Intelligence artificielle (IA) : la CNIL publie un plan d’action
Intelligence artificielle (IA) : le plan d’action de la CNIL comporte 4 volets
Depuis quelques mois, l’intelligence artificielle (IA) dite « générative » connait un grand développement avec l’apparition d’outils tels que ChatGPT, Bard, Dall-E, Midjourney, Vall-E, etc.
Pour la petite histoire, sachez que l’IA générative est un système qui crée du texte, des images ou d’autres contenus (musique, vidéo, voix, etc.) à partir d’une instruction d’un utilisateur humain (le « prompt engineering »).
L’intérêt pour l’IA générative a amené la CNIL à publier un plan d’action, en attendant l’adoption d’un accord européen sur le sujet (le projet de règlement européen dit « IA Act », actuellement en discussion).
Ce plan s’articule autour de 4 axes :
- Axe 1 : appréhender le fonctionnement des systèmes d’IA et leurs impacts pour les personnes ;
- Axe 2 : permettre et encadrer le développement d’IA respectueuses des données personnelles ;
- Axe 3 : fédérer et accompagner les acteurs innovants de l’écosystème IA en France et en Europe ;
- Axe 4 : auditer et contrôler les systèmes d’IA et protéger les personnes.
L’axe 1 doit amener les particuliers et les professionnels à se poser des questions sur la protection des données, notamment :
- la loyauté et la transparence des traitements de données sous-jacents au fonctionnement de ces outils ;
- la protection des données publiquement accessibles sur le Web face à l’utilisation du moissonnage de données pour la conception des outils ;
- la protection des données transmises par les utilisateurs lorsqu’ils utilisent ces outils, allant de leur collecte (via une interface) à leur éventuelle réutilisation, en passant par leur traitement par les algorithmes d’apprentissage automatique ;
- les conséquences sur les droits des personnes sur leurs données, tant en ce qui concerne celles collectées pour l’apprentissage de modèles que celles qui peuvent être fournies par ces systèmes ;
- la protection contre les biais et les discriminations susceptibles de survenir ;
- les enjeux de sécurité inédits de ces outils.
Ces questions sont envisagées par le laboratoire d’innovation numérique de la CNIL (LINC). Notez que le LINC a notamment publié un dossier sur l’IA générative pour mieux comprendre les enjeux spécifiques de ces systèmes.
L’axe 2 vise à anticiper l’application de l’IA Act et à préparer les entreprises et les particuliers à l’impact des systèmes d’IA dans les années à venir. À cet effet, la CNIL a déjà publié des fiches pédagogiques sur le sujet et continuera à publier des documents dans les mois et années à venir.
L’axe 3 se matérialise déjà concrètement par 3 mesures :
- la création d’un « bac à sable » pour accompagner les projets innovants depuis 2021 ;
- la création d’un programme d’accompagnement spécifique des fournisseurs de vidéosurveillance « augmentée » dans le cadre des Jeux olympiques de 2024 ;
- la création d’un programme « d’accompagnement renforcé » pour assister les entreprises innovantes dans leur conformité au RGPD.
Par ailleurs, la CNIL se tient à disposition des entreprises qui souhaitent développer des systèmes d’IA dans une logique de protection des données personnelles. Pour se faire, il est possible de la contacter à l’adresse ia@cnil.fr.
Enfin, l’axe 4 vise à doter la CNIL d’un outillage lui permettant d’auditer les systèmes d’IA. À ce propos, sachez que le LINC a publié un dossier sur les solutions d’audit algorithmique.
Durant l’année 2023, la CNIL va mener des actions concernant :
- le respect, par les entreprises, de sa position sur l’usage de la vidéosurveillance « augmentée » ;
- l’usage de l’IA pour lutter contre la fraude (par exemple la fraude à l’assurance sociale), au regard des enjeux liés à l’usage de tels algorithmes ;
- l’instruction de plaintes déposées auprès de ses services.
Les lecteurs ont également consulté…
Chaînes de fast-foods : une implantation totalement libre ?
Implantation des chaînes de fast-foods : une liberté encadrée
Pour rappel, la restauration, comme tous les commerces de service, s’exerce dans un cadre de libre concurrence.
Ce qui ne veut pas dire qu’il n’y a aucune règle à respecter lors de l’implantation d’un restaurant…
Lors de leur création, en effet, les établissements de restauration « rapide » doivent suivre une procédure d'enregistrement auprès des autorités compétentes.
À cet effet, une déclaration doit être adressée à la Direction départementale de la cohésion sociale et de la protection des populations (DDCSPP) du département d'implantation de l'établissement ou, dans le cadre du guichet unique, auprès du centre de formalité des entreprises compétent.
En outre, les chaînes de fast-foods étant amenées à manipuler des denrées animales ou d'origine animale, elles doivent obtenir un agrément spécifique de la DDCSPP.
Enfin, notez qu’elles doivent également mettre en place un plan de maîtrise sanitaire afin d'atteindre les objectifs réglementaires en termes d'hygiène.
Les lecteurs ont également consulté…
Guyane : un accord pour relancer la filière pêche
Comment relancer la filière pêche en Guyane ?
Le 3 mai 2023, le secrétaire d'État chargé de la Mer, la Collectivité territoriale de Guyane et le Comité régional des pêches ont signé un Pacte tripartite pour la relance de la filière pêche.
Il comprend 5 axes :
- renouvellement des navires de pêche et réappropriation de l’espace maritime ;
- modernisation des infrastructures nécessaires à la pêche ;
- aides économiques à la filière « pêche » (audits, prêts, échelonnement des dettes fiscales et sociales, activité partielle, etc.) ;
- développement de la formation maritime et amélioration des conditions sociales des marins-pêcheurs ;
- mise en place d’une méthode de travail pour une coproduction de l’action publique en faveur du développement de l’économie bleue.
Les lecteurs ont également consulté…
Accidents routiers du travail : comment les éviter ?
Prévention des accidents routiers du travail : des informations utiles…
La conduite constitue, pour de nombreuses entreprises, l’essence même de leur activité (transport, livraison, BTP, etc.) et s’avère donc être un facteur de risques professionnels pour les travailleurs qui prennent la route (risques physiques, chimiques et psychosociaux).
Mais ce ne sont pas les seules ! Pour les entreprises où les déplacements sont ponctuels, le risque d’accident de trajet reste à prendre en considération.
L’institut national de recherche et de sécurité pour la prévention des accidents du travail et des maladies professionnelles (INRS) rappelle que l’employeur doit évaluer ce risque et l’intégrer au document unique d’évaluation des risques professionnels (DUERP).
À cet effet, il donne les étapes fondamentales de l’évaluation du risque routier, lesquelles consistent à :
- réaliser un état des lieux et une analyse des déplacements, en tenant compte des conditions réelles de conduite (durée de déplacement, amplitudes horaires de travail, types et caractéristiques des véhicules, état du trafic, conditions météos, etc.) ;
- identifier les salariés exposés ;
- examiner les motifs et les caractéristiques des déplacements ;
- analyser les accidents de mission survenus au cours des dernières années.
Qui dit DUERP, dit plan de prévention ! L’INRS propose ainsi de cibler les actions à mener selon 4 axes :
- déplacements : prévoir une organisation en amont ;
- véhicules : maintenance des véhicules, véhicules appropriés et en bon état, avec une traçabilité du suivi et de l’entretien ;
- communications lors des déplacements : instauration d’un protocole, notamment sur l’usage du téléphone portable ;
- compétences : formations des salariés.
Afin de limiter les risques, l’INRS préconise également :
- d’éviter au maximum les déplacements en regroupant les rendez-vous ou réunions hors entreprises, ou bien en préférant des rencontres en visioconférence, par exemple ;
- recourir aux transports collectifs ;
- limiter les distances quotidiennes à parcourir, etc.
Enfin, pour considérer et prévenir les risques dans leur ensemble, l’institut recommande aux entreprises de mettre en place un plan de mobilité, permettant d’améliorer les conditions de déplacements du personnel et de favoriser les modes alternatifs à la voiture individuelle.
Un tel plan présente les avantages de prévenir le risque routier, mais aussi d’agir pour le bien-être au travail et de s’inscrire dans une démarche environnementale.
Effarouchement des ours bruns dans les Pyrénées : quelles règles ?
L’effarouchement : une solution d’exception
Pour rappel, il est interdit de perturber intentionnellement une espèce protégée, sauf si 2 conditions sont réunies :
- il n’existe pas de solution alternative satisfaisante ;
- la dérogation ne nuit pas au maintien des populations de l’espèce en question dans son aire de répartition naturelle.
Un principe qui a soulevé quelques interrogations lorsqu’il a été question de l’effarouchement des ours bruns dans les Pyrénées. Un 1er arrêté, en effet, avait autorisé la méthode de l’effarouchement, simple ou renforcé, afin de protéger les élevages.
Jugé pas assez protecteur envers les femelles en gestation ou accompagnées de leurs petits, il a été annulé. Il est aujourd’hui remplacé par un nouveau texte, qui apporte de nouvelles précisions :
- l’effarouchement expérimenté est efficace pour protéger les troupeaux ;
- il n’a pas été observé de conséquence négative sur les femelles (séparation avec leurs oursons ou augmentation du risque d’avortement) ;
- la population d’ours continue sa croissance, même avec l’effarouchement.
Le Gouvernement a donc décidé de maintenir cette méthode qui est encadrée par des agents de l’État.
Ainsi, l’effarouchement doit être autorisé par le préfet. Son accord n’est donné que si un troupeau est à proximité d’un ours et que des mesures de protection autres ont déjà été prises, mais se révèlent insuffisantes.
La demande d’autorisation peut être déposée par un éleveur, un groupement pastoral ou un gestionnaire d’estive (pâturage en montagne exploité l’été).
Pour obtenir l’accord du préfet, les intéressés doivent pouvoir justifier d’un certain nombre d’attaques sur l’estive :
- une dans les 12 derniers mois ;
- ou 4 cumulées au cours des 2 dernières années ;
- ou 10 en moyenne par an lors des 3 saisons précédentes.
Dans un 1er temps, l’effarouchement dit « simple » est autorisé. Il consiste à faire fuir l’ours via des moyens lumineux ou sonores (cloches, pétards, cornes de brume, etc.).
En cas d’échec, l’effarouchement renforcé peut être autorisé par le préfet :
- dès la 2e attaque intervenue dans un délai inférieur à un mois malgré la mise en œuvre effective d'opérations d'effarouchement simple au cours de cette période ;
- pour les estives ayant subi au moins 4 attaques cumulées sur les 2 années précédentes, dès la 1re attaque survenue malgré la mise en œuvre effective d'opérations d'effarouchement simple lors de l'estive en cours ;
- pour les estives ayant subi en moyenne plus de 10 attaques par an au cours des 3 saisons d'estive précédentes, ayant mis en œuvre de manière effective l'effarouchement simple durant les 12 derniers mois, et ayant déjà subi une attaque après cette mise en œuvre effective.
L’effarouchement renforcé, qui consiste à tirer en l’air avec des armes non létales, est effectué par des agents de l’Office français de la biodiversité qui doivent respecter un ensemble de règles, par exemple :
- l’opération se déroule de nuit, par binôme, afin d’avoir une personne qui éclaire et une autre qui tire ;
- une absence de munition létale ;
- une obligation de surveiller la présence d’ourson, etc.
Notez que toute opération d’effarouchement, simple ou renforcé, doit faire l’objet d’un rapport adressé au préfet.
Pour finir, retenez que le parc national des Pyrénées bénéficie d’un régime spécial :
- aucune mesure d’effarouchement renforcé ne peut être prononcée ;
- la mise en œuvre d’une mesure d’effarouchement simple nécessite d’obtenir l’autorisation du directeur du parc.
Les lecteurs ont également consulté…
Data Privacy Officer : dans l’œil des autorités !
DPO : des contrôles dans toute l’Union européenne
La commission nationale de l’informatique et des libertés (CNIL) avait annoncé en début d’année 2023 les différentes thématiques qui seraient au cœur de ses contrôles pour l’année en cours.
En cohérence avec ces annonces, une série de vérifications va être lancée auprès d’établissements publics, de collectivités territoriales et d’entreprises privées concernant la désignation et les modalités d’exercice de leur Data Privacy Officer (DPO).
La particularité de cette campagne de vérification est qu’elle se fera de façon coordonnée avec le comité européen de la protection des données (CEPD) et les autorités nationales des autres États-membres.
Pour rappel, un Data Privacy Officer (DPO), ou Délégué à la protection des données, doit obligatoirement être désigné au sein :
- des autorités et organismes publics ;
- des organismes assurant un suivi régulier, systématique et à grande échelle de données personnelles ;
- des organismes traitant à grande échelle des données à caractère sensible.
Son rôle est de veiller à la conformité de son organisme aux dispositions du règlement général sur la protection des données (RGPD) et de s’assurer que les droits des personnes concernées par les données traitées sont respectés.
Par ces contrôles, les autorités cherchent à vérifier que des DPO sont bien désignés dans les organismes où leur présence est obligatoire et que ceux-ci disposent de moyens suffisants pour mener à bien leurs missions.
Les lecteurs ont également consulté…
RGPD : le droit à réparation, c’est automatique ?
Violation du RGPD : le droit à réparation n’est pas automatique !
Pour rappel, le règlement général sur la protection des données (RGPD) vise, depuis 2018, à protéger les données personnelles à l’échelle de l’Union européenne.
Ce règlement prévoit, notamment, un droit à réparation qui permet à toute personne ayant subi un dommage matériel ou moral du fait d'une violation du RGPD d'obtenir du responsable du traitement de données (ou du sous-traitant) une réparation pour le préjudice subi.
Récemment, la question s’est posée de savoir si ce droit s’applique systématiquement, dès qu’une violation du RGPD est constatée.
Interrogé sur ce point, le juge européen vient de répondre par la négative…
Il rappelle, en effet, que pour bénéficier de ce droit à réparation, il faut nécessairement que 3 conditions soient réunies :
- une violation du RGPD ;
- un dommage matériel ou moral résultant de cette violation ;
- un lien de causalité entre le dommage et la violation.
À toutes fins utiles, notez que le fait de ne pas pouvoir engager une action en réparation n’interdit pas d’utiliser d’autres voies de recours prévues par le RGPD, notamment celles permettant d’infliger des amendes administratives, pour lesquelles l’existence d’un dommage individuel n’a pas à être démontrée.
Les lecteurs ont également consulté…
Quoi de neuf pour le secteur médical en mai 2023 ?
Conditions d’implantation et conditions techniques de fonctionnement : du nouveau pour certaines activités du secteur médical
En 2019, le Gouvernement a été autorisé à prendre des mesures visant à modifier le régime d'autorisation des activités de soins, des équipements matériels lourds, des alternatives à l'hospitalisation et de l'hospitalisation à domicile.
Le but recherché était, notamment, de favoriser le développement des alternatives à l'hospitalisation, de prévoir de nouveaux modes d'organisation des acteurs de santé et d'adapter le régime d’autorisation afin qu’il soit plus précis au regard de certaines activités rares ou à haut risque.
Des précisions concernant l’implantation et les caractéristiques techniques de certaines activités étaient attendues. Elles ont été publiées et le Gouvernement a prévu qu’elles entrent en vigueur à compter du 1er juin 2023.
Sont concernées les activités :
- interventionnelles sous imagerie médicale en neuroradiologie (conditions techniques) ;
- interventionnelles sous imagerie médicale en cardiologie (conditions techniques) ;
- de soins médicaux et de réadaptation (conditions techniques) ;
- de soins de traitement du cancer (conditions techniques) ;
- de soins critiques (conditions techniques) ;
- de médecine (conditions techniques) ;
- de psychiatrie (conditions techniques);
- de soins de chirurgie, de chirurgie cardiaque et de neurologie (conditions techniques).
Des précisions ont également été apportées concernant les équipements matériels lourds d’imagerie et l’activité de soins de radiologie interventionnelle (conditions techniques).
Des ajouts techniques ont aussi été prévus quant au fonctionnement des activités :
- Ordonnance no 2021-583 du 12 mai 2021 portant modification du régime des autorisations d'activités de soins et des équipements matériels lourds
- Décret no 2022-21 du 10 janvier 2022 relatif aux conditions d'implantation de l'activité interventionnelle sous imagerie médicale en neuroradiologie
- Décret no 2022-22 du 10 janvier 2022 relatif aux conditions techniques de fonctionnement de l'activité interventionnelle sous imagerie médicale en neuroradiologie
- Décret no 2022-24 du 11 janvier 2022 relatif aux conditions d'implantation de l'activité de soins médicaux et de réadaptation
- Décret no 2022-25 du 11 janvier 2022 relatif aux conditions techniques de fonctionnement de l'activité de soins médicaux et de réadaptation
- Décret no 2022-102 du 31 janvier 2022 relatif aux conditions techniques de fonctionnement de l'activité d'hospitalisation à domicile
- Décret no 2022-114 du 1er février 2022 relatif aux conditions techniques de fonctionnement de l'activité de médecine nucléaire
- Décret no 2022-380 du 16 mars 2022 relatif aux conditions d'implantation de l'activité interventionnelle sous imagerie médicale en cardiologie
- Décret no 2022-382 du 16 mars 2022 relatif aux conditions techniques de fonctionnement de l'activité interventionnelle sous imagerie médicale en cardiologie et aux conditions techniques de fonctionnement de l'activité de soins médicaux et de réadaptation
- Décret no 2022-689 du 26 avril 2022 relatif aux conditions d'implantation de l'activité de soins de traitement du cancer
- Décret no 2022-690 du 26 avril 2022 relatif aux conditions d'implantation de l'activité de soins critiques
- Décret no 2022-693 du 26 avril 2022 relatif aux conditions techniques de fonctionnement de l'activité de soins de traitement du cancer
- Décret no 2022-694 du 26 avril 2022 relatif aux conditions techniques de fonctionnement de l'activité de soins critiques
- Décret no 2022-1046 du 25 juillet 2022 relatif aux conditions d'implantation de l'activité de médecine
- Décret no 2022-1047 du 25 juillet 2022 relatif aux conditions techniques de fonctionnement de l'activité de médecine
- Décret no 2022-1237 du 16 septembre 2022 relatif aux conditions d'implantation des équipements matériels lourds d'imagerie et de l'activité de soins de radiologie interventionnelle
- Décret no 2022-1238 du 16 septembre 2022 relatif aux conditions de fonctionnement des équipements matériels lourds d'imagerie et de l'activité de soins de radiologie interventionnelle
- Décret no 2022-1263 du 28 septembre 2022 relatif aux conditions d'implantation de l'activité de psychiatrie
- Décret no 2022-1264 du 28 septembre 2022 relatif aux conditions techniques de fonctionnement de l'activité de psychiatrie
- Décret no 2022-1765 du 29 décembre 2022 relatif aux conditions d'implantation des activités de soins de chirurgie, de chirurgie cardiaque et de neurochirurgie
- Décret no 2022-1766 du 29 décembre 2022 relatif aux conditions techniques de fonctionnement des activités de soins de chirurgie, de chirurgie cardiaque et de neurochirurgie
Les lecteurs ont également consulté…
Taxe sur les bureaux en Ile-de-France : focus sur les espaces de coworking…
Espaces de coworking et taxe sur les bureaux en Ile-de-France : une analyse au cas par cas
Une société exerce une activité qui consiste à mettre à disposition d’autres entreprises des espaces de travail situés à Paris.
À cette occasion, elle fournit également différentes prestations de services : accueil des visiteurs, réception du courrier, entretien et nettoyage des locaux, mise à disposition de matériel informatique, etc.
Parce qu’il s’agit de locaux à usage commercial, et parce que leur superficie est inférieure à 2 500 m², la société propriétaire estime ne pas avoir à payer la taxe annuelle sur les locaux à usage de bureaux, les locaux commerciaux, les locaux de stockage et les surfaces de stationnement perçue dans la région Ile-de-France.
Une erreur selon l’administration fiscale, pour qui les locaux en question ne sont pas des locaux à usage commercial, mais des locaux conçus pour un usage de bureaux.
Par conséquent, dès lors que ces locaux occupent une superficie supérieure à 100 m², ils sont légalement soumis à taxation.
Ce que confirme le juge : pour déterminer si un local doit ou non être soumis à taxation, ce n’est pas la nature de l’activité exercée par la société bailleresse qui doit être prise en compte, mais l’utilisation effective du local par les sociétés locataires.
Ici, les locaux litigieux, d’une superficie supérieure à 100 m², étant conçus et effectivement utilisés pour un usage de bureaux, ils doivent être taxés. Le redressement fiscal est donc validé !
Les lecteurs ont également consulté…
Calcul de la TASCOM : faut-il tenir compte du sas d’entrée d’un magasin ?
Sas d’entrée du magasin = surface de vente = TASCOM
Une société, qui exploite un magasin de bricolage, fait l’objet d’un contrôle fiscal à l’issue duquel l’administration lui réclame un supplément de taxe sur les surfaces commerciales (TASCOM) au titre du sas d’entrée du commerce.
Elle considère, en effet, que même s’il n’accueille aucune marchandise, ce sas permet aux clients de bénéficier des prestations commerciales du magasin.
Par conséquent, il doit être regardé comme étant « affecté à la circulation de la clientèle » et donc, doit être pris en compte pour la détermination de la surface de vente retenue pour le calcul de la taxe sur les surfaces commerciales due par la société.
Ce que confirme le juge, qui maintient le redressement fiscal.
Pour aller plus loin…
