation européenne exige que ces actions soient intentées dans un but non lucratif.

Meta revoit une nouvelle fois ses plans pour la diffusion de publicités personnalisées dans l’Union européenne.

Ce changement découle de la position des régulateurs de l’UE, qui ont considéré que le système de publicité « consentement ou paiement » proposé aux utilisateurs européens de Facebook et d’Instagram violait le RGPD et le règlement sur les marchés numériques (DMA).

La nouvelle offre comprend un abonnement sans publicité à un coût diminué, et introduit également un modèle gratuit caractérisé par la diffusion de « publicités moins personnalisées » avec consentement.

Max Schrems, à l’origine de plusieurs actions contre Meta, indiquait que « dans l’ensemble, cela ressemble à une nouvelle tentative d’ignorer la législation européenne (…) les utilisateurs doivent avoir un choix réel entre les publicités qui utilisent leurs données personnelles et celles qui ne le font pas ».

 

Actualité des pays membres de l’Union Européenne.

En Allemagne, la Cour fédérale de justice (Bundesgerichtshof, BGH) a partiellement annulé une décision du tribunal régional supérieur de Cologne qui considérait insuffisamment motivée une demande de dommages-intérêts moraux.

L’affaire concernait une violation de données : en avril 2021, les données d’environ 533 millions d’utilisateurs de Facebook ont été rendues publiques sur Internet.

Le BGH a souligné que, selon la jurisprudence de la Cour de Justice de l’UE, même une perte unique et temporaire du contrôle des données peut constituer un préjudice moral au titre de l’article 82(1) du RGPD.

La personne concernée n’a pas besoin de démontrer une utilisation abusive concrète de ses données à caractère personnel.

Un tribunal autrichien a estimé qu’un avocat spécialisé dans les divorces pouvait fonder l’envoi par courrier électronique de matériel vidéo montrant la liaison extraconjugale de la personne concernée à l’avocat de la partie adverse sur base de l’intérêt légitime au titre de l’article 6(1)(f) et 9(2)(f) du RGPD.

Un autre tribunal a considéré en revanche que l’intérêt d’un conjoint à ne pas être enregistré lors de conflits matrimoniaux à son domicile l’emportait sur l’intérêt de l’autre conjoint à utiliser ces enregistrements dans le cadre d’une procédure de divorce.

En Belgique, l’APD a sanctionné le 28 novembre l’utilisation des cartes d’identité comme cartes de fidélité : elle a constaté la violation par la société Freedelity, société spécialisée dans la collecte de données via des cartes d’identité électroniques (eID), de plusieurs articles du RGPD concernant la validité du consentement, la minimisation de la collecte et la durée de conservation des données.

Freedelity collecte des données d’eID, notamment via des bornes placées dans des magasins partenaires.

Ces données sont ensuite partagées et synchronisées en cas de mise à jour avec les magasins utilisant ses services.

En Espagne, The Phone House S.L. a été condamné à une amende de 6 500 000 euros par l’APD pour avoir pris des mesures de sécurité inadéquates ayant permis une attaque par ransomware.

L’attaque a touché environ 13 millions de clients, exposant adresses, numéros de téléphone, documents d’identité et données bancaires.

Posti, le service postal finlandais, a été condamné le 13 novembre à une amende de 2 400 000 euros pour avoir attribué à ses clients des boîtes aux lettres électroniques sans leur consentement explicite.

Les clients qui demandaient des services tels que la réexpédition du courrier se voyaient automatiquement attribuer un compte email sans possibilité d’opt-out.

L’APD italienne a adopté le 27 novembre une décision concernant un accord de licence entre OpenAI et la société d’édition GEDI.

L’APD s’oppose à l’utilisation de l’intérêt légitime comme base juridique pour le traitement de données à caractère personnel à des fins de formation à l’IA, que le traitement porte ou non sur des données sensibles.

Selon l’APD, les accords de licence concernant le contenu éditorial utilisé pour l’entraînement à l’IA devraient garantir, à défaut de consentement, la suppression ou l’anonymisation de toutes les données à caractère personnel utilisées.

Cette décision intervient quelques semaines avant l’avis de l’EDPB sur cette question, attendu pour la fin du mois de décembre.

L’APD italienne a également infligé une amende de 5 000 000 € à la société de livraison de repas Foodinho, filiale du groupe Glovo, en raison de violations nombreuses et continues du RGPD en rapport avec le traitement des données de ses employés, notamment le suivi permanent de leur géolocalisation et les attributions automatisées de quarts de travail.

Le 11 novembre dernier, l’APD néerlandaise a publié un rapport constatant le caractère discriminatoire et illégal d’un algorithme utilisé par l’Agence exécutive pour l’éducation pour lutter contre la fraude.

L’agence utilisait cet algorithme pour vérifier si les étudiants abusaient de la bourse pour les non-résidents.

Un « score de risque » était attribué aux étudiants en tenant compte du type d’éducation, de l’âge et de la distance entre l’adresse de l’étudiant et celle de ses parents.

Ces critères n’avaient aucune justification objective et le ministre de l’Éducation, de la culture et des sciences responsable de l’agence a finalement concédé que l’algorithme était indirectement discriminatoire à l’égard des étudiants issus de l’immigration.

En Pologne, l’APD a infligé une amende de 353 589 PLN (82 000 €) à un responsable de traitement pour des mesures de sécurité insuffisantes ayant permis une attaque par ransomware.

Les pirates avaient chiffré et rendu inaccessibles les données d’environ 200 clients et employés. Un sous-traitant impliqué a été condamné à une amende de 9 822 PLN (2 200 €).

 

Fin novembre, en Australie, le Sénat a adopté un projet de loi portant modification de la législation sur la protection de la vie privée qui contient plusieurs évolutions majeures :

• L’introduction d’un délit civil pour les atteintes graves à la vie privée.
• L’expansion des pouvoirs d’exécution et d’enquête dont dispose l’APD.
• Le pouvoir pour celle-ci de développer un code de confidentialité en ligne pour les enfants.
• Une nouvelle possibilité pour le gouverneur général d’établir une « liste blanche » de pays offrant une protection adéquate des données.
• L’obligation pour les politiques de protection des données de détailler les systèmes de prise de décision automatisée pouvant affecter les droits ou intérêts d’une personne.

En Australie également, le parlement a adopté le 29 novembre une loi – controversée – interdisant l’accès aux médias sociaux pour les enfants et les adolescents de moins de 16 ans.

La loi ne précise pas la façon dont les plateformes devront vérifier l’âge de leurs visiteurs.

L’APD du Brésil publie un rapport sur l’IA générative et la protection des données.

Développé à l’origine à des fins de soutien interne aux équipes de l’APD, le document aborde les concepts de l’IA, son articulation avec la protection des données, le contexte brésilien et les perspectives de l’IA.

Le 3 décembre, la Commission fédérale du commerce des Etats-Unis (FTC) a dévoilé la conclusion de projets d’accord visant à interdire à deux importants courtiers en données, Mobilewalla et Gravy Analytics, de vendre des données de localisation sensibles, incluant par exemple la fréquentation d’églises, bases militaires, cabinets médicaux ou bars LGBTQ.

Cette mesure s’inscrit dans le prolongement d’actions menées plus tôt dans l’année à l’encontre de courtiers en données qui se livrent à des pratiques similaires.

Après la chambre des députés, le Sénat du Mexique a approuvé fin novembre un projet de loi constitutionnelle prévoyant la suppression de sept autorités de contrôle, dont l’autorité de protection des données et d’accès aux documents administratifs (INAI).

Les compétences de ces autorités seraient absorbées par différents ministères.

Celles de l’INAI seraient reprises par le ministère de la lutte contre la corruption et de la bonne gouvernance.

Les commentateurs considèrent que la ratification du projet de loi par une majorité des assemblées législatives des États mexicains devrait intervenir rapidement, comme cela s’est produit pour d’autres propositions de réforme au cours des derniers mois.