Vous en avez assez des newsletters généralistes qui survolent vos vrais enjeux ?
Dastra vous propose DastrActu, une veille juridique et réglementaire spécialement pensée pour les DPO, juristes et professionnels de la Privacy.
🎯 Une veille ciblée, utile et ancrée dans la réalité terrain de la protection des données et de l'IA.
Voici notre sélection pour juillet 2025 :
La Commission européenne publie le modèle de résumé des des données utilisées pour former les modèles GPAI
La Commission européenne a publié son long attendu modèle de résumé des données utilisées pour former les modèles, désormais une exigence obligatoire pour les fournisseurs de modèles d'IA à usage général (GPAI) opérant au sein de l'UE.
Cette évolution représente une étape réglementaire significative avec des implications mondiales potentielles.
En rendant les divulgations des données de formation accessibles au public, l'UE pourrait, sans le vouloir, habiliter les titulaires de droits, y compris ceux en dehors de l'UE, à initier des réclamations pour violation de droits d'auteur.
Cette mesure, contrairement au Code de bonnes pratiques volontaire, introduit une obligation de transparence contraignante en vertu de la loi sur l'IA de l'UE.
Pour plus de détails sur les obligations des fournisseurs GPAI, cliquez ici.
Le Code de bonnes pratiques en matière d'IA à usage général est là
Quelques jours après avoir appris qu'il n'y aurait pas de pause dans la loi sur l'IA, le tant attendu Code de bonnes pratiques en matière d'IA à usage général (GPAI) est enfin là !
Le 10 juillet 2025, la Commission européenne a publié le Code de pratique sur l'IA, établissant une nouvelle norme pour la façon dont l'écosystème IA (des grands fournisseurs de modèles aux start-ups et PME) peut se préparer aux prochaines obligations GPAI en vertu de l'AI act.
C’est un outil volontaire conçu pour aider les fournisseurs de modèles d'IA à usage général à démontrer leur conformité avec leurs obligations en vertu des articles 53 et 55 du règlement.
Ces obligations s'appliqueront à partir du 2 août 2025, bien que certaines exceptions existent.
Le Code se concentre sur trois domaines, cœur d'un déploiement responsable de l'IA :
- Transparence : engagements clairs concernant le partage d'informations sur la manière dont les modèles d'IA à usage général sont formés, évalués et comment ils fonctionnent.
- Droits d'auteur : Garantir le respect des droits de propriété intellectuelle, en particulier comment les données de formation s'alignent avec les protections des droits d'auteur.
- Sécurité : Mesures pour atténuer les risques systémiques, prévenir les abus et maintenir la confiance du public.
🚀La suite ?
Le Code sera évalué par le Bureau de l'IA et la Commission qui pourraient l'approuver par une décision d'adéquation.
La Commission européenne publie des lignes directrices à destination des fournisseurs de modèles GPAI
Nouvelles lignes directrices de la Commission européenne pour aider les fournisseurs de modèles d'IA à usage général à se conformer à l'AI Act, notamment leurs obligations qui entreront en vigueur le 2 août 2025.
Les points clés des lignes directrices comprennent :
- Définition des modèles d'IA à usage général : formés en utilisant plus de 10²³ FLOPs (puissance de calcul nécessaire à l'entraînement du modèle) et capables de générer du texte, de l'audio, des images ou des vidéos à partir d'instructions textuelles.
- Clarification de termes comme « fournisseur » et « mise sur le marché ».
- Exemptions pour les modèles open-source qui respectent les normes de transparence.
- Impact de l'adhésion au Code de bonnes pratiques.
- Obligations supplémentaires pour les fournisseurs de modèles puissants qui posent des risques systémiques, y compris des obligations d'évaluation et de mitigation des risques.
L'AEPD clarifie son rôle avant l'application de l'AI Act
L'Autorité espagnole de protection des données (AEPD) a publié une analyse clarifiant son rôle en vertu du règlement européen sur l'intelligence artificielle (IA), avant l'entrée en vigueur des dispositions clés le 2 août 2025.
Bien que l'Espagne n'ait pas encore adopté de législation nationale pour désigner formellement une autorité de surveillance du marché, l'AEPD note que le projet de loi actuel prévoit qu'elle assume cette responsabilité dans des domaines nécessitant une indépendance fonctionnelle, tels que pour les systèmes d'IA prohibés.
En attendant, l'AEPD réaffirme son autorité existante pour superviser l'utilisation des données personnelles dans les systèmes d'IA, notamment lorsque les systèmes prohibés peuvent enfreindre les droits de protection des données.
Elle conseille aux organisations déployant ou fournissant des services d'IA de commencer à se préparer à une conformité totale avec l'AI Act et souligne la nécessité de renforcer ses propres capacités internes en prévision des responsabilités élargies.
La CNIL finalise ses recommandations sur le RGPD et le développement de systèmes d'IA
La CNIL vient de publier un ensemble de recommandations visant à garantir que le développement des technologies d'IA reste compatible avec les exigences du RGPD.
Ces lignes directrices s'adressent à un large éventail d'acteurs, que vous travailliez sur des modèles d'apprentissage automatique, des systèmes d'IA à usage général, ou tout autre type d'IA impliquant le traitement de données personnelles.
Le document cible spécifiquement la phase de développement des systèmes d'IA, y compris la conception du système, la création et la structuration de l'ensemble de données, et le processus de formation.
Il est important de noter que la CNIL a également fourni une checklist de conformité pour aider les développeurs et les organisations à identifier les points clés à vérifier tout au long de cette phase de développement.
La loi britannique sur l'utilisation et l'accès des données (DUAA) a reçu l'assentiment royal
La loi sur les données (utilisation et accès) de 2025 a reçu l'assentiment royal le 19 juin 2025 (DUAA) et réforme la législation sur la protection des données au Royaume-Uni, y compris le RGPD britannique, la DPA 2018, ainsi que le PECR.
La nouvelle loi sera mise en œuvre par étapes, la plupart des dispositions devant entrer en vigueur dans les deux à six mois, bien que certaines mesures puissent nécessiter jusqu'à un an pour être entièrement mises en œuvre.
Découvrez ce que le DUAA signifie pour votre organisation ici.
La Commission européenne publie un projet de décision d'adéquation pour le Royaume-Uni
La Commission européenne a publié ses projets de décisions d'adéquation pour les transferts de données vers le Royaume-Uni, à la fois sous le RGPD et la directive sur le droit pénal (LED).
Les modifications récentes introduites par la loi britannique Data Use and Access Act (DUAA) ne compromettent pas le cadre de protection des données du Royaume-Uni. Le Royaume-Uni est toujours considéré comme offrant un niveau adéquat de protection des données personnelles provenant de l'UE.
Les projets de décisions seront examinés par le Comité européen de la protection des données (CEPD) et nécessiteront une approbation avant leur adoption formelle.
Le CEPD et l'EDPS ont publié un avis conjoint sur la proposition de simplification du RGPD
Le CEPD et l'EDPS ont émis un avis conjoint le 8 juillet sur la proposition de réglementation de la Commission européenne. sur les mesures de simplification concernant le RGPD.
Ils accueillent les simplifications tant qu'elles sont proportionnées, équilibrées et basées sur la nécessité, et surtout, qu'elles ne portent pas atteinte à la protection des droits fondamentaux des individus - ce qui va à l'encontre des principes fondamentaux du RGPD.
Notamment concernant l'obligation de tenue de registre (Art.30 (5) RGPD) : la dérogation actuelle du RGPD s'applique lorsque les organisations ont moins de 250 employés (sauf si certaines conditions sont remplies). Avec la proposition, la dérogation s'appliquera aux organisations employant moins de 750 employés.
Cependant, même avec moins de 750 personnes, l'organisation devra tenir un registre lorsque le traitement est susceptible d'entraîner un risque élevé pour les droits et libertés des individus.
Les deux institutions ont également demandé aux co-législateurs quelques éclaircissements supplémentaires.