Ce vendredi 17 janvier, nous avions la chance de recevoir, dans nos locaux rouennais, deux avocats du cabinet Fidal. En moins de deux heures, Sabine Deloges et Hugo Lenfant ont proposé un décryptage clair et dynamique sur leurs expertises respectives.

Dans un premier temps, avec Hugo Lenfant, il a été question de cybersécurité. Devant l’augmentation des cyberattaques, la fréquence et la sophistication de celles-ci, la directive NIS1 a été adoptée en juillet 2016 et transposée en France en février 2018. Les menaces évoluant ainsi que la typologie des acteurs visés, il a été décidé d’élargir le champ applicatif avec la directive NIS2, adoptée en décembre 2022. Cette dernière devrait, dans les faits, être appliquée depuis le 18 octobre 2024, mais n’a toujours pas été transposée en loi française. Elle devrait l’être dans les prochaines semaines. L’objectif reste identique, renforcer la sécurité numérique des acteurs “essentiels” au fonctionnement de l’Union européenne. C’est en cela qu’elle s’applique à beaucoup plus d’entités que la version précédente, notamment :

  • Les grandes et moyennes entreprises, dans des secteurs critiques
  • l’administration publique
  • ou encore les collectivités territoriales de plus de 30 000 administrés

Etant donné que le risque zéro n’existe pas, il faut savoir réagir et se protéger. Les principales obligations seront de mettre en place des mesures de sécurité appropriées, de signaler rapidement les incidents graves de cybersécurité (dans les 24h), de sensibiliser ses collaborateurs à la cybersécurité, d’évaluer régulièrement les risques. Hugo Lenfant a précisé que chacun de nous a accès aux CSIRT territoriaux (Computer Security Incident Response Team), qui sont des centres de réponses aux incidents cyber au plus près des entités implantées sur leurs territoires. En Normandie, le CSIRT est Normandie Cyber, une entité de l’AD Normandie.

La deuxième partie, assurée par Sabine Deloges, avait pour thématique l’IA Act, le règlement sur l’Intelligence Artificielle, qui est historique car l’Europe est la première à avoir pris des mesures pour encadrer l’IA, sans vouloir freiner l’innovation. Ce cadre de régulation va permettre de protéger nos droits fondamentaux tout en soutenant l’innovation puisqu’elle intervient sur les outils d’intelligence artificielle avant leur mise sur le marché. Elle sera mise en application à partir de février 2025 (et échelonnée jusqu’en 2030) suite à son adoption en juillet 2024. L’approche est fondée sur les risques, avec différentes catégories :

  • Risque inacceptable : pratiques interdites (par ex. manipulation, scoring social…)
  • Risque élevé : systèmes soumis à des obligations strictes (par ex. dans les domaines du recrutement, de l’éducation, de la justice…)
  • Risque limité : obligations de transparence (comme pour les chatbots, deepfakes…)
  • Risque minimal : pas de restrictions particulières (par ex. filtres anti-spam, utilisation dans les jeux-vidéos,…)

Dans tous les cas, les utilisateurs doivent être avertis qu’ils interagissent avec l’IA ou que le contenu proposé a été généré artificiellement. Sur la question de ce qui a été généré, Sabine Deloges a fait un aparté sur le droit d’auteur, tout en signalant qu’il n’y avait pas de jurisprudence en France actuellement. La position générale est qu’une œuvre doit avoir un auteur humain pour être protégée.

Suite aux présentations, la dizaine d’adhérents présents avait la possibilité de poser des questions, elles ont été peu nombreuses devant la quantité d’information délivrée. Un grand intérêt a été exprimé par tous sur les deux thématiques. Celles-ci étant cruciales dans nos métiers pour sécuriser et maîtriser nos contenus et projets.