Newsletter Archives

RÈGLEMENT SUR LES SUBVENTIONS ÉTRANGÈRES – BILAN ET PERSPECTIVES UN AN ET DEMI APRÈS SON ENTRÉE EN VIGUEUR

Posted on 16 avril 202516 avril 2025 by Valentin Poitou

Le 12 octobre 2023 entrait en vigueur le règlement européen sur les subventions étrangères (Foreign Subsidies Regulation ; FSR) introduisant l’obligation de notifier les concentrations impliquant des entreprises ayant bénéficié de subventions étrangères, afin de permettre à la Commission européenne d’évaluer si ces dernières étaient susceptibles de porter atteinte à la concurrence au sein du marché intérieur. ¹

Un an et demi plus tard, la Commission européenne a rendu une seule décision dans ce cadre, publiée le 4 avril dernier ; soit deux jours après la clôture d’une consultation publique lancée par la Commission le 5 mars 2025 afin de recueillir des commentaires sur les principaux objectifs, la portée et le contexte des prochaines lignes directrices relatives à la mise en œuvre du FSR.

Ces deux évènements permettent de dresser un premier bilan et d’esquisser quelques perspectives concernant l’application du FSR au sein de l’Union européenne à l’avenir.

I – Le bilan de l’application du FSR – Focus sur la première décision rendue par la Commission européenne

À ce jour, plus de 140 opérations d’investissement ont été notifiées auprès de la Commission européenne au titre du FSR, couvrant un grand nombre de secteurs : l’industrie, la santé, la mode ou encore les hautes technologies.

L’examen de la plupart de ces opérations a été clos à l’issue d’une phase préliminaire, sans avoir fait l’objet d’une enquête approfondie, soit du fait de subventions étrangères ne dépassant pas les seuils de contrôle, soit en raison de l’absence d’éléments indiquant une distorsion de concurrence réelle ou potentielle au sein du marché intérieur. Près d’une quinzaine d’opérations sont toujours en cours d’examen préliminaire par la Commission européenne.

La Commission européenne a ouvert des enquêtes approfondies sur trois opérations qui lui ont été notifiées au titre du FSR, dont deux pour lesquelles les entreprises ont ensuite retiré leur notification. Aussi, ce n’est que le 24 septembre 2024 que la Commission a rendu sa première décision FSR, autorisant, sous conditions, l’acquisition des activités non-tchèques de PPF Telecom par Emirates Telecommunications Group Company PJSC (« e& »).

Cette décision, dont la substance avait été révélée dans un communiqué de presse publié le jour où elle a été rendue, constitue un précédent majeur quant à la manière dont la Commission entend encadrer les effets potentiels de subventions étrangères sur la concurrence au sein du marché intérieur. Après de longs mois d’attente, une version non confidentielle provisoire, de 91 pages, a été publiée par la Commission le 4 avril 2025.

Concrètement, la Commission a examiné les effets potentiels des subventions octroyées dans le cadre de cette opération par les Émirats arabes unis à e& et à son actionnaire, le fonds souverain EIA. En cause : une garantie illimitée de l’État, ainsi que des aides financières diverses.

La Commission a considéré que ces subventions n’avaient pas faussé la concurrence dans l’opération d’acquisition elle-même, e& étant le seul acquéreur potentiel et étant doté de ressources suffisantes pour réaliser l’opération, indépendamment de toute aide publique.

La Commission a toutefois retenu que les subventions en cause auraient pu entraîner une distorsion de la concurrence post-acquisition, en permettant à e& de bénéficier d’un avantage indu dans ses futurs investissements ou acquisitions au sein de l’Union européenne, au-delà des capacités normales d’un opérateur privé agissant selon les conditions du marché.

Afin de remédier à ces préoccupations de concurrence, e& et EIA ont pris des engagements substantiels, incluant :

la suppression de la garantie illimitée d’État par modification des statuts de e& ;
l’interdiction de financer les activités de PPF dans l’Union européenne, sauf dans certains cas strictement encadrés par la Commission ;
l’obligation d’informer la Commission de toute future acquisition, même non notifiable au titre du FSR (application anticipée de l’article 8 du règlement).

Dans sa décision, la Commission a conclu que l’opération ainsi modifiée ne soulevait pas de préoccupations de concurrence et l’a donc autorisée, sous réserve du respect intégral des engagements ; ceux-ci ayant été pris pour une durée de dix ans, que la Commission pourrait prolonger de cinq années supplémentaires si elle l’estimait nécessaire.

Cette opération, qui n’était pas notifiable à la Commission au titre du contrôle classique des concentrations, a été notifiée et autorisée au titre des règles nationales de contrôle dans plusieurs Etats membres de l’Union européenne, dont la Bulgarie et la Slovaquie.

II – Les grandes lignes des contributions rendues publiques par la Commission européenne le 2 avril 2025, à l’issue de sa consultation

La Commission européenne a par ailleurs lancé, le 5 mars 2025, une consultation publique dans la perspective de l’adoption prochaine de lignes directrices concernant la mise en œuvre du règlement européen sur les subventions étrangères.

Au total, une cinquantaine de contributions lui ont été adressées par une grande variété d’acteurs, européens mais aussi américains (deux contributions), chinois (quatre contributions) et même thaïlandais (une contribution) : entreprises, cabinets d’avocats, autorités publiques, institutions académiques et associations professionnelles, parmi lesquelles l’association française des Avocats pratiquant le droit de la concurrence (APDC) dont les auteurs de cette newsletter sont membres.

L’analyse des différentes contributions fait ressortir plusieurs axes structurants dont la Commission pourrait tenir compte pour l’élaboration de ses futures lignes directrices :

Exigence de sécurité juridique : Une clarification des notions clés (subvention étrangère, contribution financière, distorsion), des méthodologies d’analyse des effets de distorsion, et des seuils de notification est réclamée par les contributeurs. Une meilleure lisibilité du dispositif est jugée indispensable pour sécuriser les opérations internationales.
Proportionnalité des engagements : Certains contributeurs s’inquiètent d’une utilisation disproportionnée des engagements, notamment ceux imposant des obligations de transparence sur des transactions futures non notifiables (ce qui a été le cas dans la première décision rendue au titre du FSR), qui pourrait nuire à l’attractivité du marché européen.
Définition des subventions étrangères problématiques : Une clarification est attendue sur les types de subventions considérées comme faussant la concurrence (garanties illimitées, exonérations fiscales, prêts préférentiels).
Coordination avec les autres cadres réglementaires : Plusieurs contributions soulignent l’importance d’une cohérence entre le FSR, le contrôle des concentrations, le contrôle des aides d’État et les règles en matière de marchés publics, afin de garantir un traitement uniforme et équitable des opérations transfrontalières. A cet égard, l’APDC propose notamment la création d’une task force commune entre la DG COMP, en charge du contrôle des concentrations, et la DG GROW, en charge du contrôle au titre du FSR, pour améliorer la cohérence et la transparence de leurs décisions.
Procédure simplifiée pour les opérations peu sensibles : Une procédure allégée, inspirée du contrôle des concentrations, est suggérée pour les opérations jugées non problématiques afin de ne pas entraver inutilement l’activité économique.
Amélioration de la réactivité : Certains contributeurs, dont l’APDC, préconisent d’accélérer la procédure de pré-notification du FSR, en réduisant les demandes d’informations et en valorisant les données déjà transmises dans d’autres dossiers.
Focus sur les appels d’offres : Les contributeurs recommandent de clarifier les critères d’évaluation des offres (offres indûment avantageuses et offres anormalement basses), ainsi que de réduire les charges administratives et les délais d’enquête.
Focus sur le test de mise en balance : Une clarification des critères d’application est demandée, en s’appuyant sur la jurisprudence et les règles d’aides d’État de l’UE, tout en intégrant des éléments objectifs pour évaluer les effets positifs des subventions étrangères, prenant notamment en compte les impacts sur la concurrence, l’environnement, l’emploi et les objectifs stratégiques de l’UE.
Focus sur les seuils de notification : Deux approches s’opposent : certains contributeurs recommandent un abaissement des seuils afin de couvrir un plus grand nombre de projets stratégiques et mieux lutter contre les distorsions du marché, tandis que d’autres plaident pour une hausse des seuils ou des exemptions afin de réduire la charge administrative.

L’application du FSR s’annonce déjà structurante dans la régulation des investissements étrangers au sein de l’Union européenne. La décision e&/PPF en constitue un exemple emblématique (et le seul, à ce jour…) : elle illustre la vigilance de la Commission, mais également sa volonté de permettre la réalisation d’opérations économiques dès lors que des engagements adaptés permettent de prévenir les risques de distorsions de concurrence liées à l’octroi de subventions étrangères ; parallèlement au régime classique de contrôle des concentrations.

La rédaction des lignes directrices, dont la publication est prévue le 13 janvier 2026 au plus tard, sera une étape décisive pour sécuriser les opérateurs économiques tout en assurant une concurrence loyale dans un contexte globalisé, notamment s’il est tenu compte des propositions et commentaires formulés dans les contributions précitées. D’ici là, la Commission devrait organiser une nouvelle consultation publique sur le projet de lignes directrices, lorsque celui-ci aura été rédigé.

Les auteurs remercient Matilda Biviglia pour sa contribution à la rédaction de cette newsletter.

Pour mémoire, les opérations de concentration doivent faire l’objet d’une notification préalable, obligatoire et suspensive à la Commission européenne au titre du FSR lorsque (i) au moins une des entreprises concernées par l’opération, établie dans l’Union européenne, génère un chiffre d’affaires total d’au moins 500 millions d’euros dans ce territoire et (ii) les parties à l’opération ont reçu de pays tiers à l’Union européenne des contributions financières excédant un total de 50 millions d’euros au cours des trois années ayant précédé la conclusion de l’accord.

La blockchain reconnue comme mode de preuve de la titularité des droits d’auteur

Posted on 26 mars 202526 mars 2025 by Valentin Poitou

Le tribunal judiciaire de Marseille a reconnu, le 20 mars 2025, la valeur probante d’un horodatage Blockchain pour établir la titularité des droits patrimoniaux d’auteur, et non seulement pour déterminer la date certaine de création des œuvres inscrites.

La société AZ FACTORY, a ainsi prouvé ses droits sur les créations vestimentaires Hearts from Alber et Love from Alber grâce à des enregistrements effectués en mars et septembre 2021 via la solution BlockchainyourIP. Ces œuvres, créées par le célèbre créateur de mode Alber ELBAZ, bénéficient par conséquent d’une protection renforcée grâce à la Blockchain.

Une protection renforcée

Le tribunal a confirmé l’originalité des œuvres et caractérisé la contrefaçon. Il a considéré que l’horodatage Blockchain permettait d’établir la titularité des droits patrimoniaux d’auteur :

« En l’espèce, la titularité des droits patrimoniaux d’auteur relatifs aux vêtements Hearts from Alber et Love from Alber au profit de la société AZ FACTORY est établie par les deux constats de l’horodatage Blockchain en date des 05 mai 2021 et 15 septembre 2021. »

Ce système d’horodatage permet ainsi de contribuer à assurer une preuve suffisamment fiable non seulement de la date de création d’une œuvre, une utilité qui lui avait déjà été reconnue, mais aussi de la titularité des droits sur cette œuvre, ce qui représente un atout majeur pour les créateurs face aux actes de contrefaçon.

Un apport intéressant pour les règles d’établissement de la preuve des droits d’auteur

L’admissibilité de preuves issues de cette technologie semble toutefois reposer, aux termes de ce jugement, sur un faisceau d’indices, sans que l’on sache si la seule inscription dans la Blockchain aurait suffi ou non à établir la titularité des droits.

En effet, le tribunal a aussi précisé que les vêtements étaient commercialisés sous deux marques de l’Union européenne reproduites sur les étiquettes des vêtements et que les vêtements avaient été divulgués sur les réseaux sociaux, ce qui a contribué à déterminer la titularité des droits.

En établissant la titularité des droits d’auteur grâce à la Blockchain mais aussi grâce à d’autres éléments de preuve, ce jugement ne permet pas encore de faire de l’inscription d’une création dans la Blockchain une preuve « reine ».

Décision du tribunal judiciaire de Marseille, 20 mars 2025, RG n° 23/00046 sous ce lien

Article par Véronique Dahan, Jérémie Leroy-Ringuet, Charlotte Gauvin et Carla Notarianni.

Edition Multimedia : Mars 2025 – Métavers

Posted on 25 mars 2025 by Valentin Poitou

Téléchargez l’article complet en cliquant ici.

Depuis le rapport du CSPLA sur le métavers face au droit d’auteur,« des travaux » se poursuivent. Si le rapport sur le métavers adopté mi-2024 par le CSPLA n’a pas identifié d’évolutions juridiques « nécessaires et urgentes», il a cependant appelé à des «réflexions». Selon nos informations, « des travaux» sont en cours à la Direction générale des entreprises (DGE) à Bercy.

Dans la continuité des travaux menés par le Conseil supérieur de la propriété littéraire et artistique [CSPLA) sur d’autres innovations technologiques majeures comme les jetons non fongibles en 2022, la réalité virtuelle ou la réalité augmentée en 2020 ou la« blockchain » en 2018, cette instance consultative chargée de conseiller le ministère de la Culture s’ est vue remettre, le 10 juillet 2024, un rapport sur le métavers. L’.objectif assigné à leurs auteurs -Jean Martin, avocat et président de la commission sur le métavers [1), et Nicolas Jau, auditeur au Conseil d’Etat et le rapporteur de la mission -était de mener une analyse de l’impact du phénomène du développement du métavers en matière littéraire et artistique.

Le spectre de la création « métaversique »

Le spectre de la création « métaversique » Le rapport débute par le constat selon lequel le métavers – particulièrement convoité par les géants de la tech au début des années 2020 -est un concept qui se laisse difficilement appréhender. Dans le prolongement de la mission exploratoire gouvernementale de 2022 sur le métavers [2), le rapport le définit, sans prendre trop de risque, comme un service en ligne offrant un espace immersif et persistant où les utilisateurs peuvent interagir en temps réel via des avatars. Il s’agit d’un environnement virtuel permettant de développer une « vie virtuelle», notamment culturelle. Ce concept est souvent perçu comme une extension de l’Internet actuel, intégrant des technologies de réalité virtuelle et augmentée. Le rapport de la commission sur le métavers finit alors par constater que cette définition du métavers n’emportait pas par elle-même de conséquences en matière de propriété littéraire et artistique. « Tout est alors affaire d’espèce», ajoute-t-il [3). Le rapport conclut classiquement que les raisonnements appliqués à l’Internet sont applicables au métavers.

En tout état de cause, la définition à retenir, selon la commission, est nécessairement neutre. Ceci s· explique par la diversité des options retenues par les opérateurs de métavers, qu’il s’agisse des technologies dites immersives à la réalité étendue [casque VR) ou des technologies liées à la blockchain ou au Web3. Le métavers permet la création d’ œuvres diverses, que l’on peut nommer « œuvres métaversiques », destinées à être exploitées dans le métavers. La propriété et la portabilité de ces créations entre différents métavers restent des défis majeurs, le régime de la création étant largement dépendante des choix de l’ opérateur du métavers concerné. Le rapport opère une double distinction entre, d’une part, les créations réalisées par les prestataires de services de métavers et celles réalisées par les utilisateurs, et, d’autre part, les œuvres préexistantes et les œuvres créées spécifiquement pour le métavers. Toutefois, cette distinction n’est pas absolue, car les œuvres préexistantes doivent généralement être adaptées pour le métavers.

En outre, le rapport préconise de soumettre le métavers au régime prétorien des œuvres multimédias, œuvres complexes, à l’instar du jeu vidéo. Ses principaux éléments caractéristiques sont ainsi: la réunion d’éléments de genres différents [images fixes ou animées, textes, sons, etc.]; l’interactivité avec l’utilisateur, c’est-à-dire une navigation non-linéaire à l’intérieur d’un programme dont l’utilisateur opère des choix de parcours; une identité propre de l’ensemble, qui ne se limite pas à la somme de ses éléments constitutifs. A l’inverse, le rapport du CSPLA écarte logiquement la qualification d’œuvre audiovisuelle définie comme« consistant dans des séquences animées d’images, sonorisées ou non» [4). Pour autant, dans la mesure où il n’est pas exclu d’identifier à l’intérieur du métavers des œuvres non-multimédias, une logique distributive semble prévaloir: chacune de ses composantes est soumise au régime qui lui est applicable en fonction de sa nature juridique. Par exemple, les auteurs de la partie audiovisuelle seront soumis au régime spécial des œuvres audiovisuelles, tandis que les auteurs de la musique se verront appliquer un droit d’auteur spécial dédié.

Contenus générés par les utilisateurs

Le rapport, adoptant une interprétation extensive de la notion d’œuvre, considère que les contenus « métaversiques » – c· est-à-dire les contenus générés par des utilisateurs dans un métavers, qu’ils soient directement créés dans le métavers ou importés – peuvent relever du droit d’auteur et ainsi constituer des œuvres. Conformément à la logique distributive de l’ œuvre multimédia, l’utilisateur n’a aucun droit sur le logiciel faisant fonctionner l’environnement du métavers, mais il est titulaire des droits sur l’ œuvre graphique et/ou sonore qu’il a produite. Toutefois, le rapport exclut catégoriquement toute cotitularité associant le prestataire de métavers, sauf hypothèse de l’œuvre composite.

Œuvre de collaboration et statut d’avatar

Poussant le raisonnement à l’extrême, le rapport s’interroge sur la possibilité – pour l’instant théorique – de reconnaître aux utilisateurs les plus actifs le statut d’auteur du métavers pris dans son ensemble. Ceci reviendrait à considérer le métavers comme une « œuvre de collaboration » entre le prestataire de métavers et certains utilisateurs. Par exemple, il est possible d’acheter ou de louer des « lands», – parcelles de terrains sur la plateforme The Sand box [5]. sur lesquels les utilisateurs peuvent créer des jeux ou placer des jetons. Les utilisateurs participent ainsi à la modélisation de l’univers de la plateforme.

Quoi qu’il en soit, la difficulté d’assurer la portabilité et l’interopérabilité des créations entre les différents métavers tend à remettre en cause la qualité d’auteur des utilisateurs sur leur « œuvre métaversique » puisque ceuxci se trouvent fatalement dans une situation de dépendance vis-à-vis des prestataires du métavers. Enfin, le rapport s’interroge sur la qualification d’atteinte au droit moral, notamment au droit au respect de l’intégrité de l’ œuvre : dans les métavers, les utilisateurs peuvent, par exemple, détruire ou altérer des objets virtuels (c’est le cas dans les jeux dits « bac à sable» comme Minecraft). Afin de garantir le respect de ce droit moral, le rapport préconise d’insérer des mentions dans les conditions générales d’utilisation ou, à défaut, de laisser au juge le soin d’apprécier au cas par cas le respect de ce droit.

Concernant cette fois la contrefaçon, le rapport du CSPLA alerte sur le risque d’apparition de « métavers pirates», également appelés « darkverses » [ou « métavers som bres» en français], lesquels sont susceptibles de générer de nouvelles menaces de contrefaçon. Il observe que les droits des« utilisateurs-créateurs» sur les contenus qu’ils génèrent sont souvent négligés par les prestataires de métavers. En particulier, la commission considère que le régime de responsabilité prévu par l’article 17 de la directive « Droit d’auteur et droits voisins dans le marché unique numérique» du 17 avril 2019, directive dite« Copyright» [6]. s’applique aux services en ligne de métavers dès lors qu’il y a un partage de contenus par les utilisateurs. « Les droits voisins ont également vocation à s’appliquer dans le méta vers, qu’il s’agisse des prérogatives morales ou patrimoniales», soulignent les auteurs [7]. Les opérateurs doivent obtenir ou faire état de leurs « meilleurs efforts» pour obtenir une autorisation des titulaires de droits concernant les actes accomplis par les utilisateurs non-commerciaux.

Il leur appartient de respecter les meilleures pratiques en matière d’identification et de blocage des contenus contrefaisants. Ce qui n’est pas forcément chose aisée dans un secteur en rapide et constante évolution. A ce titre, le rapport s’interroge, sans apporter de réponse nette, sur la manière dont la blockchain pourrait être utilisée par les métavers décentralisés – fondée sur une propriété partagée par les utilisateurs – pour respecter l’article 17 dans le cadre de la lutte contre la contrefaçon [8]. Le rapport indique que les exceptions au droit d’auteur et aux droits voisins s’appliquent, comme la copie privée [9], « sous réserve que le métavers permette effectivement de séparer l’espace personnel et l’espace public et de réserver l’accès au premier» comme le fait Second Life [1 Dl. La commission sur le métavers s’est aussi interrogée sur l’application d’une« licence légale» et d’une « rémunération équitable» [ 111. mais sans parvenir à un consensus sur cette question [12).

Quant à l’avatar, représentation de l’utilisateur dans l’environnement virtuel, il est un élément central du métavers. Bien que l’avatar puisse être considéré comme une œuvre protégée par le droit d’auteur, son statut juridique est complexe. Les avatars peuvent être des créations originales, mais leur utilisation et leur protection dépendent des conditions générales d’utilisation des plateformes de métavers. La commission du CSPLA explique que « la relation entre l’avatar et /’utilisateur est complexe» car un avatar peut représenter une personne physique ou morale, ou être un « personnage non joueur» [PNJ) sans lien avec un utilisateur réel. Un utilisateur peut disposer de plusieurs avatars, même au sein d’un même métavers. La commission écarte fort logiquement l’idée que l’avatar puisse être reconnu comme auteur des œuvres, car il n’a pas de personnalité propre. Cependant, l’avatar peut constituer un pseudonyme au sens de l’article L. 113-6 du code de la propriété intellectuelle. Le rapport conclut que, « si les évolutions rapides du secteur doivent être suivies avec attention, la commission [sur le métavers] n’a pas identifié à ce stade d’évolutions nécessaires et urgentes» du cadre juridique existant.

«Réflexions» et «travaux,, se poursuivent

Cependant, le CSPLA a demandé à ce que des « réflexions» soient menées : « sur la prise en compte du droit moral dès la conception des services en ligne de métavers » [13]. d’une part, et« sur les garanties techniques et juridiques permettant, sans conservation généralisée des données, aux personnes victimes, notamment de contrefaçons, d’en faire constater /’existence et d’en apporter la preuve» [141. d’autre part. Contacté par Edition Multimédiia, Jean-Philippe Mochon, président du CSPLA, nous indique que, d’après le ministère de la Culture,« des travaux étaient en cours à Bercy auprès de la Direction générale des entreprises (DGE} ».

1) – https://lc.cx/JeuxVideo
2) – https://lc.cx/JeuxVideo
3) – Rapport CSPLA, p. 14.
4) – Point 6 de l’art. L. 112-2 du code de propriété intellectuelle (CPI).
5) – https://lc.cx/Sandboxland
6) – https://lc.cx/Copyright17-05-19
7) – Rapport, p. 40.
8) – Rapport, p. 53.
9) – Art. L. 122-5 du CPI.
10)- Rapport, p. 38.
11)- Art. L. 214-1 du CPI.
12)- Rapport, p. 42
13)- Rapport, p. 33.
14)- Rapport, p. 56.

Newsletter DPO : mars 2025

Posted on 17 mars 202517 mars 2025 by Valentin Poitou

Téléchargez notre newsletter en cliquant ici.

EN BREF :

SANCTIONS – Bilan 2024 des sanctions et mesures correctrices prononcées par la CNIL et sanction d’une société pour la surveillance excessive de ses salariés.
INTELLIGENCE ARTIFICIELLE – Clarification de la définition des systèmes d’IA par la Commission européenne et nouvelles recommandations de la CNIL pour accompagner une IA responsable.
ANONYMISATION/PSEUDONYMISATION – Un moteur de recherche rappelé à l’ordre par la CNIL et publication de lignes directrices par le Comité européen de la protection des données.
DROIT D’ACCES – L’action coordonnée européenne identifie les lacunes de la mise en œuvre du droit d’accès.
TRANSFERT HORS UNION EUROPEENNE – Publication du guide de la CNIL sur les analyses d’impact des transferts des données.

I. LES SANCTIONS A RETENIR

a. Bilan 2024 des sanctions de la CNIL

En 2024, la Commission Nationale de l’Informatique et des Libertés (« CNIL ») (France) a prononcé 87 sanctions, dont 69 dans le cadre de la procédure simplifiée (ici). Cette hausse significative par rapport à 2023 (42 sanctions) et 2022 (21 sanctions), s’explique par l’utilisation de plus en plus fréquente de la procédure simplifiée (près de trois fois plus qu’en 2023).

Dans le cadre de sa procédure ordinaire, la CNIL a notamment sanctionné les sociétés au sujet de :

La prospection commerciale: notamment pour l’absence de collecte de consentement préalable des personnes avant l’envoi de communications commerciales.
Les traitements de données de santé: notamment concernant l’anonymisation (ex. clarification de la qualification des données traitées dans des entrepôts de données de santé).

Dans le cadre de sa procédure simplifiée, la CNIL a notamment sanctionné (i) le défaut de coopération avec la CNIL, (ii) le non-respect de l’exercice des droits, (iii) le manquement à la minimisation des données, (iv) le manquement relatif à la sécurité des données personnelles, et (v) le manquement à la réglementation relative aux cookies.

b. Surveillance excessive des salariés : amende de 40 000 euros pour une entreprise du secteur immobilier

La CNIL, par une délibération SAN-2024-021 du 19 décembre 2024 (ici), a infligé une amende de 40 000 euros à une société du secteur immobilier pour avoir mis en place une surveillance excessive de ses salariés, au moyen d’un logiciel de suivi du temps de travail et de la performance des salariés et d’un système de vidéosurveillance en continu mis en place dans les espaces de travail et de pause des salariés. La CNIL a relevé plusieurs manquements, notamment :

Manquements	Détails
Surveillance excessive	(i) La captation en continue d’images et de sons des salariés est contraire au principe de minimisation des données (article 5 du RGPD) ; et (ii) La mise en œuvre d’un logiciel de surveillance des postes de travail ne repose sur aucune base légale (article 6 du RGPD).
Absence d’information	L’information orale sur la mise en œuvre du logiciel de surveillance ne remplit pas les conditions d’accessibilité dans le temps et, en l’absence de trace écrite de celle-ci, son caractère complet n’est pas établi (articles 12 et 13 du RGPD).
Défaut de mesures de sécurité	La CNIL rappelle l’exigence renforcée d’individualisation des accès aux comptes administrateur, qui disposent de droits très étendus sur les données personnelles – ici, plusieurs collaborateurs partageaient le même accès aux données issues du logiciel de surveillance (article 32 du RGPD).
Absence d’analyse d’impact (AIPD)	La surveillance systématique des salariés à leur poste de travail nécessitait la formalisation d’une AIPD (article 35 du RGPD).

II. VERS UNE IA RESPONSABLE

a. Pratiques interdites en matière d’intelligence artificielle : les nouvelles lignes directrices de la Commission Européenne

La Commission européenne a adopté, le 6 février 2025, des lignes directrices sur la définition des systèmes d’intelligence artificielle (« IA ») afin d’aider les parties concernées à identifier si un système logiciel relève de l’IA (ici, disponibles uniquement en anglais). Il est à noter que ces lignes directrices ne portent pas sur les modèles d’IA à usage général. La Commission a identifié et précisé les 7 éléments qui composent la définition de « système d’IA », introduite à l’article 3(1) du règlement (UE) 2024/1689 sur l’IA :

Définition du règlement	Précisions de la Commission
Un système automatisé	Les systèmes d’IA doivent être basés sur le calcul et les opérations de machines.
conçu pour fonctionner à différents niveaux d’autonomie	La capacité de déduction des systèmes est clé pour assurer leur autonomie : un système d’IA doit fonctionner avec un certain degré raisonnable d’indépendance d’action (ce qui exclut les systèmes nécessitant une implication et une intervention humaine manuelle totale).
et pouvant faire preuve d’une capacité d’adaptation après son déploiement	La condition de capacité d’auto-apprentissage du système est facultative et non-décisive.
Et qui, pour des objectifs explicites ou implicites	Les objectifs explicites (encodés) ou implicites (déduits de comportement ou d’hypothèses) sont internes et se réfèrent aux buts et résultats des tâches à accomplir. Ils font partie d’une notion plus large de « destination » du système d’IA, qui correspond au contexte dans lequel il a été conçu et à la manière dont il doit être exploité.
Déduit, à partir des entrées qu’il reçoit, la manière de générer des sorties	Cette notion se réfère à la phase de construction du système, et est donc plus large que la seule phase d’utilisation du système. La Commission, par des exemples, distingue les systèmes d’IA de ceux qui n’ont qu’une capacité limitée à analyser des modèles et à ajuster leurs sorties de manière autonome.
Telles que des prédictions, du contenu, des recommandations ou des décisions	Les systèmes d’IA se distinguent par leur capacité à générer des résultats nuancés, en exploitant des modèles complexes ou des règles définies par des experts. La Commission détaille chacun des termes de la définition.
Qui peuvent influencer les environnements physiques ou virtuels	Les systèmes d’IA ne sont pas passifs mais ont un impact actif sur les environnements dans lesquels ils sont déployés.

b. Les nouvelles recommandations de la CNIL pour une IA responsable

Le 7 février 2025, la CNIL a publié ses nouvelles recommandations pour accompagner le développement d’une IA responsable, en conformité avec le RGPD (ici). Celles-ci portent à la fois sur l’information des personnes, et sur l’exercice de leurs droits :

Information : le responsable de traitement doit informer les personnes lorsque leurs données personnelles servent à l’entraînement d’un modèle d’IA. Cette information peut être adaptée en fonction des risques pour les personnes et des contraintes opérationnelles et peut donc parfois se limiter à une information générale (lorsque les personnes ne peuvent être contactées individuellement) et / ou globale (lorsque de nombreuses sources sont utilisées, en indiquant par exemple seulement des catégories de sources).
Droits des personnes : la CNIL invite les acteurs à prendre en compte la protection de la vie privée dès le stade de conception du modèle (ex. stratégie d’anonymisation, non-divulgation de données confidentielles). La mise en œuvre des droits dans le cadre de modèle d’IA peut être difficile et un refus d’exercice des droits peut parfois être justifié. Lorsque ces droits doivent être garantis, la CNIL prendra en compte les solutions raisonnables disponibles et pourra aménager les conditions de délai.

III. L’ANONYMISATION ET LA PSEUDONYMISATION EN DEBAT

a. La CNIL adresse à Qwant un rappel à ses obligations légales

La CNIL a adressé au moteur de recherche Qwant un rappel à ses obligations légales (ici). Dans le cadre de l’affichage de publicité contextuelle, Qwant estimait transmettre à la société Microsoft des données essentiellement techniques et anonymisées (ex. adresse IP tronquée ou hachée). A la suite de deux contrôles et d’échanges avec ses homologues européens, la CNIL a considéré que les données transférées sont pseudonymisées et non anonymisées.

Elle a choisi de prononcer à l’encontre de la société un rappel aux obligations légales plutôt qu’une sanction en raison : (i) du niveau d’intrusivité faible du moteur de recherche, (ii) des nombreuses mesures techniques déployées pour réduire le risque de réidentification, (iii) du caractère non-intentionnel du manquement, entrainé par une erreur d’analyse initiale, (iv) de la modification rapide de sa politique de confidentialité, et (v) de sa bonne foi et coopération tout au long de la procédure.

b. Les nouvelles lignes directrices du CEPD sur la pseudonymisation

Le 16 janvier 2025, le Comité européen de la protection des données (CEPD) a adopté de nouvelles lignes directrices 01/2025 sur la pseudonymisation, soumises à consultation publique jusqu’au 14 mars 2025 (ici, disponibles uniquement en anglais).

La pseudonymisation permet de ne plus attribuer les données personnelles à une personne concernée sans information supplémentaire (article 4(5) du RGPD). Les données pseudonymisées sont des données personnelles car il existe un risque de réidentification des personnes concernées.

Le CEPD indique que la pseudonymisation peut (i) faciliter l’utilisation de la base juridique de l’intérêt légitime, pour autant que toutes les autres exigences du RGPD soit respectées, (ii) garantir la compatibilité avec la finalité initiale dans le cadre d’un traitement ultérieur, et (iii) aider les organisations à respecter les obligations relatives aux principes du RGPD, à la protection dès la conception et par défaut, et à la sécurité.

Le CEPD analyse également un ensemble de mesures techniques robustes pour empêcher toute réidentification non autorisée. Parmi les techniques recommandées figurent le hachage avec clé secrète ou sel, la séparation des informations permettant l’attribution, et le contrôle strict des accès.

Il sera soulevé que ces lignes directrices sont à lire à la lumière de l’affaire C-413/23 pendante devant la Cour de justice de l’Union européenne opposant le contrôleur européen de la protection des données au conseil de résolution unique (CRU). Dans cette affaire, des données pseudonymisées ont été transférées par le CRU à Deloitte pour les besoins d’une mission d’analyse. Dans ses conclusions en date du 6 février 2025, l’avocat général invite la Cour à se prononcer sur le fait de savoir si le destinataire de données pseudonymisées qui ne dispose pas de moyens raisonnables pour réidentifier les personnes concernées, pourrait être considéré comme ne traitant pas de données à caractère personnel dans la mesure où le risque d’identification est « inexistant ou insignifiant ».

IV. LUMIERE SUR LE DROIT D’ACCES

La CNIL et le Contrôleur européen de la protection des données ont participé à une action coordonnée du Comité européen de la protection des données afin d’évaluer la mise en œuvre du droit d’accès aux données personnelles.

Au cours de l’année 2024, la CNIL a contrôlé des organismes publics et privés, choisis sur la base de plaintes reçues, et a prononcé plusieurs rappels aux obligations légales. Elle remarque que les mesures organisationnelles mises en œuvre par ces organismes pour traiter les demandes de droit d’accès sont parfois insuffisantes / insatisfaisantes. Les organismes devraient à la fois (i) fournir des informations sur le traitement, (ii) inclure une copie des données traitées, et (iii) ne devraient pas exclure systématiquement de leurs réponses certains traitements ou catégories de données personnelles.

Le CEPD a quant à lui contrôlé le traitement des demandes de droit d’accès par les institutions, organes et organismes de l’UE et a mis en évidence dans son rapport du 16 janvier 2025 : (i) le faible volume de demandes, (ii) la décentralisation de la gestion des demandes, (iii) le fait qu’il est difficile de distinguer les demandes d’accès des autres types de demandes, (iv) le traitement excessif de données engendré par la vérification de l’identité des demandeurs, (v) la difficile conciliation entre la protection des droits et libertés et le respect du droit d’accès des personnes. Les responsables de traitement et sous-traitants sont invités par le CEPD à se référer aux lignes directrices 01/2022 sur le droit d’accès des personnes concernées.

V. ANALYSE D’IMPACT DES TRANSFERTS DE DONNEES

Le 31 janvier 2025, la CNIL a publié la version finale de son guide sur l’Analyse d’Impact des Transferts de Données (AITD) (ici) afin d’aider les exportateurs de données à évaluer le niveau de protection dans les pays de destination situés hors de l’Espace Economique Européen et la nécessité de mettre en place des garanties supplémentaires. Cette analyse est nécessaire lorsque le transfert repose sur un outil de l’article 46 du RGPD (clauses contractuelles types, règles d’entreprise contraignantes, etc.) : le pays de destination ne bénéficie alors pas d’une décision d’adéquation et le transfert n’est pas effectué sur la base d’une dérogation de l’article 49 du RGPD.

Le guide propose une méthodologie en six étapes :

Identifier les données concernées et les acteurs impliqués ;
Choisir l’outil de transfert approprié ;
Analyser les risques liés aux lois et pratiques du pays tiers ;
Déterminer et appliquer les mesures supplémentaires (ex. chiffrement ou anonymisation) ;
Mettre en œuvre ces mesures supplémentaires ;
Réévaluer à intervalles appropriées la conformité du transfert.

Cette publication fait suite à une consultation publique qui a permis à la CNIL d’adapter son guide aux réalités pratiques des entreprises, et de le modifier afin de prendre en compte les derniers avis du Comité Européen de la Protection des Données.

Détournements et deepfakes, les enjeux de la protection du droit à l’image face à l’IA

Posted on 16 janvier 202416 avril 2024 by Valentin Poitou

L’intelligence artificielle (IA) représente un défi désormais bien connu en matière de droit d’auteur[1] ; mais de nouveaux enjeux se dessinent également en termes de droit à l’image, un des composants du droit au respect de la vie privée. Qu’en est-il, à l’aube de l’adoption de l’IA Act ?

Par Véronique Dahan, avocate associée, et Jérémie Leroy-Ringuet, avocat, Joffe & Associés[2] pour le magazine Edition Multimedia n°313.

Malgré une entrée tardive dans le droit positif français, par la loi du 17 juillet 1970 n° 70-643, dans l’article 9 du code civil[3], le droit au respect de la vie privée est un pilier des droits de la personnalité. Le droit à l’image, qui protège le droit de s’opposer à sa reproduction par des tiers[4] en fait également partie. Parmi les composantes de l’image figurent non seulement l’aspect physique mais aussi, notamment, la voix. Le tribunal de grande instance de Paris avait ainsi considéré, en 1982, lors d’un procès relatif à des enregistrements de Maria Callas, que « la voix est un attribut de la personnalité, une sorte d’image sonore dont la diffusion sans autorisation expresse et spéciale, est fautive ».

Or, de même que les outils de l’IA utilisent des œuvres protégées et s’exposent à des risques de contrefaçon, leur utilisation peut consister à reproduire l’image ou la voix de personnes existantes ou décédées, par exemple en réalisant la fausse interview d’une personne défunte ou en faisant tenir à une personnalité politique un discours à l’encontre des opinions qu’elle défend. Ces usages sont-ils licites ? Quels sont les droits des personnes concernées ?

Angèle, Scarlett Johansson et les autres

Les exemples sont légion. A l’été 2023, un beatmaker nancéen nommé Lnkhey a remixé, au moyen de l’IA, une chanson des rappeurs Heuss l’Enfoiré et Gazo avec la voix de la chanteuse Angèle, dont les œuvres sont bien évidemment très éloignées de celles de ces rappeurs. Le remix a eu un succès tel qu’Angèle l’a elle-même repris en public lors de la Fête de l’Humanité en septembre 2023.

La même année, l’éditeur d’une application (Lisa AI) a utilisé la voix de l’actrice Scarlett Johansson dans un spot publicitaire. La publicité précisait avoir été créée par un procédé d’intelligence artificielle. Scarlett Johansson a annoncé avoir porté plainte. Le même type de mésaventure est arrivé, entre autres, à Tom Hanks et Bruce Willis.

D’autres images ont fait le tour du monde : celles du Pape François en doudoune blanche, d’Emmanuel Macron manifestant dans les rues de Paris ou de Barack Obama et Angela Merkel construisant un château de sable ou tendrement enlacés à la plage, par exemple

Les images de nombreuses stars de cinéma ont même été réutilisées en mars 2023 dans des vidéos à caractère pornographique diffusées sur les réseaux sociaux pour la promotion de Face Mega, un logiciel de deepfake (ou encore « hypertrucage »).

Une autre vidéo diffusée sur la chaine d’informations Ukraine 24 a montré Volodymyr Zelensky tenant un discours en faveur de la reddition du pays.

Ces différents exemples sont intéressants à rapprocher car ils montrent que l’usage de l’image d’une personnalité peut être totalement inoffensif, voire relever de la liberté d’expression ; être approuvés implicitement ou explicitement par la « victime » ; ou porter une atteinte grave à la victime, voire présenter un danger pour la démocratie.

Les photographies de Barack Obama et Angela Merkel sont humoristiques et ne portent aucun tort aux intéressés. Elles pourraient relever de la parodie ou de la satire légitime appliquées à des dirigeants politiques, dès lors que les images sont clairement identifiées comme ayant été créées par IA.

La reprise par Angèle elle-même, en concert, de la chanson créée avec sa voix et sans son autorisation peut faire penser qu’elle aurait avalisé a posteriori cette atteinte à ses droits. Mais les propos qu’elle a tenu par ailleurs dénotent une certaine gêne et une pression pesant sur elle : « Et pourquoi je ne ferais pas ce que les gens me demandent depuis des semaines ? » ; « Je sais pas quoi penser de l’intelligence artificielle. J’trouve c’est une dinguerie mais en même temps j’ai peur pour mon métier »[1]. Il est en tout cas significatif qu’elle ait préféré « surfer » sur le succès du remix plutôt que de faire valoir judiciairement une atteinte à son droit à l’image, comme le droit français lui en donne la possibilité.

C’est une attitude différente qu’a choisie Scarlett Johansson. La violation de son image par la reprise de sa voix dans un cadre commercial, et non artistique, est en effet moins « excusable » dans la mesure où les célébrités monnayent fréquemment l’utilisation de leur image et de leur voix par des marques, et sont en droit de refuser d’être associées à tel ou tel annonceur, même de manière rémunérée. Utiliser la voix de Scarlett Johansson sans autorisation n’est motivé par aucune prétention artistique ou satirique mais par la volonté de profiter de sa notoriété pour en tirer un avantage économique indu. Le droit français offre, bien sûr, des fondements (articles 9 et 1240 du code civil) pour faire sanctionner ce type d’atteinte.

La France dispose également, depuis 1994, d’un texte qui condamne d’un an d’emprisonnement et de 15 000 euros d’amende « le montage réalisé avec les paroles ou l’image d’une personne sans son consentement, s’il n’apparaît pas à l’évidence qu’il s’agit d’un montage ou s’il n’en est pas expressément fait mention »[2]. Pour que ce texte couvre mieux les deepfakes, il a fait l’objet d’un amendement du gouvernement adopté au Sénat et modifié par un autre amendement toujours discuté à l’Assemblée nationale dans le cadre du projet de loi visant à sécuriser et réguler l’espace numérique[3]. Le projet prévoit que sera « assimilé à l’infraction mentionnée au présent alinéa et puni des mêmes peines le fait de publier, par quelque voie que ce soit, un contenu visuel ou sonore généré par un traitement algorithmique et reproduisant l’image ou les paroles d’une personne, sans son consentement, s’il n’apparaît pas à l’évidence qu’il s’agit d’un contenu généré algorithmiquement ou s’il n’en est pas expressément fait mention ». Une circonstance aggravante serait caractérisée lorsque le contenu deepfake est publié sur les réseaux sociaux (ou tout service de communication en ligne) : en ce cas, les peines pourraient être portées à deux ans d’emprisonnement et 45 000 euros d’amende.

A aussi été proposée l’introduction d’un nouvel article 226-8-1 dans le code pénal, permettant la condamnation de la diffusion non consentie d’un hypertrucage à caractère sexuel, avec une peine de deux ans d’emprisonnement et de 60.000 euros d’amende (article 5 ter du projet de loi).

Quid de l’image « resuscitée » de personnes décédées ?

L’émission de télévision « L’Hôtel du Temps » diffusée sur France 3 a « ressuscité » différentes personnalités (Dalida, François Mitterrand ou encore Lady Di) grâce à des procédés d’IA tels que Face Retriever et Voice Cloning. Ces « résurrections » ont suscité de vifs débats : la personne dont on reproduit l’image et la voix aurait-elle réellement tenu ces propos ? Les héritiers disposent-ils de recours et d’un droit de regard sur les réponses de leurs ascendants ? Les archives utilisées aux fins de création de deepfake^[1] sont-elles toutes utilisées légalement ?

Une « démocratisation » de cette pratique semble se dessiner. Lors de sa conférence « re:Mars » du 22 juin 2022[2], Amazon a annoncé une nouvelle fonctionnalité d’IA dont serait dotée son logiciel Alexa, à savoir la capacité de reproduire la parole d’un défunt, à partir d’un très court extrait d’enregistrement de sa voix, ce qui pourrait aider les personnes survivantes à faire leur deuil.

Mais dans le cas d’un usage non sollicité par les survivants, le fondement de l’article 9 du code civil n’est pas disponible car les droits de la personnalité sont intransmissibles aux héritiers. Ces derniers ne pourraient guère que se prévaloir d’un préjudice personnel résultant de l’atteinte à la mémoire d’un défunt. Par exemple, l’utilisation de l’image du défunt ne doit pas porter atteinte à la vie privée de ses héritiers.

Que propose le projet d’AI Act européen pour protéger les droits de la personnalité ?

En avril 2021, la Commission européenne a proposé d’encadrer l’IA juridiquement. Ce n’est que le 9 décembre 2023 que les institutions européennes se sont accordées provisoirement sur un premier texte.

Ce texte prévoit notamment une quasi-interdiction de pratiques présentant un « risque inacceptable », notamment en matière de droit à l’image et de protection des données personnelles : extractions non ciblées d’images faciales sur Internet à des fins de création de bases de données de reconnaissance faciale, systèmes de reconnaissance des émotions sur le lieu de travail ou d’études ou encore systèmes de catégorisation biométrique. Le projet prévoit également que « les utilisateurs d’un système d’IA qui génère ou manipule des images ou des contenus audio ou vidéo présentant une ressemblance avec des personnes, des objets, des lieux ou d’autres entités ou événements existants et pouvant être perçus à tort comme authentiques ou véridiques (« hypertrucage ») précisent que les contenus ont été générés ou manipulés artificiellement » (article 52).

La difficulté est que le processus législatif ne progresse pas aussi rapidement que les outils d’IA et qu’il existe un risque d’obsolescence avant même l’adoption du texte final. D’autre part, la négociation a révélé des tensions non dissipées entre Etats membres. Ainsi, Emmanuel Macron a plaidé lundi 11 décembre 2023, lors du premier bilan du plan d’investissement France 2030, en faveur d’une accélération de l’innovation, en affirmant que l’« on peut décider de réguler beaucoup plus vite et plus fort, mais on régulera ce qu’on n’inventera pas ». La France, dont la position consistant à faire primer l’innovation sur le droit d’auteur et sur la protection des droits humains est inhabituelle, est allée jusqu’à considérer que le projet sur lequel les institutions européennes se sont accordées n’était pas définitif et pourrait encore être amendé dans le sens de moins de régulation[3].

[1] https://www.joffeassocies.com/intelligence-artificielle-quel-droit-dauteur-sur-les-creations-des-ia/

[2] Article rédigé avec l’aide de Bérénice Leg

[3] L’article 9 du code civil énonce que « chacun a droit au respect de sa vie privée. Les juges peuvent sans préjudice de la réparation du dommage subi prescrire toutes mesures telles que séquestres, saisies et autres, propres à empêcher ou à faire cesser une atteinte à la vie privée ; ces mesures peuvent, s’il y a urgence, être ordonnées en référé »

[4] Cass. Civ. 1^re, 27 février 2007, n° 06-10393 « toute personne dispose sur son image, partie intégrante de sa personnalité, d’un droit exclusif qui lui permet de s’opposer à sa reproduction »

[5] https://www.radiofrance.fr/franceinter/a-la-fete-de-l-huma-angele-interprete-saiyan-une-reprise-generee-par-l-intelligence-artificielle-1051846

[6] Article 226-8 du code pénal

[7] https://www.assemblee-nationale.fr/dyn/16/amendements/1674/AN/880

[8] Selon la définition de l’Organisation mondiale de la Propriété intellectuelle (OMPI), « le terme “deepfake” fait référence à une technique de synthèse multimédia reposant sur l’intelligence artificielle. Elle consiste notamment à superposer des traits humains sur le corps d’une autre personne, ou à manipuler les sons, pour générer une expérience humaine réaliste ».

[9] https://remars.amazonevents.com/

[10] Le Monde, 17 et 18 décembre 2023, « Intelligence artificielle : la France n’a pas renoncé à assouplir l’AI Act »