Vendredi 6 décembre 2024, LEX INSIDE reçoit Guillaume Carrère (Co-fondateur, groupe France Digitale Legaltech) , Camille Baudoin (Présidente, Baudouin Advisory) et Farid Bouguettaya (Associé, Kalder)
Category
🗞
NewsTranscription
00:00Bonjour, je suis ravi de vous retrouver pour un nouveau Lex Inside, l'émission qui donne
00:27du sens à l'actualité juridique. Du droit, du droit et encore du droit. Au programme
00:32de ce numéro, on va parler d'un code de bonne conduite sur l'IA générative créé
00:38à l'initiative de France Digital Legal Tech. On en parlera avec Guillaume Carrère dans
00:43quelques instants. Il est cofondateur du groupe France Digital Legal Tech. On parlera ensuite
00:50de réussir sa conformité en LCBFT. C'est le titre de l'ouvrage de Camille Baudouin,
00:58présidente de Baudouin Advisory. Et enfin, on parlera publicité ciblée et utilisation
01:04des données personnelles avec Farid Boukettaïa, associé fondateur du cabinet Calder. Voilà
01:11pour les titres. Lex Inside, c'est parti. On commence tout de suite cette émission
01:25et on va parler d'un code de conduite sur l'IA générative adoptée par le groupe
01:32France Digital Legal Tech. Et pour en parler, j'ai le plaisir de recevoir Guillaume Carrère,
01:38cofondateur du groupe France Digital Legal Tech. Guillaume, bonjour.
01:42Bonjour Arnaud. Alors, le monde juridique est un peu en effervescence avec l'intelligence
01:48artificielle générative. C'est lié à la création de ChatGPT il y a deux ans et la vulgarisation de
01:56l'intelligence artificielle générative. Dans ce contexte, France Digital Legal Tech a souhaité
02:02faire un code de bonne conduite de l'IA générative. Expliquez-nous cette démarche, Guillaume.
02:09Eh bien, je pense que vous le dites. Le premier sujet, c'est qu'on fête un anniversaire. On
02:14souffle les deux ans de l'arrivée de ChatGPT, qui a été une véritable révolution dans le monde du
02:18droit. Et autant au début, il y avait du scepticisme mélangé à de l'enthousiasme. Et autant aujourd'hui,
02:25globalement, c'est de l'enthousiasme qui l'a remporté. Et donc, tout le monde du droit,
02:30les instances représentatives, etc., confirment que les bénéfices de l'IA générative vont être
02:36considérables pour les différentes professions du droit. Le problème, c'est qu'il reste des
02:42questions. Et ces questions, c'est souvent les mêmes. C'est véritablement, est-ce que mes données
02:47sont sécurisées ? Est-ce que les réponses qui sont apportées par l'IA sont fiables ? Mais aussi,
02:54est-ce que ma déontologie est respectée ? Voilà. Et le problème, c'est que toutes les IAs ne valent
02:59pas et que les IAs généralistes, et donc pas les IAs juridiques, ne répondent pas véritablement à
03:05ces questions, voire posent des vraies questions de fiabilité liées à ces principaux doutes.
03:11Pour bien comprendre, peut-être rappeler, Guillaume, les risques liés à l'IA pour les
03:15téléspectateurs qui ne sont pas au fait de ces questions ? Les risques liés à l'IA sont de
03:21l'ordre de deux grandes principales catégories. Le premier, c'est la sécurité véritablement des
03:27réponses qui sont apportées. Est-ce qu'il y a des biais ? Est-ce qu'il y a des hallucinations ? Est-ce
03:31qu'il y a des erreurs ? Donc, on aura l'occasion d'en reparler. Et ça, c'est un sujet véritablement
03:34important. Et donc, notamment quand on entraîne ces modèles sur des données qui ne sont pas que
03:39des données juridiques ou alors quand on envoie ces données à l'étranger, quand on utilise
03:43ChatGPT et que ça part directement aux États-Unis, ça, c'est véritablement un risque. Voilà. Donc,
03:47ça, c'est un des gros problèmes. Et le deuxième, c'est vraiment la confidentialité de ces données,
03:52notamment pour une profession qui a des engagements quasiment sans pareil vis-à-vis de ses clients.
03:56Et donc, nous, chez Doctrine, on a ces sujets de sécurité et de confidentialité au centre,
04:02ces sujets de sécurité juridique aussi, de comment on apporte plus de fiabilité. Et donc,
04:07on a voulu l'étendre, ce concept, au-delà de Doctrine, à travers le groupe France Digital
04:14Legal Tech pour s'assurer que ça irrigue un petit peu la filière et que ça fasse émerger un
04:20alignement sur comment on fait des IA plus responsables. Et c'est ça, l'objectif de ce
04:26code de bonne conduite. Alors, d'accord. On voit bientôt, on voit l'objectif. Quels sont les
04:33signataires et quels sont les grands enjeux avec ce code ? Alors, ce qui est intéressant avec les
04:38signataires, c'est qu'ils sont assez variés. Et donc, à la fois, il y a des Legal Tech qui
04:42adressent tout type de clients du monde du droit, bien sûr, les experts comptables, les juristes,
04:47les avocats, les notaires, mais aussi les justiciables. Et à la fois, il y a des
04:51entreprises de toute taille et qui ont des propositions de valeurs assez variées. Donc,
04:56on va retrouver les grands noms que vous connaissez, les Legal Stark, les Deep Block,
05:01les Tomorrow, les Gino ou bien évidemment les Doctrine. Voilà. Et donc, c'est ça qui est
05:07intéressant, c'est qu'on fédère véritablement l'ensemble de la filière sur ces enjeux-là.
05:11Donc, tout l'écosystème est fédéré autour de grands principes. Quels sont les principes
05:16édictés dans ce code ? Alors, les principes, ils sont au nombre de six. Le premier, c'est la
05:21sécurité et la confidentialité. Là encore, tout naît de ce sujet-là. On veut assurer nos clients
05:28qu'on assure véritablement la confidentialité et la sécurité de leurs données. C'est primordial
05:34pour nos clients. C'est vraiment un des feedbacks principaux quand on les interroge sur leurs doutes
05:39vis-à-vis de lien. Le deuxième, il est lié à la transparence. Et la transparence, il y a deux
05:44éléments à l'intérieur. Le premier, c'est la transparence des technologies qu'on utilise.
05:47Et donc, ça, les clients veulent savoir et on a besoin de leur dire quelle technologie on utilise,
05:53mais aussi qu'on utilise de la technologie. Et donc, parfois, on peut avoir des réponses sans
05:58savoir qu'elles viennent de l'IA. Et donc, l'engagement de la LegalTech sur ce sujet-là,
06:01en tout cas de ce groupe qui a signé ce code de bonne conduite, c'est de dire non seulement
06:05quelle technologie on utilise, mais aussi qu'on en utilise quand on apporte des réponses.
06:08D'accord. Par exemple, j'utilise ChatGPT, Perplexity, Cloud, etc.
06:12Exactement. Alors, c'est principalement, très souvent, des large langues modèles,
06:16et donc plutôt ChatGPT, Mistral et autres, OpenAI, puisque c'est beaucoup sur ces technologies
06:22open source qui dominent quand même encore ce sujet-là que les entreprises comme les nôtres
06:27entraînent des modèles, les verticalisent et les sécurisent sur le monde du droit. Donc,
06:32ça, c'est le premier sujet. Le deuxième, c'est la transparence. La troisième, c'est la limitation
06:35des biais. Donc, selon la façon dont vous entraînez vos modèles, selon les données
06:39que vous mettez en entrée, il peut exister des biais avec l'IA générative. Et donc,
06:42cet engagement des 14 signataires de ce code de bonne conduite, c'est de les limiter. Ensuite,
06:48vous avez un sujet qui est central, c'est celui de la formation et de la sensibilisation.
06:52Bien sûr. Donc, ça, c'est le quatrième aspect. Et donc, bien évidemment, il faut former, entraîner
06:58les juristes pour qu'ils comprennent et qu'ils maîtrisent progressivement ces technologies,
07:01qu'ils n'en attendent pas trop aussi parfois, et qu'ils sachent s'en servir véritablement
07:06comme d'un support. Ensuite, il y a un notion de responsabilité et de contrôle humain.
07:12Qu'est-ce que ça veut dire ? Responsabilité et contrôle humain,
07:15ça veut dire que l'IA ne va pas remplacer le juriste, mais ça veut aussi dire néanmoins
07:21qu'il faut lui donner les moyens de contrôler le travail de l'IA et notamment, par exemple,
07:25dans le fait de lui présenter des sources. Et ça, là aussi, c'est quelque chose qui est
07:29vraiment très demandé par nos clients. Et enfin, le dernier sujet, c'est la propriété
07:33des données générées. Et donc, il faut absolument garantir à nos clients,
07:37quand ils nous confient des données qui sont les leurs, qui sont le fruit de leur travail
07:41souvent ou celle de leurs clients, eh bien, bien évidemment qu'elles seront sécurisées,
07:45mais aussi qu'on ne les réutilisera pas pour entraîner nos modèles. Et ça, c'est un élément
07:50important aussi. Et là encore, ça peut être un petit angoisse pour nos clients et c'est
07:55qu'on ne les partagera pas avec le reste de l'écosystème. Et donc, ça, c'est des engagements
07:59extrêmement fermes qu'on prend à travers ce Code de bonne conduite.
08:03Comment vous articulez ce Code de bonne conduite avec le cadre juridique européen ? Je pense,
08:09par exemple, aux règlements sur l'intelligence artificielle.
08:13En vérité, ce Code de bonne conduite vient un petit peu en amont de l'IACT. Il en suit
08:20les grands principes, mais l'IACT prend encore un petit peu de temps à être véritablement
08:25ancré. Et puis, la régulation, pour le coup, les régulateurs nationales, là aussi,
08:30ça prend du temps. Donc, nous, notre sujet, c'est de préempter tous ces sujets-là, de
08:33s'aligner aussi avec les travaux qui sont faits par les organes représentatifs de la
08:38profession, notamment celle d'avocats. Alors, un autre point important, c'est le
08:43respect de ces engagements. Comment vous allez vous assurer du respect de ces engagements
08:48par l'ensemble de l'écosystème ? Alors, c'est un Code de bonne conduite.
08:53Effectivement, ce n'est pas une loi. Donc, il ne va pas y avoir de marteau qui tombe.
08:56Bien sûr. Véritablement, il y a une régulation
08:59d'abord entre pairs. Et en fait, France Digital Legal Tech, il y a plus d'une trentaine de
09:03Legal Tech qui sont membres, et on se réunit quand même trimestriellement, de façon relativement
09:09formelle, et on voit les modes de fonctionnement des uns des autres, nos pratiques technologiques,
09:13etc. Et donc, ça, c'est un premier moyen de contrôle entre pairs. Et le deuxième,
09:18celui qui, je dirais, est peut-être un peu plus impitoyable, c'est celui du marché.
09:23Et en fait, cette régulation du marché, elle est très forte. Et on le voit dans le monde du droit,
09:27le bouche à oreille est quand même quelque chose qui va extrêmement vite. C'est un petit marché.
09:31Et donc, on sait très vite quelles sont les bonnes solutions, quelles sont les moins bonnes.
09:33Et sur les sujets de respect de sécurité, de confidentialité, eh bien, c'est la même chose.
09:38Et donc, finalement, une société qui signe ce type d'accord, mais qui ne le respecte pas,
09:43va être assez vite sanctionnée par le marché avec ce fameux bouche à oreille.
09:48Pour finir, est-ce que ce Code va évoluer ? Alors, je ne vous apprends pas en tant que
09:54juriste que le monde du droit, le droit lui-même est une matière vivante. La technologie,
09:59elle aussi, est une matière extrêmement vivante. Ce qu'il faut retenir, c'est que ça fait à peine
10:02deux ans que ChatGPT est arrivé, mais on n'est qu'au début de l'impact de l'IA générative.
10:07Notamment, tout le monde parle de chatbot aujourd'hui. Le chatbot, c'est 10% de la valeur
10:12que va apporter l'intelligence artificielle dans le monde du droit. Et donc, il va y avoir beaucoup
10:16de révolutions qui sont en cours et sur lesquelles on travaille, notamment l'analyse de documents,
10:22notamment la rédaction, l'extraction d'informations des documents. Tout ça,
10:25c'est des choses qu'on met en place. Et donc, les questions qu'on se pose avec les chatbots,
10:32eh bien, elles sont en train de se poser sur toutes les nouvelles technologies qu'on déploie. Et donc,
10:35oui, la réponse, Arnaud, c'est que tout cela va continuer à évoluer. Ce Code va évoluer
10:41avec le droit, avec la régulération, mais aussi avec les nouvelles technologies.
10:44On va conclure là-dessus. Merci, Guillaume Carrère, d'être venu sur notre plateau. Je
10:49rappelle que vous êtes cofondateur du groupe France Digital Legal Tech et également CEO de
10:54Doctrine. Merci, Arnaud. Tout de suite, on continue. On va parler réussir sa conformité LCBFT.
11:11On poursuit ce Lex Inside. On va parler réussir sa conformité en LCBFT. C'est le titre
11:19de l'ouvrage de Camille Baudouin, présidente du cabinet Baudouin Advisory, qui est mon invité.
11:26Camille, bonjour. Bonjour, Arnaud. Alors, on va parler ensemble de LCBFT,
11:31lutte contre le financement du terrorisme et blanchiment de capitaux. Avant de parler de
11:39ces sujets, tout d'abord, pourquoi un ouvrage sur cette question? Eh bien, c'est un de mes
11:45domaines d'expertise. Donc, j'accompagne des acteurs du secteur financier, banques,
11:50sociétés de gestion, assurances, fintech sur ce sujet-là pour les aider à se mettre en conformité
11:57ou à le rester. Et puis, c'est également un domaine que j'enseigne à l'ESELSCA Business
12:02School à Paris. Alors, pour comprendre bien ces sujets, ce qui est intéressant, c'est se tourner
12:08vers les définitions. Donc, qu'est-ce que la lutte contre le blanchiment de capitaux et qu'est-ce que
12:14le financement du terrorisme? Alors, le blanchiment de capitaux, ça va être remettre dans le circuit
12:21bancaire et financier tout revenu provenant d'activités illicites. Donc, évidemment,
12:26on pense naturellement à tout ce qui a trait au trafic de drogue, mais ça peut être aussi
12:30la corruption. Ça peut être la fraude fiscale, sociale, douanière et tout ce qui est finalement
12:38passible d'une peine d'emprisonnement d'un an. Et concernant le financement du terrorisme,
12:44ça va être la mise à disposition de moyens humains, financiers, matériels auprès de quelqu'un ou
12:52d'une organisation à des fins de commettre un acte terroriste. Voilà. Alors, l'ouvrage s'adresse
12:57principalement aux acteurs du domaine financier, mais qui sont les acteurs concernés par ces sujets?
13:03Et donc, alors, d'une manière générale, on a, on va dire, deux classes de population. Les
13:08professionnels du secteur financier, on l'a déjà un petit peu dit, les banques, les sociétés de
13:12gestion, mais également les changeurs manuels, tout ce qui va être investissement participatif,
13:17etc. Mais on va avoir aussi toute une autre catégorie, les professionnels du secteur non
13:22financier. Donc, par exemple, les avocats, les experts comptables, les agents immobiliers,
13:26les casinos, etc. Voilà. Donc, il y a une grande famille de professionnels qui sont assujettis à
13:34ces mêmes règles. Donc, on a vu les acteurs. Maintenant, passons aux obligations qui pèsent
13:39sur ces acteurs. Pouvez-vous revenir sur les principales? On ne va pas tout lister ce qu'il y a
13:43dans votre ouvrage, mais sur les principales obligations. Alors, on a tout d'abord la
13:48connaissance de la clientèle, ce qu'on va appeler, pardon, dans le domaine bancaire, le fameux KYC,
13:53le Know Your Customer, qui vise à, évidemment, identifier vraiment que la personne, le prospect
13:59qui va devenir client, et bien qui il prétend être, le connaître en termes d'activité, puisqu'elle
14:03peut être plus ou moins risquée, etc. Ça va être d'identifier quels sont les bénéficiaires
14:08effectifs dans le cadre de personnes morales. Ça va être aussi identifier si le client est une
14:13personne politiquement exposée, donc un chef d'État, un ministre, etc. Puisqu'il peut y avoir
14:20plus de... Ça va être plus risqué comme catégorie en termes de corruption, par exemple. Mais
14:25également, on doit identifier toujours dans le cadre de ce KYC, si le client fait l'objet d'une
14:31sanction, parce qu'on peut avoir l'interdiction de l'avoir comme client ou de réaliser des
14:37opérations. Et puis, potentiellement, de geler ses avoirs. Également, la presse négative pour
14:42savoir si, dans la une des journaux, un client, par exemple, fait l'objet d'une condamnation,
14:47etc. Deuxièmement, je l'ai déjà un petit peu dit, il y a la mise en œuvre de ces fameuses
14:51mesures de gel des avoirs, puisqu'on doit tout bloquer. Également, très important,
14:56la surveillance des opérations, parce que, potentiellement, il faut vérifier s'il y a
15:03des risques de blanchiment ou de financement du terrorisme. Également, la déclaration de
15:07soupçons à traque fin, dans le cadre d'un soupçon avéré, un soupçon qui fait l'objet d'une vraie
15:13analyse et investigation. Également, la classification des risques, puisque c'est la
15:18pierre angulaire de toutes ces normes et de tout le dispositif LCBFT, puisqu'en fait,
15:25c'est une approche qui repose par les risques. Donc, on doit identifier les risques au niveau
15:29des clients, des opérations. Pour ensuite, juste en donner une autre, le contrôle interne aussi va
15:36être extrêmement fondamental. Vérifier qu'on applique bien les règles, etc. Former ses
15:41collaborateurs et enfin, la conservation des documents. D'accord, on voit qu'il y a de
15:46nombreuses obligations qui pèsent sur ces acteurs. Autre point intéressant dans votre ouvrage, les
15:52points de vigilance en matière de LCBFT, si vous pouvez revenir sur les points d'intérêt,
15:59d'attention en la matière. Oui, alors, la difficulté pour les acteurs, notamment du
16:05service financier, de mettre en oeuvre un dispositif LCBFT qui soit efficace, repose sur
16:12le fait de, d'abord, de bien appréhender les exigences, la réglementation, mais aussi de
16:18pouvoir véritablement la mettre en application, la décliner opérationnellement dans l'organisation,
16:24à travers les processus, les procédures, etc. Également, utiliser les bons outils et savoir
16:30bien les paramétrer, puisque l'utilisation d'outils peuvent être absolument nécessaires
16:35selon le volume et les types d'activités. Et donc, ça peut être source de difficultés.
16:40Également, parce que la collecte des données est centrale, donc dès l'étape du KYC,
16:47c'est-à-dire que les collaborateurs qui sont en contact des clients, s'ils ne sont pas suffisamment
16:52formés ou s'ils ne se sont pas suffisamment bien appropriés les exigences et les normes,
16:56et ce qu'il faut respecter, vont peut-être pas suffisamment bien récolter ces informations,
17:02mais tous les processus en aval dépendent de ces informations-là. Et donc, ça,
17:07ça reste encore une grande difficulté. Alors, autre point intéressant dans votre
17:12ouvrage, il y a un chapitre dédié aux cryptoactifs. Pourquoi ce chapitre ?
17:16Alors, parce que tout d'abord, les prestataires de services sur actifs numériques, donc les PSAN,
17:22sont assujettis aux exigences de LCBFT. Et donc, il y avait un chapitre dédié à ces acteurs-là,
17:31donc je vous rappelle, ces acteurs, avec le règlement MICA, à partir du 31-12 de cette année,
17:36on va passer sous le régime européen MICA, et donc ça va devenir des PSCA, donc des prestataires
17:42de services sur cryptoactifs. Bon, je ne vais pas détailler plus que ça, mais ce domaine-là est un
17:47petit peu différent, on va dire, de la banque, par exemple, puisque ça traite de cryptoactifs,
17:51donc il y a des spécificités en termes de risque, en termes d'organisation et même d'outils,
17:56puisque on doit utiliser, par exemple, des outils d'analyse transactionnelle pour pouvoir
18:00analyser tous ces flux de cryptoactifs. Alors, une question qui est intéressante aussi,
18:04c'est de voir la manière dont les professionnels du secteur financier appréhendent cette question.
18:10Quels sont les défis pour ces professionnels en matière de conformité LCBFT ? Et bien,
18:16comme je le disais, ça va être vraiment l'appropriation de ces techniques-là,
18:20de pouvoir mettre en pratique une mise en conformité à 360 degrés, mais il y a effectivement
18:26aussi des nouveaux risques émergents. Donc, par exemple, avec toutes les entrées en relation à
18:33distance et un petit peu la dématérialisation de la relation avec la clientèle, donc il y a
18:41aussi un grand sujet aujourd'hui sur la fraude documentaire qui donne lieu à de l'usurpation
18:46d'identité et qui, du coup, peut être propice à des faits de blanchiment de capitaux ou de
18:50financement du terrorisme. On a également le paiement instantané, donc là, qui est déjà
18:56bien en place, mais qui va devenir d'autant plus obligatoire. Et donc là, ça veut dire réaliser
19:01tous les contrôles LCBFT en moins de 10 secondes, puisque les paiements instantanés doivent se
19:07réaliser en moins de 10 secondes. Également, on a toujours le sujet de l'investissement participatif
19:12et les cagnottes en ligne qui peuvent être sujets au financement du terrorisme. Alors attention,
19:16je ne suis pas en train de dire qu'il ne faut pas y avoir recours, c'est juste qu'en fonction du
19:20risque, il faut bien mettre en place son dispositif de manière efficace.
19:26On va conclure là-dessus. Merci Camille Baudouin. Je rappelle que vous êtes présidente de Baudouin
19:31Advisory. Merci beaucoup. Tout de suite, on continue, on va parler publicité ciblée et
19:37utilisation des données personnelles. On poursuit cette émission, on va parler
19:52publicité ciblée et utilisation des données personnelles avec mon invité Farid Boukettaïa,
19:58associé fondateur du cabinet Calder. Farid Boukettaïa, bonjour. Bonjour. Alors on va
20:04revenir ensemble sur une décision méta contre Schrempf qui a pour objectif, en tout cas qui
20:12rappelle le principe de minimisation des données. On va voir ensemble de quoi s'agit, de quoi retourne
20:18ce principe. Mais avant toute chose, pouvez-vous revenir sur les principes généraux de cet arrêt ?
20:24Bien sûr. Alors c'est un arrêt qui oppose Maximilien Schrempf, qui est bien connu aujourd'hui,
20:29qui intervient très fréquemment sur des questions de données à caractère personnel. Ameta qui exploite
20:39notamment le site Facebook. Et cette fois-ci, Maximilien Schrempf a agi car il considérait
20:47que Meta collectait massivement des données à caractère personnel, dont des données sensibles,
20:54et qu'elles servaient pour de la publicité ciblée. Et donc il a souhaité agir en contestant les
21:03traitements qui étaient mis en oeuvre par Facebook, en considérant que son consentement n'avait pas
21:08été donné, mais qu'en plus Facebook utilisait un certain nombre de données qui étaient issues
21:13de cookies, de social plugins, d'un certain nombre d'éléments collectés lors de la navigation des
21:21utilisateurs, ce qui posait de véritables problèmes pour les droits et libertés des personnes, et donc
21:27en matière de données à caractère personnel. Alors dans cet arrêt du 4 octobre dernier,
21:32la CGE rappelle le principe de minimisation des données en matière de publicité ciblée. De
21:39quoi s'agit-il ? C'est un principe en effet qui est important et que l'on retrouve dans le RGPD.
21:45C'est un principe selon lequel lorsqu'un organisme collecte et traite des données, il doit s'en
21:52tenir strictement à ce qui est nécessaire, pertinent et adéquat au regard des finalités
21:59du traitement. Pour faire simple, je vais vous donner un exemple. Lorsqu'un directeur des
22:04ressources humaines collecte et traite des données pour la gestion de la paie en interne,
22:09ce qui est nécessaire c'est le nom, le prénom, la fonction de la personne, éventuellement le poste,
22:16l'expérience, la formation et bien sûr tout ce qui concerne les informations administratives
22:23obligatoires. En revanche, si les données relatives au loisir, au nom des enfants, au
22:30lieu de vacances étaient collectées, on serait au-delà du principe de minimisation et donc il
22:35faut strictement s'en tenir à ce qui est nécessaire. Et là c'est justement ce que reproche la Cour,
22:40c'est que Meta a pris l'ensemble des données et n'a pas choisi de prendre justement les données
22:46nécessaires pour la publicité ciblée, c'est ça ? Alors la vraie question effectivement c'est que
22:52Meta, les réseaux sociaux même en général, la question derrière est aussi celle des réseaux
22:57sociaux, collectent un nombre de données qui est considérable, qui est massif et en plus dans
23:04le cas de cette affaire Shrems, les données collectées étaient à la fois des données on
23:10va dire classiques et des données sensibles, donc des données qui méritent une protection renforcée,
23:15qui peuvent révéler des opinions politiques, une orientation sexuelle, c'était le cas en
23:21l'occurrence et ce qui est reproché c'est de ne pas faire de distinction, de les traiter largement,
23:25de les conserver et de les traiter sur une longue durée et donc ensuite de pouvoir mettre les
23:32personnes dans une situation peut-être de sentiment de surveillance renforcée et beaucoup trop
23:38impactante pour leurs droits au respect de la vie privée. Alors l'autre point que vous avez
23:43soulevé c'est l'utilisation des données sensibles, en l'espèce c'était l'orientation sexuelle du
23:48requérant qui avait été utilisé par Meta, quels sont les enseignements de cet arrêt par rapport
23:54aux données sensibles ? L'enseignement de cet arrêt sur les données sensibles c'est, alors on le
24:00sait, ces données bénéficient d'une protection renforcée mais ici Meta a argué du fait que le
24:07requérant avait déjà révélé publiquement son orientation sexuelle, d'ailleurs c'est pas le
24:12seul sujet lorsqu'on va vraiment dans la décision puisque il y avait aussi de la consultation
24:17d'informations politiques sur une femme politique autrichienne par exemple et des informations
24:23auxquelles le requérant était confronté sur Facebook concernant ses goûts potentiellement
24:30politiques, avérés ou non, en tout cas il a été confronté à ces informations là. Et Meta considérait
24:36que comme c'était public il pouvait utiliser ces données c'est ça ? Alors Meta a considéré deux
24:41choses, à la fois que la collecte et le traitement des données à caractère personnel élargi et même
24:47sensible pouvaient entrer dans l'exécution du contrat qu'il a lié aux personnes et par ailleurs
24:54que lorsqu'une donnée avait été déjà rendue publique, ce qui peut être une exception dans
25:00le RGPD, elle s'est permise d'aller au-delà des données rendues manifestement publiques et d'aller
25:07rechercher, utiliser, traiter des données qui étaient liées à cette information rendue publique.
25:13Et que dit la CGE sur ce point explicitement pour bien comprendre l'enseignement de l'arrêt sur
25:19cette question ? Alors la CGE mène un raisonnement qui conduit à considérer que sur la question de
25:26la collecte massive de données sur le parcours utilisateur d'une personne, il faut appliquer le
25:33principe de minimisation que prévoit l'article 5 du RGPD, qu'il n'est pas possible de collecter
25:38trop largement des données et qu'en particulier sur les données sensibles, ce n'est pas parce
25:44qu'une personne a rendu publique une information qu'un opérateur peut aller collecter et traiter
25:50des données qui vont au-delà et les utiliser à des fins de publicité. Donc on conclure qu'en
25:54matière de publicité ciblée, les données sensibles qui sont déjà fortement protégées
25:58vont être une véritable problématique en matière de données à caractère personnel et en faveur de
26:05la protection des personnes. Alors allons au-delà de cette affaire, quels sont les enjeux de la
26:10minimisation des données ? Alors au-delà de cette affaire, mais peut-être que la première réaction
26:16sera en lien avec cette affaire, on a aujourd'hui un débat sur le consent or paye qui permet soit
26:22de consentir à ce que des données soient collectées à des fins de publicité, soit de payer pour ne pas
26:29avoir affaire à cette publicité. Cet arrêt, à mon sens, va avoir un impact sur ce modèle qui
26:35commence à être mis en place depuis une année on va dire par certains sites de réseaux sociaux et
26:41va conduire à réfléchir à certaines alternatives telles que par exemple la publicité contextuelle
26:46même si elle aussi connaît quelques détracteurs. Pour vous ce sera une tendance de fond ? Ça risque
26:51d'être une tendance de fond et surtout ce principe de minimisation pour aller au-delà est vraiment un
26:57principe qui est très important et auquel les autorités de protection des données s'intéressent
27:03largement et qui peut avoir aussi d'autres intérêts notamment en matière de sécurité
27:10informatique. D'accord et sur la sécurité informatique vous voulez dire quoi par là ? Alors
27:17tout ce qui est minimisation des données vous l'avez compris conduit à collecter moins de données
27:21parce qu'on se limite à ce qui est nécessaire, pertinent et adéquat. Donc à une époque où le
27:27nombre d'attaques informatiques augmente, les violations de données sont fréquentes, les
27:32divulgations de données qui peuvent conduire à de l'escroquerie, des tentatives de chantage,
27:38la minimisation des données ne va pas éviter ces attaques et ces violations mais va très certainement
27:44réduire l'impact lorsque ces attaques vont arriver. C'est tant mieux pour les entreprises si on
27:50applique ce principe, il y aura moins de je dirais de retentissement sur les actes de piratage. En tout
27:57cas on pourra davantage contrôler, monitorer l'impact et vous avez raison ce sera
28:02mieux pour les entreprises et évidemment pour les personnes. Pour finir est-ce que l'ensemble des
28:07plateformes est concerné par cette décision, j'entends par plateforme tous les types de réseaux
28:12sociaux qui ressemblent à Meta ? C'est une bonne question, effectivement tous les types de réseaux
28:16sociaux qui ressemblent à Meta ou autres sont concernés, en réalité tous les organismes qui
28:21ont pour objet de collecter massivement des données en utilisant des cookies ou autres et
28:27pour en faire de la publicité ciblée ensuite sont concernés et sur le principe de minimisation on a
28:33quand même quelques actualités et vous le savez l'intelligence artificielle c'est le sujet du
28:38moment, l'intelligence artificielle et en particulier les outils d'IA générative ont pour objet de se
28:45reposer sur des bases de données très larges dans lesquelles il y a des données massives et
28:51la CNIL a déjà eu à se prononcer sur le sujet, le CEPD qui est le comité européen à la protection
28:57des données a mis en place une task force sur chat GPT qui a déjà rendu des conclusions
29:03intermédiaires et qui rappelle que les données doivent faire l'objet d'une minimisation, les
29:09données à caractère personnel enfin pour protéger les personnes concernées. On va conclure là dessus
29:15merci d'être venu sur notre plateau. Je vous remercie. Merci à toutes et à tous pour votre
29:20fidélité, restez curieux informés, à très bientôt sur BeSmart for Change.