rgpd

RGPD : quand une demande d’accès peut être refusée en cas de mauvaise foi

Le droit d’accès consacré par l’article 15 du règlement (UE) 2016/679 du 27 avril 2016 (RGPD) constitue l’un des piliers de la protection des données à caractère personnel, en ce qu’il garantit à toute personne concernée un contrôle effectif sur les traitements dont ses données font l’objet.
NOUVEAU : Utilisez nos services pour faire retirer un contenu dénigrant ou de contrefaçon en passant par le formulaire et un avocat enverra une lettre de mise en demeure !

À travers ce droit, le législateur européen a entendu instaurer un mécanisme de transparence permettant non seulement la vérification de la licéité des traitements, mais également l’exercice d’autres prérogatives essentielles, telles que les droits de rectification, d’effacement ou encore d’opposition. Toutefois, l’effectivité de ce droit fondamental se heurte, en pratique, à des usages détournés qui interrogent les limites de sa protection.

C’est précisément dans ce contexte que s’inscrit l’arrêt rendu le 19 mars 2026 par la Cour de justice de l’Union européenne dans l’affaire C-526/24, Brillen Rottler, qui marque une étape déterminante dans la construction d’un encadrement jurisprudentiel du droit d’accès. Saisie d’un renvoi préjudiciel par une juridiction allemande, la Cour était appelée à déterminer si, et dans quelles conditions, un responsable de traitement peut refuser de donner suite à une demande d’accès au motif que celle-ci serait abusive, y compris lorsqu’il s’agit d’une première demande.

Besoin de l’aide d’un avocat pour un problème de vie privée ?

Téléphonez – nous au : 01 43 37 75 63

ou contactez – nous en cliquant sur le lien

Les faits à l’origine du litige révèlent une instrumentalisation singulière du droit d’accès. Une personne physique, après s’être inscrite à la newsletter d’une société allemande d’optique en fournissant ses données personnelles, a exercé, treize jours plus tard, son droit d’accès avant de solliciter une indemnisation d’au moins 1 000 euros pour le refus opposé à sa demande. La société mise en cause a alors opposé un abus de droit, soutenant que le demandeur s’inscrivait systématiquement à des services en ligne dans le seul but de multiplier les demandes d’accès et d’engager ensuite des actions indemnitaires.

Derrière cette situation factuelle se dessine une problématique plus large tenant à la finalité du droit d’accès : celui-ci peut-il être mobilisé à des fins exclusivement contentieuses, voire lucratives, sans compromettre l’équilibre du système instauré par le RGPD ? Si le texte prévoit, à son article 12, paragraphe 5, la possibilité de refuser des demandes « manifestement infondées ou excessives », il demeure silencieux quant à la notion d’abus de droit et à son application à une première demande, laissant ainsi à la jurisprudence le soin d’en préciser les contours.

L’arrêt Brillen Rottler apporte à cet égard des clarifications majeures. D’une part, la Cour admet qu’un abus de droit peut être caractérisé même en l’absence de répétition, dès lors que la demande poursuit une finalité étrangère à l’objectif de transparence du RGPD. D’autre part, elle consacre une approche qualitative de l’excès, fondée sur l’intention du demandeur et le contexte global de son comportement. Toutefois, afin de préserver l’effectivité du droit d’accès, elle encadre strictement cette possibilité en exigeant du responsable de traitement la preuve d’éléments objectifs et concordants établissant la mauvaise foi du demandeur.

Ainsi, l’arrêt met en lumière un équilibre délicat entre la protection d’un droit fondamental et la nécessité de prévenir son instrumentalisation. Il invite à repenser les conditions d’exercice du droit d’accès ainsi que les obligations pesant sur les responsables de traitement face à des demandes potentiellement abusives.

Dans cette perspective, il convient de s’interroger sur la manière dont la Cour consacre la notion d’abus de droit en matière d’accès aux données personnelles (I), avant d’en analyser les implications sur le régime du droit d’accès et le droit à réparation (II).

I – La reconnaissance de l’abus de droit d’accès par la CJUE

A – L’admission d’un abus dès la première demande

En premier lieu, la Cour de justice affirme de manière explicite qu’une demande d’accès à ses données personnelles peut être qualifiée d’« abusive » et, partant, refusée, y compris lorsqu’il s’agit de la première demande formulée par la personne concernée.

S’écartant d’une lecture purement littérale et quantitative de l’article 12, paragraphe 5, RGPD, la Cour juge qu’une première demande peut être « excessive » au sens de cette disposition lorsque, malgré le respect formel des conditions posées par le règlement (forme de la demande, identification du demandeur, délai, etc.), elle poursuivrait une finalité étrangère à l’objectif de transparence et de contrôle du traitement des données.

La notion de « demande excessive » n’est donc pas réservée aux hypothèses de répétition ou de volume excessif d’informations, mais peut englober des situations où l’excès tient à la finalité dévoyée de la demande.

Pour parvenir à cette conclusion, la CJUE mobilise implicitement la théorie générale de l’abus de droit en droit de l’Union, selon laquelle les justiciables ne peuvent se prévaloir des règles de l’Union pour des fins manifestement étrangères à leur objet et consistant à obtenir un avantage indu. Elle transpose ce raisonnement au champ du RGPD en considérant que l’exercice du droit d’accès, loin d’être neutre, doit s’inscrire dans la finalité poursuivie par le règlement, à savoir permettre à la personne concernée de prendre connaissance du traitement et d’en vérifier la licéité. Lorsque cette finalité est absente et que la demande est introduite « dans le seul but » de créer artificiellement les conditions d’une violation et d’en tirer un bénéfice indemnitaire, l’abus de droit est caractérisé.

La Cour prend soin d’encadrer strictement cette possibilité pour éviter toute banalisation de l’exception. Elle rappelle, dans le sillage de l’avis de l’avocat général Szpunar, que l’abus de droit doit être réservé à des « circonstances exceptionnelles », compte tenu de la nature fondamentale du droit d’accès. Le simple fait qu’une demande puisse potentiellement conduire à une action en réparation ne suffit pas à la qualifier d’abusive, dès lors que la mise en œuvre de la responsabilité prévue à l’article 82 RGPD est elle‑même un mécanisme légitime de sanction des violations. Le basculement dans l’abus suppose que la perspective indemnitaire devienne la finalité exclusive poursuivie par la personne concernée, au détriment de l’objectif de transparence et de contrôle du traitement.

B- L’identification d’une finalité détournée du droit d’accès

En second lieu, la Cour détaille les indices permettant de caractériser l’intention abusive du demandeur et de fonder, le cas échéant, le refus du responsable de traitement de donner suite à la demande. Elle indique tout d’abord que le caractère « excessif » de la demande doit être apprécié qualitativement, à la lumière des circonstances concrètes de l’espèce, et non sur le seul critère de la répétition ou du volume des données sollicitées.

Sont ainsi pertinents, notamment, le comportement antérieur du demandeur, les schémas récurrents de demandes d’accès suivies d’actions indemnitaires, le très court laps de temps entre l’inscription au service et la demande d’accès, ou encore l’existence de communications publiques décrivant une stratégie systématique de mise en cause des responsables de traitement.

La Cour admet que le responsable peut se fonder sur des informations librement accessibles, telles que des reportages, des articles de blog ou des bulletins d’avocats, pour démontrer l’existence d’une intention abusive, dès lors que ces éléments sont objectifs, fiables et concordants.

Dans l’affaire Brillen Rottler, ces différentes sources faisaient apparaître que TC avait, à plusieurs reprises, adopté le même schéma consistant à s’abonner à des newsletters, introduire rapidement une demande d’accès, puis réclamer une indemnisation pour violation prétendue du RGPD. La répétition de ce comportement, couplée à l’absence d’intérêt réel démontré pour la licéité du traitement et à la focalisation sur l’obtention d’une somme forfaitaire au titre d’un dommage moral, a conduit la Cour à considérer que la demande en cause poursuivait une finalité abusive.

La charge de la preuve de l’abus incombe toutefois au responsable de traitement, qui doit documenter l’analyse ayant conduit à qualifier la demande d’excessive et à refuser d’y donner suite. Il lui appartient, concrètement, de réunir des éléments démontrant que la demande ne vise pas à prendre connaissance du traitement ni à en vérifier la licéité, mais à créer artificiellement les conditions d’une violation ou à obtenir un avantage indu.

Le simple caractère « gênant » de la demande ou le fait qu’elle puisse entraîner une charge de travail importante ne suffit pas à caractériser l’abus, sauf à vider de sa substance le droit d’accès garanti par l’article 15 RGPD.

II – L’encadrement strict de l’abus et ses effets juridiques

A – Les exigences probatoires pesant sur le responsable de traitement

Si l’arrêt Brillen Rottler ouvre la voie à un refus de droit d’accès en présence d’un demandeur de mauvaise foi, il réaffirme tout aussi fermement la nature fondamentale du droit d’accès et l’exigence d’un contrôle de proportionnalité des limitations qui lui sont apportées. La Cour rappelle que le droit d’accès constitue le socle du contrôle exercé par la personne concernée sur ses données personnelles, en ce qu’il conditionne la capacité de cette dernière à vérifier la licéité du traitement, à en contester les éventuelles irrégularités et à exercer d’autres droits prévus par le RGPD. De ce point de vue, l’application de l’article 12, paragraphe 5, ne peut aboutir à neutraliser le droit d’accès ni à instaurer une présomption d’abus dès que la demande apparaît susceptible de déboucher sur un contentieux.

L’arrêt incite donc les responsables de traitement à mettre en place des procédures internes de gestion des demandes d’accès qui intègrent une analyse structurée de l’éventuel abus, tout en respectant un principe de faveur pour l’exercice du droit.

Concrètement, cela suppose de documenter systématiquement les demandes, d’identifier les indices objectifs pouvant laisser présumer une intention abusive et de conserver la trace de la motivation en cas de refus fondé sur l’article 12, paragraphe 5. Cette exigence de traçabilité est d’autant plus importante que le refus d’accès lui‑même peut faire l’objet d’un recours devant les autorités de contrôle ou les juridictions nationales, lesquelles devront vérifier la réalité de l’abus allégué au regard des critères dégagés par la CJUE.

Par ailleurs, l’arrêt Brillen Rottler coexiste avec une jurisprudence et des positions doctrinales qui, dans d’autres contextes, ont admis un usage large du droit d’accès, y compris à des fins probatoires, sans que cela soit pour autant assimilé à un détournement de finalité. La Cour ne remet nullement en cause la possibilité pour une personne concernée de se prévaloir de l’article 15 RGPD pour obtenir des informations susceptibles d’être utilisées dans un litige, par exemple en matière de relations de travail ou de consommation, dès lors que la demande s’inscrit dans la finalité de transparence et de contrôle du traitement. La frontière entre usage légitime et abusif ne se situe donc pas dans la seule perspective contentieuse, mais bien dans l’intention prédominante de créer artificiellement une situation contentieuse en l’absence de tout intérêt réel pour la protection des données.

B – Les conséquences sur le droit à réparation et la responsabilité

Enfin, l’arrêt du 19 mars 2026 emporte des conséquences importantes pour l’articulation entre le régime du droit d’accès et le droit à réparation prévu à l’article 82 RGPD. La Cour avait déjà eu l’occasion de préciser que le droit à réparation couvre les dommages matériels et moraux résultant d’une violation du RGPD, notamment en cas de perte de contrôle sur les données personnelles due à un traitement illicite ou à un manquement aux obligations de transparence. L’affaire Brillen Rottler se singularise en ce que le demandeur invoquait un dommage moral résultant non pas d’un traitement illicite, mais du refus opposé par le responsable à sa demande d’accès, en estimant que ce refus constituait en lui‑même une violation du RGPD ouvrant droit à indemnisation.

La Cour adopte une approche prudente et équilibrée. D’une part, elle confirme que la violation du droit d’accès peut, en principe, ouvrir droit à réparation au titre de l’article 82, y compris lorsque le dommage invoqué est un préjudice moral lié à la perte de contrôle sur les données ou à l’atteinte à la confiance dans la protection de celles‑ci.

D’autre part, elle souligne que le droit à réparation n’instaure pas un régime de responsabilité de plein droit : il appartient toujours au demandeur de démontrer la réalité du dommage subi et le lien de causalité avec la violation alléguée. La seule existence d’un refus irrégulier de donner suite à une demande d’accès ne suffit donc pas, en elle‑même, à justifier une indemnisation automatique, ce qui évite de transformer le RGPD en un mécanisme de pénalisation systématique de toute irrégularité formelle.

Dans l’hypothèse spécifique d’un demandeur de mauvaise foi, la Cour va plus loin en considérant que le comportement abusif de la personne concernée peut rompre le lien de causalité entre la violation éventuelle du RGPD et le dommage invoqué. Lorsque la demande d’accès est elle‑même abusive et poursuit exclusivement une finalité de captation d’une indemnité, le refus opposé par le responsable, même s’il devait s’avérer ultérieurement irrégulier, ne saurait être à l’origine d’un préjudice indemnisable, dès lors que la situation dommageable trouve sa source dans la stratégie contentieuse artificiellement créée par le demandeur. L’arrêt ouvre ainsi la voie, pour les juridictions nationales, à une prise en compte renforcée de la mauvaise foi du demandeur dans l’appréciation de la responsabilité civile du responsable de traitement.

Pour les responsables de traitement, la décision impose donc une double vigilance.

D’un côté, ils doivent être en mesure de justifier tout refus de droit d’accès par des éléments objectifs démontrant l’abus de droit, sous peine de voir ce refus qualifié de violation du RGPD et d’exposer l’organisme à un risque de sanction administrative ou judiciaire.

De l’autre, l’arrêt leur offre un outil pour se défendre contre des stratégies de contentieux systématiques, en articulant la qualification d’abus de droit et la rupture du lien de causalité dans le cadre des demandes indemnitaires fondées sur l’article 82. Cette articulation contribue à préserver la cohérence d’ensemble du RGPD : l’effectivité des droits des personnes concernées demeure garantie, tandis que la tentation de faire de ces droits un instrument de « contentieux d’aubaine » se trouve encadrée par un contrôle strict de la bonne foi du demandeur.

Pour lire une version plus complète de cet article sur le droit d’accès à ses données privées, cliquez

Sources

[1] [PDF] Judgment of the Court in Case C-526/24 Brillen Rottler – curia https://curia.europa.eu/site/upload/docs/application/pdf/2026-03/cp260038en.pdf
[2] CJUE, n° C-526_RES/24, Arrêt de la Cour, Brillen Rottler … https://www.doctrine.fr/d/CJUE/2026/CJUE62024CJ0526_RES
[3] CJUE : refus de droit d’accès au titre du RGPD pour le … https://lhermet.com/actualites/cjue-refus-de-droit-dacces-au-titre-du-rgpd-pour-le-demandeur-de-mauvaise-foi
[4] CJUE, n° C-526/24, Arrêt de la Cour, Brillen Rottler GmbH & Co. KG … https://www.doctrine.fr/d/CJUE/2026/CJUE62024CJ0526
[5] Can you reject a GDPR access request? Prove it! – Cranium https://www.cranium.eu/can-you-reject-a-gdpr-access-request-prove-it/
[6] Refusal to provide information upon initial request for access https://www.taylorwessing.com/fr/insights-and-events/insights/2025/09/refusal-to-provide-information-upon-initial-request-for-access
[7]CURIA https://infocuria.curia.europa.eu/tabs/tout?searchTerm=C+526%2F24&lang=fr&sort=ALL_DATES-DESC
[8] Le droit d’accès aux courriels professionnels à des fins probatoires https://www.village-justice.com/articles/droit-acces-aux-courriels-professionnels-des-fins-probatoires-reel-detournement,56418.html

Par internet-et-droit • Tags: , , , ,

Vol des voix d’artistes : comment le droit les protège à l’ère numérique ?

L’essor des technologies numériques a profondément transformé les modes de création, de production et de diffusion des œuvres artistiques.

NOUVEAU : Utilisez nos services pour faire retirer un contenu dénigrant ou de contrefaçon en passant par le formulaire et un avocat enverra une lettre de mise en demeure !

Parmi les mutations les plus marquantes de ces dernières années, le développement de l’intelligence artificielle générative occupe une place centrale. Capable de produire des textes, des images, des vidéos ou encore des contenus audio d’un réalisme saisissant, cette technologie bouleverse les repères traditionnels du droit et interroge les mécanismes classiques de protection des créateurs.

Dans ce contexte, le clonage vocal constitue une innovation particulièrement significative. Grâce à des techniques avancées d’apprentissage profond et de synthèse vocale, il est désormais possible de reproduire la voix d’un individu avec une fidélité remarquable, à partir de simples échantillons sonores. Des outils accessibles au grand public, tels que ElevenLabs, Resemble.AI ou Voicemod, permettent aujourd’hui de générer des contenus audio imitant parfaitement le timbre, l’intonation et le rythme d’une voix humaine. Ce qui relevait encore récemment de la science-fiction est ainsi devenu une pratique courante dans les secteurs de la création numérique, du divertissement et de la communication.

Si ces avancées technologiques offrent des perspectives inédites, notamment en matière de production artistique ou d’accessibilité, elles soulèvent également des enjeux juridiques majeurs. En effet, la voix constitue un attribut essentiel de la personnalité d’un individu. Pour les artistes en particulier, elle représente bien souvent un instrument de travail fondamental, mais également un élément déterminant de leur identité publique et de leur notoriété. Dès lors, la reproduction ou l’imitation non autorisée d’une voix est susceptible de porter atteinte à des intérêts multiples, qu’il s’agisse de la réputation, de l’image ou encore des droits économiques de l’artiste concerné.

Besoin de l’aide d’un avocat pour un problème de contrefaçon ?

Téléphonez – nous au : 01 43 37 75 63

ou contactez – nous en cliquant sur le lien

Les dérives liées à ces technologies se multiplient. Des contenus générés par intelligence artificielle imitant la voix de chanteurs ou d’acteurs célèbres circulent massivement sur internet, parfois dans un but humoristique, mais aussi à des fins commerciales ou de désinformation. Ces pratiques mettent en lumière un déséquilibre croissant entre la rapidité de l’innovation technologique et la capacité du droit à encadrer efficacement ces nouveaux usages.

Or, en l’état actuel du droit positif, la voix ne fait pas l’objet d’un régime juridique autonome clairement défini. Contrairement au nom ou à l’image, elle est appréhendée de manière indirecte à travers plusieurs branches du droit. Le droit civil permet d’agir sur le fondement des droits de la personnalité ou de la responsabilité civile. Le droit de la propriété intellectuelle offre également des outils, notamment à travers les droits voisins des artistes-interprètes. Par ailleurs, le droit pénal peut être mobilisé en cas d’usurpation d’identité ou de diffusion de contenus trompeurs.

À ces mécanismes traditionnels s’ajoute désormais le droit de la protection des données personnelles. Le Règlement général sur la protection des données (RGPD) introduit une approche renouvelée en considérant que la voix peut constituer une donnée personnelle, voire une donnée biométrique, bénéficiant à ce titre d’une protection renforcée. Cette qualification ouvre la voie à un régime particulièrement dissuasif, fondé sur des obligations strictes et des sanctions financières élevées. En outre, l’adoption récente du AI Act par l’Union européenne témoigne d’une volonté d’encadrer plus spécifiquement les systèmes d’intelligence artificielle, notamment en imposant des exigences de transparence et de gestion des risques.

Dans ce contexte, la question de la protection des artistes face au clonage vocal se pose avec une acuité particulière. Si plusieurs fondements juridiques peuvent être mobilisés, leur articulation et leur efficacité restent incertaines face à la complexité technique et à la diffusion massive des contenus numériques.

Dès lors, il convient de se demander : dans quelle mesure le droit positif permet-il de protéger efficacement les artistes contre l’appropriation numérique de leur voix par les technologies d’intelligence artificielle ?

I – Les mécanismes juridiques traditionnels de protection de la voix des artistes

L’utilisation non autorisée de la voix d’un artiste par des technologies d’intelligence artificielle peut être appréhendée par plusieurs branches du droit. Avant même de mobiliser le droit de la protection des données, les victimes disposent déjà d’un ensemble de fondements civils et pénaux permettant de lutter contre l’exploitation illicite de leur identité vocale. Ces mécanismes offrent des réponses complémentaires, tant en matière d’indemnisation que de sanction.

A – La mobilisation du droit civil et de la propriété intellectuelle

La voie civile constitue souvent le premier réflexe juridique pour un artiste victime de clonage vocal, notamment en raison de sa rapidité et de sa souplesse. Deux fondements principaux peuvent être mobilisés : la protection des droits de la personnalité et les droits voisins des artistes-interprètes.

  1. La protection de la voix au titre des droits de la personnalité

La voix d’une personne est largement reconnue comme un attribut de la personnalité, au même titre que le nom ou l’image. En droit français, cette protection s’appuie principalement sur l’article 9 du Code civil, qui garantit le respect de la vie privée.

La jurisprudence a progressivement admis que la reproduction ou l’imitation de la voix d’une personne sans son consentement pouvait constituer une atteinte à ses droits de la personnalité, notamment lorsque cette utilisation crée une confusion dans l’esprit du public ou porte atteinte à sa réputation.

Pour les artistes, la voix représente souvent un élément central de leur identité professionnelle. Dans ce contexte, l’utilisation d’une voix artificiellement générée imitant celle d’un chanteur ou d’un acteur peut constituer une atteinte directe à son identité artistique.

L’un des avantages majeurs de la voie civile réside dans la possibilité d’obtenir des mesures d’urgence en référé, permettant par exemple :

  • le retrait immédiat d’un contenu audio généré par IA
  • l’interdiction de diffusion d’un deepfake vocal
  • l’indemnisation du préjudice moral subi par l’artiste

Cette procédure rapide constitue un outil particulièrement efficace face à la viralité des contenus numériques.

  1. Les droits voisins des artistes-interprètes

Au-delà de la protection de la personnalité, les artistes disposent également d’un fondement solide dans le droit de la propriété intellectuelle, plus précisément dans les droits voisins du droit d’auteur.

Les artistes-interprètes bénéficient d’un droit exclusif sur l’exploitation de leurs prestations, consacré par l’article L.212-3 du Code de la propriété intellectuelle.

Cet article prévoit que toute fixation, reproduction ou communication au public d’une prestation d’un artiste-interprète nécessite son autorisation préalable.

La violation de ces droits peut être sanctionnée au titre de la contrefaçon, infraction prévue par l’article L.335-4 du Code de la propriété intellectuelle.

Dans le contexte du clonage vocal, plusieurs situations peuvent être envisagées :

  • l’entraînement d’un modèle d’IA sur des enregistrements vocaux d’un artiste
  • la génération d’une nouvelle prestation imitant sa voix
  • la diffusion commerciale d’un contenu reproduisant artificiellement ses caractéristiques vocales

La question de l’entraînement des modèles d’IA est devenue particulièrement sensible dans le secteur musical. Des organisations représentant les artistes, telles que la ADAMI, ont récemment exercé leur droit d’opt-out afin de s’opposer à l’exploitation de leurs catalogues pour l’entraînement de systèmes d’intelligence artificielle.

Dans ce contexte, l’utilisation non autorisée de ces contenus pourrait renforcer la qualification de contrefaçon, offrant ainsi un fondement juridique particulièrement solide aux artistes.

B – Les réponses apportées par le droit pénal

Si la voie civile permet d’obtenir réparation du préjudice subi, certaines situations de clonage vocal peuvent également relever du droit pénal, notamment lorsque l’utilisation de la voix artificielle vise à tromper le public ou à nuire à la personne imitée.

  1. L’usurpation d’identité

Le premier fondement pénal mobilisable est celui de l’usurpation d’identité, prévu par l’article 226-4-1 du Code pénal.

Cette infraction sanctionne le fait d’utiliser les données d’identification d’une personne afin de troubler sa tranquillité ou de porter atteinte à son honneur ou à sa considération.

Dans le cas du clonage vocal, l’utilisation d’une voix artificielle reproduisant celle d’un artiste peut contribuer à créer une confusion quant à l’origine d’un message ou d’un contenu audio. Cette confusion peut être particulièrement grave lorsque le contenu diffusé véhicule des propos que l’artiste n’a jamais tenus.

  1. La nouvelle infraction de deepfake issue de la loi SREN

Face à l’essor des technologies de manipulation numérique, le législateur français a récemment renforcé l’arsenal juridique avec la loi du 21 mai 2024 visant à sécuriser et réguler l’espace numérique, souvent appelée loi SREN.

Cette loi a introduit une nouvelle infraction visant spécifiquement les contenus manipulés ou deepfakes, codifiée à l’article 226-8-1 du Code pénal.

Cette disposition sanctionne la diffusion de contenus audiovisuels manipulés lorsqu’ils sont susceptibles d’induire le public en erreur sur la réalité des propos ou des actions attribuées à une personne.

Les sanctions prévues peuvent atteindre :

  • 3 ans d’emprisonnement
  • 75 000 euros d’amende

Dans le cas d’un clonage vocal imitant un artiste, cette infraction pourrait être caractérisée lorsque le contenu généré est présenté comme authentique ou susceptible de tromper les auditeurs.

Au-delà des sanctions pénales, cette voie présente également un effet médiatique important, susceptible de dissuader certaines pratiques dans l’industrie technologique.

II – Le renouvellement de la protection par le droit des données personnelles

Si les voies civiles et pénales offrent déjà des moyens d’action significatifs, le droit de la protection des données personnelles pourrait constituer l’outil le plus redoutable pour lutter contre le clonage vocal, en raison de la portée extraterritoriale du règlement et de l’ampleur des sanctions financières prévues.

A – La reconnaissance de la voix comme donnée personnelle et biométrique

Le Règlement général sur la protection des données définit les données personnelles comme toute information se rapportant à une personne physique identifiée ou identifiable.

La voix peut clairement entrer dans cette définition dès lors qu’elle permet d’identifier un individu.

Plus encore, dans le cadre des technologies d’intelligence artificielle, les systèmes de clonage vocal reposent généralement sur l’analyse biométrique des caractéristiques vocales d’une personne : timbre, rythme, fréquence, intonation.

Dans ces conditions, la voix peut être qualifiée de donnée biométrique, catégorie bénéficiant d’une protection renforcée en vertu de l’article 9 du RGPD, qui interdit en principe le traitement de ces données sauf exceptions strictes.

L’utilisation de données vocales pour entraîner des modèles d’intelligence artificielle pourrait donc constituer un traitement de données biométriques nécessitant un consentement explicite de la personne concernée.

Le RGPD prévoit également la possibilité pour les organisations représentant les personnes concernées d’exercer des actions collectives. L’article 80 du RGPD permet notamment à des associations ou organismes de défense des droits numériques d’agir au nom des victimes.

B – Un régime de sanctions dissuasif renforcé par le AI Act

Le véritable pouvoir dissuasif du RGPD réside dans son régime de sanctions.

Les autorités de contrôle, telles que la Commission nationale de l’informatique et des libertés, disposent du pouvoir d’infliger des amendes administratives extrêmement élevées en cas de violation du règlement.

Selon l’article 83 du RGPD, ces sanctions peuvent atteindre :

  • 20 millions d’euros, ou
  • 4 % du chiffre d’affaires annuel mondial de l’entreprise concernée.

Ces montants sont particulièrement significatifs pour les entreprises technologiques développant des systèmes d’intelligence artificielle à grande échelle.

En outre, le RGPD reconnaît aux personnes concernées un droit à réparation en cas de dommage causé par un traitement illicite de leurs données personnelles. L’article 82 du RGPD prévoit ainsi que toute personne ayant subi un préjudice matériel ou moral peut obtenir réparation auprès du responsable du traitement.

Ce mécanisme ouvre la voie à des actions en responsabilité potentiellement très coûteuses pour les entreprises exploitant des technologies de clonage vocal sans base légale valable.

Dans cette perspective, le RGPD apparaît comme le levier juridique le plus dissuasif financièrement, susceptible de contraindre les acteurs de l’intelligence artificielle à adopter des pratiques plus respectueuses des droits des artistes.

Pour lire une version plus complète de cet article sur la protection des voix d’artistes, cliquez

Sources :

  1. Free AI Voice Generator & Voice Agents Platform | ElevenLabs
  2. Générateur de voix par IA et détection de deepfake pour les entreprises | Ressemblez à l’IA
  3. Changeur de voix en temps réel gratuit pour PC et Mac | Voicemod
  4. Entrée en vigueur du règlement européen sur l’IA : les premières questions-réponses de la CNIL | CNIL
  5. Article 9 – Code civil – Légifrance
  6. Section 1 : Dispositions communes (Articles L212-1 à L212-3-10) – Légifrance
  7. Chapitre V : Dispositions pénales (Articles L335-1 à L335-9) – Légifrance
  8. Article 226-4-1 – Code pénal – Légifrance
  9. Section 2 : De l’atteinte à la représentation de la personne (Articles 226-8 à 226-9) – Légifrance
  10. Réglementation – 2016/679 – EN – PIB – EUR-Lex

 

Par internet-et-droit • Tags: , , , , , , ,

Défis juridiques et pratiques concernant la protection des jeunes sur internet

À l’ère numérique, où les frontières entre le monde virtuel et la réalité physique s’estompent, la question de la protection des jeunes sur Internet prend une dimension cruciale.
NOUVEAU : Utilisez nos services pour faire retirer un contenu dénigrant ou de contrefaçon en passant par le formulaire !

Les nouvelles technologies, en facilitant l’accès à une multitude d’informations et d’interactions, ont également engendré une série de défis inédits, notamment pour les plus jeunes, qui naviguent souvent dans cet environnement complexe sans une pleine compréhension des risques encourus.

Les enfants et adolescents, en tant qu’utilisateurs de ces plateformes, se retrouvent face à un océan d’opportunités, mais aussi à des dangers latents, allant des contenus inappropriés à l’interaction avec des individus malintentionnés. Dans ce contexte, il est impératif d’explorer les mécanismes juridiques et pratiques mis en place pour assurer la sécurité de ces jeunes internautes. Le cadre légal de la protection des mineurs sur Internet est à la fois vaste et nuancé, intégrant des lois nationales et internationales qui cherchent à établir un équilibre entre la protection des données personnelles des jeunes et leur droit à l’accès à l’information.

Besoin de l’aide d’un avocat pour un problème de contrefaçon ?

Téléphonez – nous au : 01 43 37 75 63

ou contactez – nous en cliquant sur le lien

Face à cette réalité, il devient impératif d’examiner les dispositifs juridiques et pratiques qui visent à protéger ces jeunes internautes. Le cadre juridique de la protection des mineurs sur Internet se révèle à la fois riche et complexe. Il est fondamental de comprendre quelles sont les prérogatives des parents et des enfants concernant la gestion de leurs données personnelles. Par exemple, le Règlement Général sur la Protection des Données (RGPD) institue des règles strictes quant au traitement des données des mineurs, disposant que le consentement parental est requis pour les enfants de moins de 16 ans. Cette disposition souligne l’importance d’un encadrement légal qui vise à garantir la sécurité des jeunes en ligne tout en respectant leur droit à la vie privée.

Les parents, en tant que premiers gardiens de la sécurité de leurs enfants, se trouvent souvent dans une position délicate. Ils doivent jongler entre le besoin de surveiller les activités en ligne de leurs enfants et le respect de leur indépendance. Dans ce cadre, la Commission Nationale de l’Informatique et des Libertés (CNIL) a élaboré un ensemble de recommandations visant à fournir aux parents des outils et des stratégies pour mieux protéger leurs enfants. Ces recommandations englobent une approche éducative, promouvant des pratiques responsables et éclairées en matière d’utilisation d’Internet. Par exemple, l’utilisation de logiciels de contrôle parental se présente comme une solution efficace pour limiter l’accès à des contenus inappropriés. Cependant, il est essentiel que ces outils soient accompagnés d’une sensibilisation accrue des jeunes à la gestion de leur identité numérique et à l’importance de leur sécurité en ligne. Toutefois, malgré ces efforts, un défi majeur persiste : le contrôle de l’âge sur Internet.

Les méthodes actuelles de vérification de l’âge des utilisateurs se révèlent souvent inadéquates, et les plateformes numériques ont la responsabilité de garantir que les jeunes utilisateurs ne soient pas exposés à des contenus inappropriés. La question se pose alors : comment renforcer ces dispositifs de contrôle tout en préservant la vie privée des utilisateurs ? Cette interrogation met en lumière la nécessité d’adopter des solutions innovantes et harmonisées pour protéger efficacement les mineurs dans un environnement numérique en constante évolution. Dans cette étude, nous nous proposons d’explorer en profondeur le cadre juridique de la protection des mineurs sur Internet, en analysant les droits et obligations des parents et des enfants concernant la gestion de leurs données personnelles.

Nous examinerons également les recommandations de la CNIL, en mettant en avant les pratiques proposées pour garantir la sécurité des jeunes internautes. Enfin, nous aborderons les outils et défis associés au contrôle de l’âge sur Internet, dans le but de dégager des pistes de réflexion pour améliorer la protection des mineurs dans le cyberespace. Cette démarche analytique se veut également constructive, visant à concilier protection juridique et responsabilisation individuelle, afin d’assurer un avenir numérique plus sûr pour les générations futures.

I. Le cadre juridique de la protection des mineurs sur Internet

A. Les droits et responsabilités des parents et des enfants en matière de données personnelles

  1. Règlementation sur le traitement des données des mineurs (RGPD)

Le Règlement Général sur la Protection des Données (RGPD), qui est entré en vigueur en mai 2018, représente une avancée significative dans la protection des données personnelles au sein de l’Union Européenne. Ce règlement vise à répondre à la montée des préoccupations concernant la vie privée des utilisateurs, en particulier celle des mineurs, qui sont souvent plus vulnérables aux abus en ligne. En vertu du RGPD, il est clairement écrit que le traitement des données personnelles des individus de moins de 16 ans nécessite le consentement explicite d’un parent ou d’un tuteur légal.

Ce cadre juridique souligne l’importance de la responsabilité parentale dans la protection des jeunes internautes, qui, pour leur part, doivent être accompagnés dans la compréhension des enjeux liés à leurs données. Le RGPD impose aux entreprises de respecter plusieurs principes fondamentaux lors du traitement des données des mineurs. Parmi eux, l’exigence de transparence est primordiale. Les entreprises doivent fournir des informations claires et compréhensibles concernant le traitement des données, notamment en expliquant les finalités pour lesquelles les données sont collectées, la durée de leur conservation, ainsi que les droits dont disposent les utilisateurs.

Ce dernier point est essentiel, car il permet aux mineurs et à leurs parents de comprendre comment leurs informations peuvent être utilisées et de revendiquer leurs droits, tels que le droit d’accès, de rectification et d’effacement des données. En cas de non-respect de ces exigences, les entreprises peuvent se voir infliger des sanctions financières importantes, soulignant ainsi la gravité des enjeux liés à la protection des données.

En outre, le RGPD impose aux entreprises de mettre en œuvre des mesures de sécurité appropriées pour protéger les données des mineurs. Cela inclut des protocoles techniques et organisationnels destinés à prévenir l’accès non autorisé, la divulgation ou la perte de données. Par exemple, les entreprises doivent s’assurer que les informations sensibles sont cryptées et que seules les personnes autorisées peuvent y accéder. Ce cadre juridique vise à établir un environnement numérique plus sûr pour les jeunes utilisateurs, tout en responsabilisant les entreprises quant à la gestion de leurs données.

  1. Rôle des parents dans la gestion des données et la surveillance des activités en ligne

Les parents jouent un rôle central dans la protection de leurs enfants sur Internet. Ils sont non seulement responsables de donner leur consentement pour le traitement des données, mais ils doivent également veiller à ce que les plateformes et services en ligne respectent les droits de leurs enfants. Cela nécessite une vigilance constante et une implication active dans les activités en ligne des jeunes.

Les parents doivent être proactifs dans l’éducation de leurs enfants sur l’utilisation sécurisée d’Internet. Cela implique de les sensibiliser aux dangers potentiels, tels que le partage excessif d’informations personnelles, les interactions avec des inconnus, ou encore les risques associés aux contenus inappropriés. Il est également crucial que les parents comprennent les plateformes et les applications que leurs enfants utilisent. Cela leur permet de discuter des risques associés avec leurs enfants et de les aider à développer un sens critique face aux contenus qu’ils rencontrent. Par exemple, des discussions sur la nature des réseaux sociaux, les implications de la publication de photos ou de vidéos en ligne, et les dangers du cyberharcèlement peuvent fournir aux enfants les outils nécessaires pour naviguer en toute sécurité sur Internet.

Les parents sont encouragés à utiliser des outils de contrôle parental pour surveiller les activités en ligne de leurs enfants. Ces outils peuvent inclure des filtres de contenu, des limites de temps d’écran, et des fonctionnalités de suivi des activités. Par exemple, les logiciels de contrôle parental permettent aux parents de bloquer l’accès à certains sites web, d’établir des horaires d’utilisation d’Internet, et de recevoir des rapports sur les activités en ligne de leurs enfants. Toutefois, il est essentiel que l’utilisation de ces outils soit accompagnée d’un dialogue ouvert entre parents et enfants. Une approche basée sur la confiance et la communication est plus efficace que la simple surveillance, car elle encourage les jeunes à partager leurs préoccupations et à poser des questions sur leur sécurité en ligne.

B. Les enjeux de la vie privée et de l’autonomie des mineurs

  1. Droit à la vie privée des mineurs

Le droit à la vie privée est un principe fondamental qui doit être respecté, même dans le contexte de la protection des mineurs en ligne. Bien que les parents aient la responsabilité de protéger leurs enfants, il est également crucial de respecter leur vie privée et leur autonomie. Les mineurs, en grandissant, cherchent à développer leur identité et à affirmer leur indépendance. Cela inclut leur capacité à gérer leurs informations personnelles et à naviguer dans le monde numérique de manière autonome. Le RGPD reconnaît ce droit à la vie privée, mais il est nécessaire que les parents et les tuteurs équilibrent leur rôle protecteur avec le respect des souhaits et des besoins de leurs enfants. L’un des défis majeurs réside dans la manière dont les parents peuvent surveiller les activités en ligne de leurs enfants sans empiéter sur leur vie privée. Il est essentiel que les parents expliquent à leurs enfants pourquoi certaines mesures de protection sont mises en place et comment cela vise à garantir leur sécurité. Cela permet aux enfants de comprendre que la surveillance n’est pas une forme de contrôle, mais plutôt un moyen de les aider à évoluer dans un environnement numérique sûr.

  1. Autonomie des mineurs et consentement

Le concept d’autonomie est particulièrement pertinent lorsqu’il s’agit du consentement donné pour le traitement des données personnelles. Le RGPD stipule que les mineurs de moins de 16 ans ne peuvent pas donner leur consentement sans l’accord d’un parent ou d’un tuteur. Cependant, les jeunes de plus de 16 ans ont la capacité de consentir eux-mêmes à la collecte et au traitement de leurs données. Cela soulève des questions sur la manière dont les parents peuvent guider leurs adolescents vers une utilisation responsable des services en ligne tout en respectant leur désir d’autonomie. Il est important que les parents engagent des discussions ouvertes sur la gestion de leurs données personnelles, les plateformes qu’ils utilisent, ainsi que les implications de leur utilisation.

En encourageant les adolescents à poser des questions et à exprimer leurs préoccupations, les parents peuvent les aider à prendre des décisions éclairées concernant leur vie privée en ligne. Ce dialogue est fondamental pour développer un sens critique chez les jeunes et les préparer à naviguer dans un monde numérique complexe. En somme, le cadre juridique de la protection des mineurs sur Internet, notamment à travers le RGPD, met en lumière les droits et responsabilités des parents et des enfants en matière de données personnelles. Il est essentiel que les parents jouent un rôle actif et informé, tout en respectant la vie privée et l’autonomie de leurs enfants. Une approche équilibrée, fondée sur la communication et la confiance, est nécessaire pour garantir la sécurité des jeunes internautes dans un environnement numérique en constante évolution.

II. Pratiques et recommandations de la CNIL pour la sécurité des jeunes internautes

A. Les recommandations de la CNIL

  1. Éducation à l’usage responsable d’Internet

La Commission Nationale de l’Informatique et des Libertés (CNIL) souligne l’importance d’une éducation solide à l’usage responsable d’Internet pour les jeunes. Cela commence par la sensibilisation des enfants et des adolescents aux enjeux de la vie privée et à la protection de leurs données personnelles. Les parents, les éducateurs et les autorités scolaires doivent travailler ensemble pour intégrer des programmes d’éducation numérique dans les curricula scolaires. Ces programmes devraient inclure des sujets tels que :

– Les droits des utilisateurs : Informer les jeunes de leurs droits en matière de données personnelles, comme le droit d’accès, de rectification, et d’effacement de leurs données. Cela les aide à comprendre que le contrôle de leurs informations personnelles est essentiel.

– Les risques en ligne : Expliquer les dangers potentiels associés à l’utilisation d’Internet, tels que le cyberharcèlement, l’usurpation d’identité, et les contenus inappropriés. Les jeunes doivent être capables d’identifier ces risques et de savoir comment réagir.

– La gestion de l’image en ligne : Enseigner aux jeunes comment gérer leur empreinte numérique, en leur montrant l’importance de réfléchir avant de partager des informations personnelles ou des photos sur les réseaux sociaux. Cela inclut également la sensibilisation à la notion de « réputation numérique » et à la manière dont leurs actions en ligne peuvent avoir des conséquences à long terme.

– Les comportements responsables : Promouvoir des comportements éthiques en ligne, encourager les jeunes à respecter les autres, à ne pas diffuser de fausses informations, et à signaler tout comportement inapproprié qu’ils pourraient rencontrer. L’éducation à l’usage responsable d’Internet est un processus continu. Les jeunes doivent être encouragés à poser des questions et à discuter ouvertement de leurs expériences en ligne. Cela crée un environnement de confiance où ils se sentent à l’aise de partager leurs préoccupations avec les adultes.

  1. Outils de contrôle parental et dispositifs de sécurité

La CNIL recommande également l’utilisation d’outils de contrôle parental et de dispositifs de sécurité pour aider à protéger les jeunes internautes. Ces outils permettent aux parents de surveiller et de limiter l’accès de leurs enfants à certains contenus en ligne. Parmi les recommandations spécifiques figurent :

– Installation de logiciels de contrôle parental : Les parents devraient envisager d’installer des logiciels qui permettent de filtrer les contenus inappropriés, de limiter le temps d’écran, et de surveiller les activités en ligne. Ces outils peuvent également bloquer l’accès à des sites web ou des applications jugés non adaptés à l’âge de l’utilisateur.

– Paramétrage des paramètres de confidentialité : La CNIL encourage les parents à aider leurs enfants à configurer les paramètres de confidentialité de leurs comptes sur les réseaux sociaux et autres plateformes en ligne. Cela inclut la gestion des informations visibles par le public et le contrôle des demandes d’amis.

– Établissement de règles claires : Les parents devraient établir des règles concernant l’utilisation d’Internet, y compris les horaires d’utilisation, les types de contenus autorisés, et les comportements attendus en ligne. Ces règles doivent être discutées avec les enfants pour qu’ils comprennent leur importance.

– Encouragement au dialogue : Il est crucial que les parents encouragent un dialogue ouvert sur l’utilisation d’Internet. Les enfants doivent se sentir libres de discuter de leurs expériences en ligne, des contenus qu’ils rencontrent et des interactions qu’ils ont sur les réseaux sociaux. Cela permet aux parents de mieux comprendre le monde numérique dans lequel évoluent leurs enfants et de les orienter en conséquence.

B. Les défis associés au contrôle de l’âge sur Internet

  1. Difficultés rencontrées dans la vérification de l’âge des utilisateurs

La vérification de l’âge des utilisateurs sur Internet est un défi majeur pour garantir la protection des mineurs. De nombreuses plateformes en ligne requièrent des informations d’âge pour restreindre l’accès à certains contenus, mais la mise en œuvre efficace de ces contrôles est complexe. Parmi les principales difficultés rencontrées, on peut citer :

– L’absence de mécanismes fiables : Beaucoup de mécanismes de vérification d’âge sont basés sur l’honnêteté des utilisateurs, ce qui pose un problème. Les jeunes peuvent facilement falsifier leur date de naissance pour accéder à des contenus pour adultes ou à des plateformes inappropriées. Cela montre la nécessité de développer des systèmes plus robustes et fiables.

– La protection de la vie privée : Les méthodes de vérification de l’âge peuvent entraîner des préoccupations en matière de protection de la vie privée. Les solutions qui exigent des informations personnelles, telles que l’identité ou des documents d’identité, peuvent dissuader les utilisateurs de fournir les données nécessaires, surtout si ces informations sont sensibles. Les plateformes doivent donc trouver un équilibre entre la vérification de l’âge et la protection de la vie privée des utilisateurs, en évitant de collecter des données excessives ou inutiles.

– Les inégalités d’accès à la technologie : La capacité des jeunes à accéder à des outils de vérification d’âge varie selon les régions et les contextes socio-économiques. Dans certains cas, les enfants peuvent utiliser des dispositifs ou des réseaux qui ne sont pas soumis à des contrôles stricts, ce qui complique davantage la tâche des parents et des éducateurs.

– Les technologies en constante évolution : Les plateformes évoluent rapidement et adoptent de nouvelles technologies, rendant difficile la mise en place de systèmes de vérification d’âge cohérents. Les professionnels et les décideurs doivent rester vigilants face à ces évolutions pour adapter les réglementations et les recommandations en conséquence.

  1. Perspectives d’évolution des outils de contrôle et de protection

Face aux défis liés à la vérification de l’âge, plusieurs perspectives d’évolution des outils de contrôle et de protection des mineurs sur Internet se dessinent :

– Développement de technologies de vérification d’âge plus sécurisées : Les entreprises technologiques sont en train d’explorer des solutions innovantes pour la vérification d’âge qui respectent la vie privée des utilisateurs. Des approches telles que la vérification biométrique, qui utilise des caractéristiques physiques (comme les empreintes digitales ou la reconnaissance faciale), pourraient fournir des solutions plus sécurisées. Cependant, ces technologies soulèvent également des questions éthiques et de confidentialité qui doivent être prises en compte.

– Collaboration entre acteurs privés et publics : La coopération entre les gouvernements, les entreprises technologiques et les organisations de la société civile est essentielle pour développer des normes et des pratiques efficaces en matière de protection des mineurs en ligne. Des initiatives conjointes pourraient conduire à l’élaboration de protocoles de vérification d’âge standardisés et à la création d’un cadre réglementaire qui protège les jeunes tout en respectant les droits des utilisateurs.

– Promotion d’une culture numérique responsable : En parallèle des outils technologiques, il est crucial de promouvoir une culture numérique responsable. Cela implique d’éduquer les jeunes sur les enjeux de la sécurité en ligne et de leur donner les moyens de naviguer de manière autonome et informée. Les campagnes de sensibilisation peuvent jouer un rôle clé en informant les jeunes sur les dangers potentiels et en les incitant à adopter des comportements sûrs.

– Renforcement de la législation : Les législateurs doivent envisager des lois qui obligent les plateformes à mettre en place des mesures de protection spécifiques pour les mineurs. Cela peut inclure des exigences concernant la vérification d’âge, la gestion des données personnelles et la création de mécanismes de signalement pour les contenus inappropriés.

Une réglementation claire et adaptée peut aider à créer un environnement plus sûr pour les jeunes internautes.

–  Évaluation continue des pratiques : Les outils et les pratiques de protection doivent être régulièrement évalués pour s’assurer qu’ils restent efficaces face à l’évolution des technologies et des comportements en ligne. Cela nécessite une recherche continue et des mises à jour des recommandations basées sur les meilleures pratiques et les enseignements tirés des expériences passées.

Pour lire une version plus complète de cet article sur la protection des mineurs sur internet, cliquez

Sources :

  1. Conformité RGPD : comment recueillir le consentement des personnes ? | CNIL
  2. Les droits des personnes sur leurs données | CNIL
  3. Loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique (1). – Légifrance
  4. Recommandation 5 : promouvoir des outils de contrôle parental respectueux de la vie privée et de l’intérêt de l’enfant | CNIL
  5. Article 227-24 – Code pénal – Légifrance

Par internet-et-droit, Newsletter • Tags: , ,

Article 26 du règlement Européen l’Intelligence Artificielle : pas de référent (Délégué à l’Intelligence Artificielle) expressément désigné dans une entreprise

L’encadrement juridique de l’intelligence artificielle (IA) au sein de l’Union européenne, est matérialisé par le Règlement sur l’Intelligence Artificielle (RIA). Ce cadre réglementaire, qui sera progressivement appliqué entre 2025 et 2027, vise à établir des normes claires afin de protéger les droits des individus tout en favorisant l’innovation technologique.
NOUVEAU : Utilisez nos services pour faire retirer un contenu dénigrant ou de contrefaçon en passant par le formulaire et un avocat enverra une lettre de mise en demeure !

L’article 26 de ce règlement, relatif aux obligations de conformité pour les fournisseurs et utilisateurs de systèmes d’IA à haut risque, cristallise une ambiguïté notable : l’absence d’une exigence explicite de désignation d’un référent interne dédié à l’IA, analogue au délégué à la protection des données (DPD) prévu par le Règlement général sur la protection des données (RGPD).

Il convient de rappeler que le RGPD impose, dans son article 37, la désignation d’un Délégué à la Protection des Données (DPD) pour les organismes qui traitent des données à caractère personnel, et ce, dans des conditions bien définies. Le DPD, en tant que référent interne, assume un rôle central en matière de conformité, de conseil et de sensibilisation, garantissant ainsi que les pratiques de traitement des données respectent les droits des personnes concernées. Cette structure de gouvernance, par son caractère obligatoire, a permis d’établir un cadre clair de responsabilité et de transparence au sein des entreprises, renforçant la confiance des consommateurs et des partenaires d’affaires.

Besoin de l’aide d’un avocat pour un problème de rgpd et d’IA ?

Téléphonez – nous au : 01 43 37 75 63

ou contactez – nous en cliquant sur le lien

Cette omission, loin d’être anodine, soulève des interrogations quant à l’effectivité des mécanismes de gouvernance et de conformité au sein des entreprises, ainsi que sur les risques juridiques encourus en cas de manquement aux obligations substantielles imposées par le législateur européen. En premier lieu, il convient de rappeler que le RIA, inspiré par une logique de *risk-based approach*, impose des obligations proportionnées au niveau de risque associé à chaque système d’IA. Les systèmes classés comme « à haut risque » (annexe III du RIA), tels que ceux utilisés dans le recrutement, l’éducation, ou la gestion des infrastructures critiques, sont soumis à un corpus exigeant de règles préalables à leur mise sur le marché (ex. : documentation technique, systèmes de gestion des risques, conformité aux exigences éthiques).

L’article 26, en particulier, prévoit que les fournisseurs et utilisateurs de ces systèmes doivent garantir la surveillance continue de leur conformité tout au long de leur cycle de vie. Toutefois, contrairement au RGPD, qui impose expressément la désignation d’un DPD sous certaines conditions (article 37 RGPD), le RIA ne prescrit pas de manière impérative la nomination d’un « délégué à l’intelligence artificielle ».

Cette absence de formalisation d’un référent dédié pourrait être interprétée comme une flexibilité laissée aux opérateurs économiques pour organiser leur conformité selon des modalités adaptées à leur structure. Néanmoins, elle suscite des craintes quant à la fragmentation des pratiques et à l’émergence de lacunes dans la traçabilité des décisions algorithmiques. Par exemple, une entreprise exploitant un système d’IA à haut risque dans le domaine de la santé, tel qu’un outil de diagnostic médical automatisé, pourrait se contenter de répartir les responsabilités de conformité entre plusieurs services (juridique, technique, qualité), sans qu’un acteur unique ne coordonne l’ensemble des diligences requises par le RIA (ex. : audits, documentation des biais algorithmiques, signalement des incidents).

Une telle approche, bien que potentiellement conforme *in abstracto* à l’article 26, risquerait de compromettre la cohérence des processus de conformité, augmentant ainsi les risques de contentieux liés à la responsabilité civile ou administrative. En outre, cette lacune normative contraste avec les orientations jurisprudentielles et doctrinales récentes, qui soulignent l’importance de mécanismes de gouvernance internalisés pour les technologies disruptives. À titre d’illustration, la Cour de justice de l’Union européenne (CJUE), dans l’arrêt *Wirtschaftsakademie Schleswig-Holstein* (C‑210/16), a rappelé l’importance d’une responsabilisation effective des acteurs dans le cadre du RGPD, en insistant sur la nécessité d’une supervision indépendante et spécialisée. Transposé au domaine de l’IA, ce raisonnement militerait pour la désignation proactive d’un référent compétent, même en l’absence d’obligation légale explicite. Enfin, l’article 26 doit être analysé à l’aune des sanctions prévues par le RIA en cas de non-conformité (articles 71 et 72), qui prévoient des amendes pouvant atteindre 7 % du chiffre d’affaires annuel mondial d’une entreprise.

Dans ce contexte, l’absence de référent désigné pourrait être invoquée par les autorités de surveillance, telles que le Conseil européen de l’Intelligence artificielle, comme un indice de négligence systémique, notamment si l’entreprise ne peut démontrer la mise en place de procédures alternatives robustes.

Par exemple, une banque utilisant un système d’IA pour l’octroi de crédits, et ne disposant pas de mécanismes clairs pour documenter les décisions algorithmiques (cf. article 14 RIA sur la transparence), s’exposerait à des sanctions aggravées en cas de discrimination avérée, faute d’avoir internalisé les compétences nécessaires via un référent identifié.

Ainsi, l’article 26 du RIA, en ne prescrivant pas de modèle unique de gouvernance, reflète une volonté de neutralité technologique et d’adaptabilité aux spécificités sectorielles. Cependant, cette approche laisse persister un risque de dilution des responsabilités, potentiellement préjudiciable à la sécurité juridique des entreprises comme à la protection des droits des personnes.

L’articulation entre flexibilité organisationnelle et exigences de conformité strictes constituera, sans nul doute, un enjeu majeur dans l’interprétation future de cette disposition par les régulateurs nationaux et les juridictions.

I. Introduction au Règlement Européen sur l’Intelligence Artificielle (RIA)

A. Contexte et objectifs du RIA

Le Règlement Européen sur l’Intelligence Artificielle (RIA), dont l’article 26 a été adopté le 13 juin 2024 et qui sera progressivement appliqué entre 2025 et 2027, représente une réponse institutionnelle à la montée en puissance de l’IA dans divers domaines. À l’heure actuelle, l’IA est omniprésente dans notre vie quotidienne, notamment à travers des applications telles que les assistants virtuels, les recommandations de contenu sur les plateformes de streaming, les systèmes de surveillance, et même les diagnostics médicaux.

Cependant, cette évolution rapide soulève des préoccupations majeures : comment garantir que ces technologies soient développées et utilisées de manière éthique et responsable ? Comment protéger les droits des individus face à des systèmes qui peuvent prendre des décisions autonomes et potentiellement biaisées ?

Ces questions sont d’autant plus pertinentes dans un contexte où des incidents liés à l’IA ont mis en lumière des problèmes tels que la discrimination algorithmique, les atteintes à la vie privée et l’opacité des algorithmes. Les systèmes d’IA peuvent reproduire et amplifier des biais existants dans les données sur lesquelles ils sont formés. Par exemple, des études ont montré que certains systèmes de reconnaissance faciale sont moins précis pour les personnes de couleur et les femmes, soulevant des préoccupations quant à leur utilisation par les forces de l’ordre.

De même, des algorithmes de recrutement peuvent discriminer certains groupes en raison de biais présents dans les données historiques. Le RIA vise à établir un cadre juridique qui garantit non seulement l’innovation dans le domaine de l’IA, mais aussi la protection des droits fondamentaux des citoyens. L’un des objectifs clés du règlement est de créer un environnement réglementaire harmonisé qui favorise l’innovation tout en garantissant la sécurité et le respect des droits individuels. Cela implique la mise en place d’exigences strictes pour les systèmes d’IA à haut risque, qui peuvent avoir des conséquences directes sur la vie des individus, comme dans le domaine de la santé ou de la justice.

Le règlement impose ainsi des obligations de transparence, de traçabilité, et de responsabilité aux développeurs et utilisateurs de ces technologies. En outre, le RIA intègre des principes éthiques, tels que le respect de la dignité humaine et le non-discrimination. Il cherche à promouvoir une IA qui soit non seulement efficace, mais aussi équitable et respectueuse des valeurs fondamentales de l’Union Européenne. Cela ouvre la voie à un cadre où l’innovation technologique et l’éthique ne sont pas en opposition, mais vont de pair pour construire un avenir numérique qui bénéficie à tous.

B. Importance de la régulation de l’intelligence artificielle

La nécessité de réguler l’intelligence artificielle découle de plusieurs facteurs interconnectés. Premièrement, l’IA, en tant que technologie émergente, présente des risques inhérents qui doivent être gérés de manière proactive. Les systèmes d’IA peuvent prendre des décisions qui affectent directement la vie des individus, notamment dans des domaines sensibles tels que la santé, l’emploi et la justice. Par conséquent, il est crucial de s’assurer que ces systèmes soient conçus pour respecter les droits des utilisateurs et pour éviter les préjugés et les discriminations. Le RIA permet de mettre en place des garde-fous pour minimiser ces risques, en imposant des exigences strictes aux systèmes d’IA à haut risque.

Deuxièmement, la régulation de l’IA est essentielle pour établir une confiance entre les utilisateurs et les fournisseurs de technologies. Les consommateurs, les citoyens et les parties prenantes sont de plus en plus préoccupés par les implications de l’IA sur leur vie quotidienne. En instaurant des normes claires et contraignantes, le RIA vise à rassurer les utilisateurs sur le fait que leurs droits seront protégés et que les systèmes d’IA fonctionneront de manière transparente et équitable. Ce climat de confiance est vital pour encourager l’adoption des technologies d’IA, tant par le grand public que par les entreprises.

Troisièmement, la régulation de l’IA est également un levier pour stimuler l’innovation. En fournissant un cadre juridique clair, le RIA permet aux entreprises de naviguer plus facilement dans le paysage complexe de l’IA. Cela crée un environnement propice à l’innovation, où les entreprises peuvent développer de nouveaux produits et services tout en respectant les normes éthiques et juridiques. Par ailleurs, la régulation peut également encourager la recherche et le développement de solutions d’IA qui répondent à des défis sociétaux pressants, comme le changement climatique ou la santé publique.

En intégrant une perspective éthique dès la conception des technologies d’IA, les entreprises peuvent contribuer à un développement durable et inclusif de l’IA. Enfin, la régulation de l’IA a des implications internationales. Avec l’émergence de réglementations similaires dans d’autres régions du monde, comme la législation américaine sur l’IA ou les initiatives en Asie, l’UE peut se positionner en tant que leader mondial dans la régulation de l’IA. Cela pourrait également influencer la manière dont d’autres régions adoptent des réglementations, créant un cadre de référence pour une utilisation responsable de l’IA à l’échelle mondiale. En ce sens, le RIA pourrait non seulement protéger les droits des citoyens européens, mais aussi contribuer à l’établissement de normes éthiques à l’échelle mondiale.

II. Absence d’obligation de désignation d’un référent à l’intelligence artificielle

A. Comparaison avec le Règlement Général sur la Protection des Données (RGPD)

Les, acteurs visés par le RIA sont principalement les fournisseurs et déployeurs de systèmes d’IA (dans une moindre mesure les importateurs, distributeurs et mandataires). Alors que dans le RGPD, il est mentionné, les Responsables de traitements et sous-traitants.

L’absence d’obligation explicite de désignation d’un référent à l’intelligence artificielle dans le RIA soulève des questions cruciales quant à la gouvernance et à la conformité des systèmes d’IA. En comparaison, le Règlement Général sur la Protection des Données (RGPD) impose la désignation d’un Délégué à la Protection des Données (DPD) dans certaines situations. Selon l’article 37 du RGPD, les entités qui traitent des données à grande échelle ou des données sensibles doivent désigner un DPD pour assurer le respect des règles de protection des données. Cette obligation de désignation d’un DPD permet de garantir que les questions de protection des données sont prises en compte de manière systématique au sein des organisations.

Le DPD joue un rôle clé en matière de sensibilisation, de formation et de conseil, tout en agissant comme point de contact pour les autorités de protection des données et les individus concernés. En l’absence d’une telle obligation au sein du RIA, les entreprises peuvent se retrouver sans un cadre de gouvernance clair pour gérer les enjeux liés à l’IA, ce qui pourrait engendrer des incohérences et des lacunes dans la conformité. Il est essentiel de souligner que le RIA et le RGPD ne visent pas les mêmes problématiques.

Le RGPD se concentre principalement sur la protection des données personnelles, tandis que le RIA aborde des questions plus larges liées à l’utilisation de l’IA, y compris la responsabilité des algorithmes, la sécurité des systèmes et l’éthique. Cependant, les deux règlements partagent des objectifs communs, tels que la protection des droits fondamentaux et la promotion de l’éthique. Dans ce contexte, le manque d’une obligation de désignation d’un référent à l’IA pourrait entraver la mise en œuvre de ces principes de manière cohérente et intégrée.

B. Impacts de l’absence d’un référent sur la conformité et la gouvernance interne

L’absence d’un référent à l’intelligence artificielle peut avoir des répercussions significatives sur la conformité et la gouvernance interne des organisations. Tout d’abord, sans un référent désigné, il est probable que les entreprises rencontrent des difficultés à identifier et à évaluer les risques associés à l’utilisation des systèmes d’IA.

Cela peut entraîner des situations où des systèmes à haut risque ne sont pas correctement évalués, exposant ainsi les entreprises à des violations potentielles des droits des utilisateurs et à des exigences réglementaires. Par exemple, une entreprise qui utilise un algorithme de recrutement sans une évaluation adéquate des biais pourrait se retrouver à discriminer des candidats en raison de caractéristiques telles que le sexe ou l’origine ethnique.

De plus, le manque d’un référent peut nuire à la mise en place d’une culture de conformité au sein de l’organisation. Un référent aurait la responsabilité de sensibiliser les employés aux enjeux liés à l’IA, d’assurer un suivi des évolutions réglementaires et de coordonner les actions nécessaires pour répondre aux exigences du RIA. En l’absence de cette figure, les entreprises risquent de se retrouver en situation de non-conformité, ce qui peut avoir des conséquences juridiques, financières et réputationnelles. Cela peut également créer un climat d’incertitude, où les employés ne savent pas comment agir face à des situations éthiques ou juridiques liées à l’IA.

En outre, l’absence d’un référent peut également entraîner une fragmentation des efforts en matière de gouvernance de l’IA au sein de l’organisation. Les différentes équipes, telles que les équipes techniques, juridiques et de conformité, pourraient travailler de manière isolée, sans coordination ni communication, ce qui peut aboutir à des incohérences dans la mise en œuvre des pratiques de gouvernance.

Cela pourrait également empêcher une approche systématique et intégrée pour traiter les enjeux éthiques et juridiques liés à l’IA. Par exemple, sans une ligne de communication claire entre les équipes, des décisions pourraient être prises sans tenir compte des implications éthiques, entraînant ainsi des conséquences potentiellement graves. Enfin, l’absence d’un référent pourrait également affecter la capacité des entreprises à répondre aux attentes des parties prenantes.

Dans un contexte où les consommateurs, les investisseurs et la société civile sont de plus en plus attentifs aux questions d’éthique et de responsabilité, les entreprises doivent être en mesure de démontrer qu’elles prennent ces enjeux au sérieux. Sans un référent dédié, il peut être difficile pour les entreprises de communiquer efficacement sur leurs efforts en matière de gouvernance de l’IA et de rassurer les parties prenantes sur leur engagement à respecter les normes éthiques. Cela pourrait également nuire à la réputation de l’entreprise et à sa capacité à attirer et à retenir des clients et des talents.

III. Nécessité d’un référent à l’intelligence artificielle

A. Rôle et responsabilités potentielles du référent

La désignation d’un référent à l’intelligence artificielle pourrait jouer un rôle déterminant dans la mise en œuvre des exigences du RIA. Ce référent, que l’on pourrait désigner sous le terme de Responsable de l’Intelligence Artificielle (RIA), pourrait être chargé de plusieurs responsabilités clés, notamment :

  1. Évaluation des risques : Le référent pourrait être responsable de l’évaluation continue des risques associés aux systèmes d’IA utilisés par l’organisation. Cela comprend l’identification des risques potentiels, l’analyse de l’impact de ces risques sur les droits des utilisateurs et la mise en place de mesures appropriées pour atténuer ces risques. Par exemple, le référent pourrait développer des protocoles d’évaluation des risques pour les nouveaux projets d’IA, garantissant ainsi que toutes les parties prenantes sont conscientes des enjeux éthiques et juridiques. Cela pourrait également inclure la mise en place d’un cadre pour l’audit régulier des systèmes d’IA afin de garantir leur conformité continue aux normes établies.
  2. Sensibilisation et formation : Le référent pourrait organiser des sessions de formation pour sensibiliser les employés aux enjeux éthiques et juridiques liés à l’utilisation de l’IA. Cela favoriserait une culture de responsabilité et de transparence au sein de l’organisation. Par exemple, des ateliers sur les biais algorithmiques et les meilleures pratiques pour le développement de systèmes d’IA éthiques pourraient être mis en place pour garantir que tous les employés comprennent les enjeux liés à leurs travaux. De plus, le référent pourrait développer des ressources pédagogiques, telles que des guides ou des modules de formation en ligne, pour informer tous les niveaux de l’organisation sur les questions relatives à l’IA.
  3. Coordination de la conformité : En tant que point de contact principal, le référent pourrait assurer la liaison entre les différentes parties prenantes, y compris les équipes techniques, juridiques et de conformité. Cela faciliterait la mise en œuvre des exigences du RIA et des meilleures pratiques en matière d’IA. Le référent pourrait également être chargé de surveiller l’évolution des réglementations et de s’assurer que l’organisation s’adapte en conséquence. En cas de changement réglementaire, le référent devrait être capable d’évaluer rapidement l’impact sur les pratiques de l’organisation et de recommander des ajustements nécessaires.
  4. Reporting et communication : Le référent pourrait jouer un rôle clé dans la communication des efforts de l’organisation en matière de gouvernance de l’IA. En élaborant des rapports réguliers sur les initiatives prises, les risques identifiés et les mesures mises en œuvre pour les atténuer, le référent pourrait renforcer la transparence et la responsabilité de l’organisation. Cela pourrait également permettre à l’entreprise de démontrer son engagement envers une utilisation éthique de l’IA auprès des parties prenantes. Ces rapports pourraient être publiés de manière accessible, permettant aux parties prenantes d’évaluer les progrès de l’entreprise en matière de gouvernance de l’IA.
  5. Gestion des incidents : En cas de défaillance ou de problème lié à un système d’IA, le référent pourrait être chargé de la gestion des incidents. Cela comprend la mise en place de protocoles pour signaler et traiter les incidents, ainsi que la communication avec les autorités compétentes et les parties prenantes concernées. Une gestion efficace des incidents est cruciale pour maintenir la confiance des utilisateurs et des partenaires commerciaux, et pour garantir que l’organisation agit de manière responsable. Le référent devrait également être en mesure de recommander des actions correctives pour prévenir la récurrence des incidents
  6. Évaluation des fournisseurs : Dans le cadre de l’utilisation de l’IA, une entreprise peut faire appel à des fournisseurs externes pour le développement ou la mise en œuvre de solutions d’IA. Le référent devrait jouer un rôle dans l’évaluation des fournisseurs pour garantir qu’ils respectent également les normes éthiques et réglementaires. Cela pourrait inclure des critères d’évaluation spécifiques liés à la protection des données, à la transparence des algorithmes et à l’absence de biais.

B. Avantages pour les entreprises et la confiance des parties prenantes

La désignation d’un référent à l’intelligence artificielle présente plusieurs avantages significatifs pour les entreprises. En premier lieu, cela permettrait de renforcer la conformité aux exigences réglementaires. En ayant une personne dédiée à la gestion des questions liées à l’IA, les entreprises peuvent mieux anticiper et répondre aux évolutions réglementaires, évitant ainsi de potentielles sanctions. Par exemple, un référent pourrait s’assurer que tous les systèmes d’IA à haut risque sont évalués et certifiés conformément aux exigences du RIA, réduisant ainsi le risque de non-conformité.

De plus, la présence d’un référent contribuerait à instaurer un climat de confiance entre l’entreprise et ses parties prenantes. Dans un contexte où les préoccupations concernant la sécurité et l’éthique de l’IA sont de plus en plus présentes, la désignation d’un référent pourrait rassurer les clients, les investisseurs et le grand public sur l’engagement de l’entreprise à adopter des pratiques responsables et éthiques. Par exemple, une entreprise qui désigne un référent à l’IA pourrait mettre en avant cet effort dans sa communication externe, soulignant son engagement envers une utilisation éthique et responsable de l’IA.

En favorisant une meilleure gouvernance de l’IA, les entreprises pourraient également améliorer leur réputation et leur image de marque. Dans un monde où les consommateurs sont de plus en plus conscients des enjeux éthiques, une entreprise qui prend des mesures proactives pour garantir une utilisation responsable de l’IA sera perçue de manière plus favorable. Cela pourrait également ouvrir la voie à de nouvelles opportunités d’affaires, en permettant aux entreprises de se positionner comme des acteurs responsables et innovants sur le marché de l’IA.

Enfin, la désignation d’un référent à l’intelligence artificielle pourrait également aider les entreprises à anticiper et à répondre aux préoccupations sociétales. En intégrant une perspective éthique dans le développement et l’utilisation de l’IA, les entreprises peuvent contribuer à la création de solutions qui répondent aux besoins de la société tout en respectant les valeurs fondamentales. Cela pourrait également favoriser un dialogue constructif avec les parties prenantes, permettant aux entreprises de mieux comprendre les attentes de la société en matière d’IA et d’y répondre de manière appropriée.

VI. Perspectives d’évolution et recommandations

A. Évolution de la réglementation et des normes

À l’heure actuelle, la réglementation de l’IA est en constante évolution. Les discussions au sein des instances européennes et internationales continuent d’évoluer, et il est probable que de nouvelles directives ou ajustements au RIA apparaîtront dans les années à venir. Les entreprises doivent donc rester vigilantes et proactives, en surveillant les évolutions réglementaires pour s’assurer qu’elles sont en conformité avec les exigences en constante évolution.

Cela implique également d’adapter les systèmes de gouvernance internes pour intégrer les changements possibles dans le paysage réglementaire. L’Union Européenne, en tant que leader dans la régulation de l’IA, pourrait également jouer un rôle de catalyseur pour l’harmonisation des réglementations au niveau mondial.

Les discussions autour de la réglementation de l’IA sont en cours dans d’autres régions, notamment aux États-Unis et en Asie. L’UE peut influencer ces débats en partageant ses expériences et en proposant des normes qui pourraient être adoptées à l’échelle internationale. Cela pourrait contribuer à créer un cadre réglementaire mondial qui promeut une utilisation responsable de l’IA, tout en respectant les droits des individus.

B. Recommandations pour les entreprises

Il est recommandé aux entreprises de prendre des mesures concrètes pour renforcer leur gouvernance en matière d’IA. Parmi ces recommandations, on peut inclure :

  1. Désignation d’un référent à l’IA : Comme mentionné, la désignation d’un référent à l’intelligence artificielle est cruciale pour assurer une gouvernance efficace. Ce référent doit être en mesure de travailler en étroite collaboration avec les autres départements de l’entreprise pour garantir une approche intégrée.
  2. Formation continue : Les entreprises doivent investir dans la formation continue de leurs employés sur les enjeux éthiques et juridiques liés à l’utilisation de l’IA. Cela comprend des sessions de sensibilisation, des ateliers pratiques et des formations sur les meilleures pratiques pour le développement d’IA éthique. Par exemple, des programmes de formation pourraient être mis en place pour les équipes de développement, afin de les sensibiliser aux biais algorithmiques et à l’importance de la diversité dans les ensembles de données.
  3. Mise en place de politiques internes : Les entreprises devraient développer des politiques internes claires sur l’utilisation de l’IA, en définissant des protocoles pour l’évaluation des risques, la gestion des incidents et la communication avec les parties prenantes. Ces politiques doivent être régulièrement mises à jour pour refléter les changements réglementaires et technologiques. Par exemple, l’entreprise pourrait établir un comité de gouvernance de l’IA, composé de membres de différents départements, pour superviser la mise en œuvre des politiques et des normes.
  4. Engagement auprès des parties prenantes : Les entreprises devraient établir un dialogue continu avec leurs parties prenantes, y compris les clients, les employés, les investisseurs et la société civile. En écoutant les préoccupations et les attentes des parties prenantes, les entreprises peuvent mieux adapter leurs pratiques et renforcer leur responsabilité sociale. Cela pourrait inclure la création de forums de discussion ou de consultations publiques pour recueillir des avis sur les projets d’IA.
  5. Adoption de technologies éthiques : Les entreprises doivent s’efforcer d’adopter des technologies qui respectent les principes éthiques. Cela inclut l’utilisation d’algorithmes transparents, la minimisation des biais et la protection des données personnelles. En intégrant des valeurs éthiques dans le développement de l’IA, les entreprises peuvent non seulement se conformer aux réglementations, mais aussi contribuer à un avenir numérique responsable.
  6. Collaboration inter-entreprises et avec le secteur public : Les entreprises devraient également envisager de collaborer avec d’autres acteurs de l’industrie, ainsi qu’avec des organismes publics, pour partager des meilleures pratiques en matière de gouvernance de l’IA. Des initiatives de collaboration pourraient conduire à l’élaboration de normes sectorielles et à l’établissement de lignes directrices sur l’utilisation éthique de l’IA.

Pour lire une version plus complète de cet article sur l’IA, cliquez

Sources :

Par internet-et-droit • Tags: , , , ,

1 2 3 4

# Nos catégories juridiques

# Poser une question en ligne

Si vous avez une question précise à poser au cabinet d’avocats, dont vous ne trouvez pas la réponse sur le site, posez votre question en ligne.
La question sera alors payante et le montant est de 150 euros TTC. Paiement sécurisé par Paypal ou Crédit Mutuel »

# Nos articles avocat Paris

© Murielle Cahen Cabinet d’avocats Paris 2026
Powered by WordPressThemify WordPress Themes