ITEANU Blog - TechnologieDroit, technologies, etc.2023-11-20T08:18:24+00:00urn:md5:ec1221ef55f14df16cf54acb67b74524DotclearIntelligence artificielle (IA), a-t-on vraiment besoin de réglementer ?urn:md5:a2ccbd2652bf26992a7920ed91ca70b12023-11-19T19:10:00+00:002023-11-20T08:18:24+00:00Olivier IteanuTechnologiedroitiaintelligence articficielle<p>Depuis quelques mois, une frénésie s’est emparée de l’Europe, si ce n’est une peur panique.<br />
<br />
L’avènement de Chat GPT, ses erreurs et ses approximations, mais son apparence de véracité ont suscité des interrogations sur les risques encourus dans l'usage de l'IA.<br />
<br />
L’idée s’est alors imposée d’une réglementation à mettre en place pour régir l’intelligence artificielle et ses risques.<br />
<br />
Mais est-il vraiment nécessaire de réglementer l'IA ?<br /></p> <p>Le Parlement européen a été le premier à produire un texte.<br />
<br />
Il s’agit d’un projet de règlement communautaire appelé IA Act, voté le 14 Juin 2023. A l’heure où ces lignes sont écrites, on attend désormais le texte final pour la fin d’année 2023.<br />
<br />
La Commission Européenne travaille en réalité sur ce sujet depuis plus de deux ans. La proposition initiale de l’IA Act date en effet du 21 Avril 2021.
Plus encore, c’est depuis 2018 que la Commission européenne réunit régulièrement des experts de l’intelligence artificielle de toute l’Union, pour recueillir leurs pensées, leurs commentaires, leur expérience, sur cette technologie pas si nouvelle que ça.<br />
<br />
Le Comité Européen de la Protection des Données (CEPD), organisme également basé à Bruxelles qui regroupe les CNIL européennes et la CNIL française elle-même, le Conseil National du Numérique et d’autres, publient en pagaille depuis plusieurs semaines, des avis, des fiches sur l’intelligence artificielle, son impact, ses limites, ses dangers.<br />
<br />
Tout ça est très bien, mais une question préalable pourrait être posée : y a-t-il vraiment nécessité à réglementer l’IA ?<br />
<br />
S’agissant de sujets spécialisés, tels que la propriété intellectuelle ou le droit des données à caractère personnel, nous sommes déjà largement pourvus de textes de Lois qui répondront à l’éventuel nouveau besoin. <br />
<br />
Le Code de la Propriété Intellectuelle et le RGPD donneront des réponses à d’éventuels nouveaux besoins, au prix peut-être d’une adaptation ici ou là, mais le cadre est déjà et bien rempli. En tous cas, on peut être sur qu’il n’y aura pas de vide juridique.<br />
<br />
Alors si les sujets spécialisés ont leurs réponses, a-t-on besoin d’un texte général sur l’IA ?<br />
<br />
Après tout, les concepts juridiques de base existant sur la loyauté de l’information, la qualité des services notamment, devraient s’appliquer sans difficulté à l’IA. Pourquoi recréer la roue ?<br />
<br />
Tout ce ci est bien vrai, mais la réponse à cette question se trouve aux Conditions Générales d’Utilisation du service ChatGPT édité par OpenAI.<br />
<br />
Voilà ce qu’on peut y lire, sur la question de la responsabilité de l’éditeur OpenAI dans sa fourniture de ce service :<br />
<br /></p>
<ul>
<li>"<em>Le Site et les services proposés sont fournis « en l’état » sans garantie d’aucune sorte, expresse ou implicite. Nous ne garantissons pas que le Site ou les services proposés répondront à vos attentes, seront ininterrompus, exempts d’erreurs ou que les résultats qui peuvent être obtenus grâce à l’utilisation du Site ou des services proposés seront précis ou fiables. Nous ne pouvons être tenus responsables des dommages directs, indirects, accessoires ou consécutifs, y compris, sans limitation, les pertes de bénéfices, de données ou d’autres pertes immatérielles, découlant de l’utilisation du Site ou des services proposés.</em>"*<br /></li>
</ul>
<p><br />
<strong>Ici se trouve la nécessité d’une réglementation venant fixer les rôles et responsabilités des divers acteurs et en particulier de l’éditeur d’un service d’intelligence artificielle, et de celui ou celle qui en réutilisera les résultats.</strong><br />
<br />
A défaut, les Conditions Générales de Services ou d’Utilisation qui sont le contrat qui lie l’utilisateur à l’éditeur, écrit par un seul, l’éditeur, se trouveront à l’égal de ce que nous venons de lire, c’est-à-dire un système annoncé sans responsable.<br />
<br />
Il est évident que cette position ne tiendra pas devant un Tribunal, mais combien d’années, d’argent et de temps, faudra t’il aux courageux utilisateurs particuliers, pour le faire reconnaître ?<br />
<br />
Or, pour l’intérêt général, dès lors où une offre au public est faite, celui qui en prend la responsabilité, doit l’assumer sur le plan juridique.<br />
<br />
Il faut donc non seulement une réglementation, mais surtout une réglementation d’ordre public, affirmée comme telle car c’est la seule qui peut surpasser un contrat, c’est-à-dire les Conditions Générales de Services ou d’Utilisateurs de l’éditeur du service d’intelligence artificielle.<br />
<br />
En effet, selon un principe quasi universel, et codifié à l’article 6 du Code civil « <em>On ne peut déroger, par des conventions particulières, aux lois qui intéressent l'ordre public ...</em> »<br />
<br />
Il faut donc encourager cette démarche de l’Union Européenne, en espérant qu’elle saura accoucher de textes simples et compréhensibles de tous. C’est là aussi une condition de la sécurité et de l'efficacité juridique.</p>Le smartphone plus fort que le permis de conduireurn:md5:b2243e4cd1f3b4cbdf9e52605b02a04c2020-07-08T21:43:00+01:002020-07-09T19:36:01+01:00Olivier IteanuTechnologiedématérialisation<p>Il y a quelque jours, je m’apprêtais à faire un virement via l’application sur mon smartphone mise à disposition par ma banque, quand je m’apercevais que le montant du virement dépassait le plafond autorisé par l’application.<br />
<br />
Je me résignais alors à me rendre au guichet de ma banque.<br />
<br />
Là, j’étais reçu par une guichetière, une jeune femme agréable, courtoise mais ferme.<br />
<br /></p> <p>Alors que je lui remettais le formulaire papier mis à disposition au guichet, mon ordre de virement préalablement rempli pour qu’elle l’exécute sur le champs, elle m’arrêtait dans mon mouvement et me demandait un titre attestant de mon identité.<br />
<br />
Je lui présentais mon permis de conduire, seule pièce en ma possession sur le moment, sans me douter de ce qui allait suivre.<br />
<br />
<em>« Ah non ! »</em> me fit-elle d’un grand cri et elle ajoutait : <em>« ce document n’est pas un titre d’identité, mais un diplôme ! »</em>.<br />
<br />
Frappé d’étonnement, j’avais beau lui faire valoir que ce document était un titre officiel d’identité délivré par l’Etat, que ma photo attestait de mon identité, que ce document faisait parti de ceux reconnus par l’Etat pour exercer mon droit de vote à toutes élections, rien n’y faisait.<br />
<br />
Ma guichetière tenait bon sur sa position : le permis de conduire ne suffisait pas à m’authentifier.<br />
<br />
Comme je grognais pour avoir perdu mon temps à me déplacer jusqu’à elle, elle me donnait alors la solution : écrivez de votre application sur votre smartphone à votre conseillère au sein de notre banque, me dit-elle, et je ferai votre virement.<br />
<br />
Je me reculais d’un mètre et clapotait sans délai sur le clavier de mon smartphone, un message à l’attention de la conseillère que je n’ai jamais vu de ma vie, lui demandant de réaliser un virement de tel montant, sur le compte bancaire dont je donnais l’IBAN de telle personne, puis je cliquais sur <strong>« envoyer »</strong>.<br />
<br />
En quelques secondes à peine, la guichetière, qui ne m’avait pas quitté des yeux, consultait son ordinateur, constatait l’arrivée du message adressé à sa collègue, et réalisait immédiatement le virement souhaité.<br />
<br />
Pour terminer, elle me remettait un document sur papier attestant de l’opération et me souhaitait une bonne journée.<br />
<br />
Ainsi donc, le smartphone aura été plus fort que le permis de conduire.<br />
<br />
A cela, cette histoire vécue m’inspire un commentaire.<br />
<br />
On pourra faire toutes les Lois que l’on veut, seuls les usages que se donnent les populations feront avancer la dématérialisation.<br />
<br />
Avec un niveau de compétence grandissant dans l’usage des outils numériques, la population installe la dématérialisation des relations là où elle y voit ou croit y voir une confiance de nature culturelle.<br />
<br />
Et peu importe les Lois ...</p>Les cybercafés sont des opérateurs de télécoms pour la Loiurn:md5:b29a9916be866ebb36c6707af52b89042008-11-23T15:03:00+00:002018-09-20T13:04:25+01:00Olivier IteanuTechnologie <p>On me demande souvent si les cybercafés ont l’obligation d’identifier leurs clients avant de leur donner un accès.</p>
<p>La réponse est non, mais.</p>
<p>Si cette réponse avait été positive, il faudrait dire nettement non ! Imaginez une société où les cafetiers même cybers, réclameraient leur carte d’identité à leurs clients ?</p>
<p>Pourtant, la Loi n°2006-64 du 23 janvier 2006 relative à la lutte contre le terrorisme, promulguée à son époque par Nicolas Sarkozy, Ministre de l’Intérieur, semble avoir préparé le terrain pour une telle évolution.</p>
<p>C’est cette Loi qui impose aux opérateurs de communications électroniques de conserver pendant un an à compter de leur enregistrement les données dites techniques de connexion de leurs clients. Le texte a été inséré logiquement dans le code des postes et télécoms (aujourd’hui code des postes et communications électroniques) à l’article L 34-1.</p>
<p>L’obligation de conservation de ces fameuses données a été précisée concrètement dans un Décret n°2006-358 du 24 Mars 2006.</p>
<p>Parmi les données techniques obligatoirement conservées par l’opérateur, on trouve « les informations permettant d’identifier l’utilisateur » : pas très technique tout ça …</p>
<p>Pourtant, l’air de rien, une disposition discrète introduit l’article L 34-1 du code :</p>
<p>Les personnes qui, au titre d’une activité professionnelle principale ou accessoire, offrent au public une connexion permettant une communication en ligne par l’intermédiaire d’un accès au réseau, y compris à titre gratuit, sont soumises au respect des dispositions applicables aux opérateurs de communications électroniques en vertu du présent article.</p>
<p>Oui, ce sont bien les cybercafés qui sont ici visés.</p>
<p>Mais pas seulement, toute personne qui offre un accès public, filaire ou wi-fi.</p>
<p>Ainsi donc, les cybercafés seraient dans l’obligation de conserver pendant un an toutes « les informations permettant d’identifier » leurs clients.</p>
<p>Oui, les dispositions légales sont bien en place, même si à ce jour, il ne semble pas que les autorités de police et justice n’en soient pas à exiger des Cybercafés qu’ils exigent la production de titres d’identité officiels et valides.</p>
<p>Soyons cependant vigilants.</p>La propriété intellectuelle est elle l’ennemi de l’identité numérique ? Réflexions par le nom de domaine Interneturn:md5:45940ab04f523edbfe782033f57511552008-06-12T14:37:00+01:002018-09-20T12:39:03+01:00Olivier IteanuTechnologie <p>Le nom de domaine Internet est l’identifant électronique roi. C’est lui qui constitue la colonne vertébrale de nos adresses électroniques, de nos adresses Web, blogs. Et pourtant le nom de domaine a déjà une longue histoire de lutte. Une lutte contre ou avec la propriété intellectuelle. A l’origine de cette rencontre sulfureuse, deux phénomènes liés : la rareté et le cybersquating.</p>
<p>La planète entière se partage un nombre de noms de domaine Internet forcément limités du fait de ses caractéristiques techniques. Le nombre d’extensions génériques et géographiques est de l’ordre de 270, dont de l’ordre de 250 géographiques. Le radical du nom de domaine est quant à lui et jusqu’à ce jour, constitué de lettres latines au format ASCII, c’est à dire n’acceptant aucune ponctuation, ni aucun autre alphabet. En outre, le nom de domaine est attribué pour le monde entier et il ne saurait y avoir de noms de domaine homonymes sur une même extension. Conséquence pratique de la situation, les noms de domaine Internet vivent une pénurie. Une pénurie sciemment organisée , pour donner de la valeur à cette ressource technique. Aussi, les entreprises ont deux alternatives : soit être les premiers à se faire attribuer les noms de domaine sous lesquels ils communiquent habituellement, soit faire valoir des droits antérieurs de … propriété intellectuelle comme des marques. Le second phénomène découle du premier. C’est le cybersquatting. C’est une pratique qui consiste à se faire attribuer le premier un nom de domaine disponible qui reproduit une marque notoire ou le nom de tel artiste connu, dans le but de monnayer sa restitution. Il existe quantité d’autres techniques qui découlent du cybersquatiing, tel que par exemple le typosquatting qui consiste à enregistrer un nom reproduisant une marque notoire mais avec une légère faute typographique, par exemple <gogle.com> au lieu de <google.com>. Quelques affaires retentissantes, mais en réalité isolées, indiquent que cette pratique aurait rapporté quelques millions de dollars à ses auteurs, appelés cybersquatters. Le cybersquatting a été de surcroît facilité par deux pratiques. D’une part, l’attribution d’un nom de domaine est, dans la plupart des cas, opéré en ligne en quelques minutes et à un coût relativement peu élevé. Dans ces conditions, des individus peu scrupuleux tentent leur chance en se faisant attribuer un nombre important de noms de domaine « illégaux » puis tentent de les monnayer. Une seule affaire peut leur permettre de rentabiliser leur pratique. D’autre part, la procédure de réservation et d’attribution d’un nom de domaine Internet est dans la plupart des cas réaliser sans que soit vérifiée l’identité de celui qui achète le nom ni l’état de ses droits. Autrement dit, n’importe qui sous une fausse identité et sans droits sur le nom de domaine acheté, peut en quelque minutes acheter un nom de domaine Internet reproduisant partiellement ou totalement une marque qu’une entreprise aura mis des années à créer et fructifier à coup de dizaines de millions d’euros d’investissements. C’est dans ces conditions qu’au milieu des années 90, le conflit entre noms de domaine et les marques, éclatait. Jusqu’à la fin de l’année 1999, on considérait même qu’un tiers des contentieux judiciaires en droit de l’Internet concernaient les litiges entre noms de domaine et marques. Alertée du problème par notamment l’Organisation Mondiale de la Propriété Intellectuelle (OMPI), l’ICANN promulguait la création d’une procédure de règlement des conflits entre marques et noms de domaine très originale. Cette procédure prenait place parallèlement et aux côtés des procédures judiciaires classiques. Autrement dit, lorsqu’un justiciable a un conflit avec un nom de domaine existant, il a le choix entre une procédure judiciaire traditionnelle et l’une des nouvelles procédures administratives mises en place principalement par l’ICANN. La société Californienne chargeait quatre institutions de règlement des litiges. Parmi ces institutions, les deux principales sont l’OMPI, accrédité le 1er décembre 1999 et The National Arbitration Forum (NAF), accrédité le 23 décembre 1999. Ces institutions sont saisies directement par le plaignant, elles désignent des « juges » appelé « panelistes » qui trancheront le litige. Aujourd’hui, plusieurs milliers de saisines qui ont été instruites par ces institutions de règlement. Mais comment un identifiant comme le nom de domaine Internet a t’il pu ainsi se trouver au milieu d’un tel malstrom ? La réponse tient en un mot ; le commerce. Là est la différence essentielle entre le système d’identité numérique et les systèmes d’identité du monde réel. Les seconds sont constitués d’identifiants recensés dans des registres publics sur la base desquels sont délivrés des titres d’identité appartenant à l’Etat, le tout étant garanti par l’Etat. La garantie de l’Etat signifie non seulement l’assurance de l’existence d’un système d’identité global, homogène et égalitaire, mais c’est aussi le parapluie qui protège l’identité d’autres systèmes d’appropriation, comme celui de la propriété intellectuelle dont l’objectif est de créer de la valeur au travers du monopole légal donc de la pénurie. Le système d’identité numérique global entre les mains d’une personne pérenne, de bonne moralité et défenseur de l’intérêt général n’existe pas. Les identifiants numériques sont livrés au commerce et par là, la propriété intellectuelle devient l’arme d’appropriation. Le pseudo est il le prochain enjeu ? l’article L 711-11 du Code de la Propriété Intellectuelle qui définit la marque prévoit que « peuvent notamment constituer un tel signe : a) Les dénominations sous toutes les formes telles que : mots, assemblages de mots, noms patronymiques et géographiques, pseudonymes … ». En outre, le même code de la propriété intellectuelle interdit à quiconque de prendre une marque si elle porte atteinte à un droit antérieur et notamment « au droit de la personnalité d’un tiers, notamment à son nom patronymique, à son pseudonyme » . Les conditions du conflit sont là. Oui, identité électronique et propriété intellectuelle, on n’a probablement pas fini d’en parler.</p>Preuve numérique devant les tribunaux, illustration des difficultés par l’adresse IPurn:md5:ed481699c6684086f731b5c10b4700832007-01-21T11:04:00+00:002018-09-20T11:58:40+01:00Olivier IteanuTechnologie <p>La société évolue, son droit avec lui. Les dossiers contentieux présentés devant les Tribunaux comportent de plus en plus de pièces versées au débat judiciaire par les parties issues de l’identité numérique. Pour cause, les procès sont issus de faits ayant pris place en totalité ou en partie sur le réseau. Le salarié licencié au motif qu’il échangeait des emails en trop grande quantité avec l’extérieur, l’entreprise qui poursuit son client qui lui refuse le paiement d’une commande passée sur son site Web, la banque victime d’une tentative d’intrusion sur son site de banque en ligne etc. ….</p>
<p>Ces différents exemples posent un problème de taille pour le praticien du droit. Comment convaincre un conseil des prud’hommes, un tribunal de commerce, un tribunal correctionnel du bien fondé d’une prétention dont les éléments de preuve sont sur le disque dur d’un ordinateur, dans une boite à lettres électronique, dans le réseau ?</p>
<p>La difficulté n’est pas d’ordre juridique : la Loi n°2000- 230 du 13 Mars 2000 portant adaptation du droit de la preuve aux technologies de l'information et relative à la signature électronique a, en apparence, résolu tous les problèmes. Elle est venue modifier l’antique Code Civil Napoléonien en ajoutant une nouvelle disposition à l’article 1316 dudit Code selon laquelle « La preuve littérale, ou preuve par écrit, résulte d'une suite de lettres, de caractères, de chiffres ou de tous autres signes ou symboles dotés d'une signification intelligible, quels que soient leur support et leurs modalités de transmission. » Autrement dit, le législateur vient dire que toute preuve est admissible indépendamment de son support. C’est le principe dit de neutralité et non discrimination par rapport au support. Le juge ne peut rejeter par avance un email, une copie d’écran Web, une adresse IP au motif que la preuve est justement un email, une copie d’écran Web ou une adresse IP. Non, la Loi inverse le système : ces preuves sont par avance admissibles : en revanche, la preuve devra emporter la conviction du juge et il pourra la rejeter à une double conditions : d’abord parce que la pièce ne le convainc pas et il devra dire pourquoi, ensuite et corrélativement, en motivant son rejet. L’article 1316-1 du Code Civil vient d’ailleurs immédiatement poser une réserve d’ordre générale qui confirme la situation : « L'écrit sous forme électronique est admis en preuve au même titre que l'écrit sur support papier (SIC), sous réserve (Re-SIC) que puisse être dûment identifiée la personne dont il émane et qu'il soit établi et conservé dans des conditions de nature à en garantir l'intégrité. ». Autrement dit, oui la preuve électronique = preuve papier, MAIS préparez vous à des batailles sur la force probante de l’élément électronique.</p>
<p>La conséquence de cette double disposition pour un plaideur est elle-même de deux ordres. Il devra tout d’abord apporter la preuve sous une forme familière au juge. Une impression papier d’un email, un journal de connexions commenté par exemples et il devra préparer, organiser et conserver la preuve de la preuve, c'est-à-dire la preuve que l’élément de preuve apporté authentifie la personne dont il émane et son intégrité. Il devra dès lors avoir organisé une sauvegarde du serveur de messagerie pour l’email ou du serveur de type firewall qui aura conservé le journal des logs, le tout étant opéré par un Huissier ou un Expert en informatique éventuellement agréé par une Cour d’Appel. La solution n’est pas donnée à tout le monde car elle a un coût et dans certains cas, le seuil de juridicité étant bas (petit litige), le recours à un Officier Ministériel ou à un Expert est un coût disproportionné par rapport à l’intérêt du litige.</p>
<p>L’adresse IP est au cœur de cette difficulté car c’est une preuve qui authentifie fortement l’identité d’un intrus ou d’une machine qui tente de s’introduire. En effet, l’adresse Internet Protocol est un numéro qui identifie de manière certaine un ordinateur. C’est une ressource rare de l’Internet standardisée et contrôlée par l’Internet Corporation for Assigned Names and Numbers (ICANN – en réalité plutôt l’IANA au sein de l’ICANN). Elle est donc une ressource sure en ce sens, qu’étant centralisée, il est aisé de savoir à qui a été attribuée telle adresse IP. Or, le statut de l’adresse IP est le même que pour toute preuve électronique : c’est bien a priori une preuve admissible devant un Tribunal français. Pour autant, rapporter l’existence d’une adresse IP laissée comme trace sur un serveur attaqué, nécessitera une sauvegarde du journal des connexions (logs) qui généralement enregistre cette information, l’établissement d’un rapport sous une forme familière à destination d’un juge, une explication complémentaire donnée par la partie elle-même ou mieux, un Expert, au juge pour attester que l’exploitation que le plaideur fait de l’information devant le Tribunal est juste.</p>
<p>Une organisation pour le plaideur et ses Conseils à mettre en place, à moins que demain, la justice … vienne au réseau. C’est sans doute là, la solution.</p>