👉 Consultez dès maintenant notre sélection :
Actualité 1 – Sécurité des données : sanction de 1 700 000 euros à l’encontre de la société NEXPUBLICA FRANCE
Actualité 2 – Les risques associés à l’usage de l’intelligence artificielle dans le monde professionnel
Actualité 3 – Les contrats entre marques et influenceurs plus encadrés dès 2026
Actualité 4 – OpenAI lance ChatGPT Santé, un chatbot directement connecté aux dossiers médicaux de ses utilisateurs
Actualité 5 – Aura empoisonne les données volées dans les systèmes IA
Actualité 6 – La licence GPL peut-elle s’appliquer aux modèles d’IA entraînés sur du code sous GPL ?
Actualité 7 – Nouvelles obligations applicables au droit de rétractation en droit français (2026)
Actualité 8 – La Cour des comptes tire un bilan plutôt positif du recours à l’IA par France Travail
Actualité 1 – Sécurité des données : sanction de 1 700 000 euros à l’encontre de la société NEXPUBLICA FRANCE
La CNIL présente la décision de sanctionner la société NEXPUBLICA FRANCE pour des manquements graves aux obligations de sécurité des données personnelles dans le cadre de son logiciel PCRM, en détaillant les faits, les lacunes constatées et les motifs de l’amende, ainsi que le fondement réglementaire du manquement.
Contexte
La société NEXPUBLICA FRANCE, spécialisée dans le développement de systèmes et logiciels informatiques (anciennement INETUM SOFTWARE FRANCE), édite un progiciel dénommé PCRM, utilisé comme outil de gestion de la relation avec les usagers dans le domaine de l’action sociale, notamment par des Maisons départementales des personnes handicapées (MDPH).
Résumé des faits
Le 22 décembre 2025, la CNIL a prononcé à l’encontre de NEXPUBLICA FRANCE une amende de 1 700 000 euros pour ne pas avoir mis en œuvre des mesures techniques et organisationnelles suffisantes pour assurer la sécurité des données traitées via le logiciel PCRM.
Fin novembre 2022, des notifications de violations de données personnelles ont été adressées à la CNIL par des clients de la société après que des usagers du portail ont signalé avoir pu accéder à des documents concernant des tiers via PCRM.
Les contrôles de la CNIL ont mis en évidence une insuffisance des mesures de sécurité techniques et organisationnelles mises en œuvre par NEXPUBLICA FRANCE pour protéger les données personnelles traitées.
La formation restreinte de la CNIL a tenu compte des capacités financières de la société, de la méconnaissance de principes élémentaires de sécurité, du nombre de personnes concernées et de la sensibilité des données traitées, notamment des informations liées au handicap des personnes concernées.
Bien que des vulnérabilités aient été identifiées par des audits et connues de la société, les failles n’ont été corrigées qu’après les violations de données.
La formation restreinte n’a pas prononcé d’injonction de mise en conformité car la société a apporté les correctifs nécessaires à l’issue des violations.
Impact juridique
La sanction repose sur un manquement à l’article 32 du RGPD, qui impose au responsable de traitement et au sous-traitant de mettre en œuvre des mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté aux risques pesant sur les données personnelles traitées. La décision de la CNIL illustre l’application stricte des obligations de sécurité des données personnelles en droit français et européen, notamment lorsqu’il s’agit de traitements sensibles impliquant des personnes vulnérables ; elle rappelle aux éditeurs de logiciels et aux prestataires de services informatiques l’exigence d’une conformité effective au RGPD pour éviter des sanctions financières lourdes.
Lien vers l’article : CNIL
L’article de la Direction générale de la sécurité intérieure (DGSI) traite des menaces et dérives que peut engendrer l’usage de l’intelligence artificielle par des acteurs internes ou externes aux entreprises, en illustrant ces risques par plusieurs cas rencontrés et en proposant des préconisations de sécurité pour les organisations.
Actualité 2 – Les risques associés à l’usage de l’intelligence artificielle dans le monde professionnel
Contexte
La DGSI a publié un article se focalisant sur les risques associés à l’usage de l’intelligence artificielle (IA) dans le monde professionnel, notamment l’IA générative, qui connaît une adoption rapide mais peut exposer les entreprises à des vulnérabilités en matière de confidentialité, de sécurité des données et de prise de décision.
Résumé des faits
La DGSI met en garde contre les risques d’ingérence économique et les dérives potentielles liés à l’usage d’outils d’IA dans des environnements professionnels, illustrés par trois cas réels rencontrés dans des entreprises françaises.
Dans le premier cas, des salariés d’une entreprise stratégique ont utilisé un outil d’IA générative grand public pour traduire des documents confidentiels, exposant des données sensibles et contournant les politiques internes.
La DGSI rappelle que les outils d’IA grand public peuvent stocker et réutiliser des données saisies, parfois dans des juridictions étrangères, ce qui pose des risques de confidentialité et de souveraineté.
Dans un second cas, une entreprise délègue l’évaluation de partenaires commerciaux à une IA étrangère, sans vérification humaine, conduisant à une dépendance excessive aux résultats automatisés et à des décisions potentiellement biaisées.
Un troisième cas évoque une tentative d’escroquerie par hypertrucage (deepfake) utilisant l’image et la voix d’un dirigeant, exploitant des techniques d’IA pour manipuler et tromper un responsable d’entreprise.
La DGSI décrit aussi l’utilisation de l’IA par des acteurs malveillants pour générer des contenus frauduleux, des attaques plus personnalisées ou des deepfakes facilitant des manipulations et des fraudes.
Enfin, l’article livre une série de préconisations pour encadrer l’usage de l’IA en entreprise, comme définir des politiques internes, privilégier des solutions souveraines ou locales, former les équipes et signaler tout événement suspect.
Impact juridique
Les risques identifiés par la DGSI soulignent des enjeux de conformité réglementaire et de responsabilité juridique pour les entreprises, notamment en matière de protection des données personnelles, de respect du RGPD lorsqu’elles utilisent des outils d’IA susceptibles de transférer ou stocker des données à l’étranger, et d’obligation de sécurité des systèmes d’information. L’usage non encadré d’IA peut aussi exposer les organisations à des litiges contractuels, à des sanctions en cas de fuite de données sensibles, ou à des responsabilités civiles en cas de décisions automatisées biaisées ayant causé un préjudice. La sensibilisation des équipes, la mise en place de politiques internes claires et l’adoption de solutions conformes aux standards de sécurité constituent des mesures essentielles pour réduire ces risques légaux.
Lien vers l’article : DGSI
Actualité 3 – Les contrats entre marques et influenceurs plus encadrés dès 2026
L’article publié sur Service-Public.fr explique que, à compter du 1ᵉʳ janvier 2026, les contrats entre annonceurs et influenceurs devront être rédigés obligatoirement par écrit au-delà d’un certain seuil de rémunération, et détaille les obligations et les mentions qu’ils doivent désormais contenir dans le cadre du droit français.
Contexte
Dans le but de lutter contre les pratiques commerciales trompeuses liées au marketing d’influence, la loi du 9 juin 2023 encadrant l’influence commerciale a été complétée par un décret du 28 novembre 2025, qui fixe l’entrée en vigueur de nouvelles obligations contractuelles applicables dès le 1ᵉʳ janvier 2026 pour les campagnes de promotion impliquant des influenceurs.
Résumé des faits
À partir du 1ᵉʳ janvier 2026, un contrat écrit devient obligatoire pour tout contrat liant un annonceur à un influenceur lorsque la valeur de la campagne promotionnelle dépasse 1 000 € hors taxes.
Ce seuil de 1 000 € correspond à la somme des rémunérations versées et de la valeur des avantages en nature accordés à l’influenceur au cours d’une même année pour des prestations poursuivant un même objectif promotionnel.
L’obligation de contrat écrit s’inscrit dans le cadre de la loi visant à encadrer l’influence commerciale et à lutter contre les dérives des influenceurs sur les réseaux sociaux.
Les contrats soumis à cette règle doivent comporter plusieurs mentions et clauses obligatoires pour être valides.
Parmi ces mentions, figurent notamment : l’identité complète des parties (incluant coordonnées et pays de résidence fiscale), la nature des missions confiées, la rémunération et modalités d’attribution, ainsi que les droits et obligations des parties, y compris en matière de propriété intellectuelle.
Les contrats doivent également prévoir l’application du droit français, notamment lorsque l’activité ciblée vise un public établi en France.
Le décret n° 2025-1137 du 28 novembre 2025 précise ces obligations et constitue le texte d’application de l’article 8 de la loi n° 2023-451.
Impact juridique
Cette mesure crée une obligation contractuelle formelle pour les relations entre annonceurs et influenceurs dépassant un certain seuil de rémunération, renforçant ainsi la transparence et la sécurité juridique des campagnes d’influence commerciale. Elle vise à prévenir les pratiques commerciales trompeuses en imposant des conditions claires et des mentions obligatoires dans les contrats, tout en garantissant l’application du droit français aux collaborations visant un public en France. Le non-respect de ces obligations pourrait entraîner la nullité du contrat ou des sanctions prévues par le droit de la consommation en cas de manquements.
Lien vers l’article : Service-Public.fr
Actualité 4 – OpenAI lance ChatGPT Santé, un chatbot directement connecté aux dossiers médicaux de ses utilisateurs
L’article de Usine Digitale présente le lancement par OpenAI d’une nouvelle fonctionnalité nommée ChatGPT Santé qui permet aux utilisateurs de connecter leurs dossiers médicaux et applications de santé à l’IA pour obtenir des réponses personnalisées à leurs questions liées à la santé, tout en soulignant les limites de ce service par rapport à la médecine traditionnelle.
Contexte
Dans un contexte où l’intelligence artificielle est de plus en plus utilisée pour répondre à des questions de santé — avec des centaines de millions d’utilisateurs posant régulièrement des questions médicales à ChatGPT — OpenAI a officialisé début janvier 2026 le lancement de ChatGPT Santé (ChatGPT Health), une expérience dédiée à la santé au sein de son application, conçue pour intégrer les données personnelles de santé de ses utilisateurs dans un espace sécurisé séparé des autres interactions.
Résumé des faits
OpenAI a annoncé le déploiement de ChatGPT Santé, une fonctionnalité permettant à des utilisateurs de relier leurs dossiers médicaux électroniques et applications de santé (telles que Apple Health, MyFitnessPal ou Function) au sein de ChatGPT pour des réponses plus adaptées à leur situation personnelle.
Cette nouveauté vise à aider les utilisateurs à comprendre des résultats d’examens médicaux, à préparer des visites chez le médecin, à suivre leurs données de bien-être et à évaluer des options comme des assurances santé, sans remplacer un professionnel médical.
ChatGPT Santé fonctionne dans un espace isolé, où conversations, fichiers et données liées à la santé sont séparés des autres chats et ne servent pas à entraîner les modèles d’OpenAI, avec des couches de protection supplémentaires pour la confidentialité.
Le lancement s’effectue progressivement, avec un accès d’abord réservé à un nombre limité d’utilisateurs (hors Union européenne, Suisse et Royaume-Uni), avant un déploiement plus large à venir.
OpenAI précise que ChatGPT Santé n’est pas conçu pour diagnostiquer ni traiter des maladies et ne remplace pas un avis médical professionnel, même si le service peut fournir des informations pratiques personnalisées.
Impact juridique
La fonctionnalité ChatGPT Santé soulève des implications importantes en matière de protection des données de santé, car en de nombreux États les dossiers médicaux bénéficient de cadres légaux stricts (tels que le RGPD en Europe ou des normes comme HIPAA aux États-Unis), qui imposent des exigences élevées de confidentialité, de sécurité et de consentement explicite pour le traitement de données sensibles. Or, bien qu’OpenAI ait mis en place des protections supplémentaires, ces services ne sont pas toujours soumis aux mêmes obligations qu’un professionnel de santé ou qu’une entité de soins de santé, ce qui pose des questions de conformité, de responsabilité et de risques juridiques, notamment en cas de fuite de données, de mauvaise utilisation ou de réponses erronées fondées sur des données médicales personnelles.
Lien vers l’article : L’Usine Digitale
Actualité 5 – Aura empoisonne les données volées dans les systèmes IA
L’article rapporte la création par des chercheurs d’un outil nommé Aura destiné à empoisonner ou altérer les données récupérées par des cybercriminels dans les grands systèmes d’intelligence artificielle, une approche défensive controversée devant susciter le débat dans la communauté de la cybersécurité et de l’IA.
Contexte
Dans un contexte où les attaques adversariales et le vol de données posent des risques croissants pour la sécurité des systèmes d’IA, des universitaires et chercheurs explorent des moyens de réduire l’utilité des données volées par des cybercriminels, en rendant ces données altérées ou « empoisonnées » pour perturber l’exploitation frauduleuse des modèles d’IA.
Résumé des faits
Des universitaires ont développé un outil appelé Aura, conçu pour empoisonner ou altérer les données volées par des cybercriminels lorsqu’elles sont utilisées dans des systèmes d’intelligence artificielle.
L’objectif de cette technique est de diminuer l’utilité des données volées, en les rendant incorrectes ou trompeuses pour les attaquants qui tentent de les exploiter dans des modèles IA ou en apprentissage automatique.
Cette approche s’inscrit dans une approche défensive contre les activités illégales de réutilisation de données dérobées, en perturbant les résultats que les cybercriminels pourraient attendre des données extraites de systèmes victimes.
Certains experts restent perplexes ou sceptiques quant à l’efficacité ou aux implications de ces méthodes, soulignant les limites ou risques potentiels d’altérer des données dans un contexte plus large.
Impact juridique
La perspective d’empoisonner des données volées soulève des questions juridiques et éthiques complexes, notamment en termes de légalité de manipuler des données, même à des fins défensives, de responsabilité en cas de conséquences indirectes sur des tiers, et de conformité aux cadres existants comme le RGPD qui encadrent le traitement et la protection des données personnelles. Dans certains systèmes juridiques, introduire des altérations dans des ensembles de données — même volés — pourrait engager des responsabilités si cela interfère avec des droits d’accès ou des preuves. De plus, les mesures de défense basées sur l’altération de données pourraient nécessiter des garanties claires de proportionnalité et de transparence pour éviter des abus, ainsi que des cadres normatifs adaptés pour encadrer juridiquement ces techniques de cybersécurité.
Lien vers l’article : Le Monde Informatique
Actualité 6 – La licence GPL peut-elle s’appliquer aux modèles d’IA entraînés sur du code sous GPL ?
L’article publié sur Shuji Sado .org adopte une approche analytique et critique pour examiner si et dans quelles conditions la licence GPL pourrait se propager aux modèles d’intelligence artificielle entraînés à partir de code sous GPL, en s’appuyant sur une analyse juridique approfondie du droit des licences libres et du fonctionnement technique de l’entraînement des modèles.
Contexte
Avec la généralisation de l’entraînement de modèles d’IA sur de vastes corpus de code open source, la question de la compatibilité entre licences logicielles libres et apprentissage automatique devient centrale. La licence GPL, fondée sur un principe de copyleft fort, impose que les œuvres dérivées soient distribuées sous la même licence, ce qui soulève des interrogations inédites lorsque le code est utilisé non pour être redistribué tel quel, mais comme donnée d’entraînement pour un modèle statistique.
Résumé des faits
L’auteur analyse si l’entraînement d’un modèle d’IA sur du code sous licence GPL peut constituer la création d’une œuvre dérivée au sens du droit d’auteur.
Il souligne que l’entraînement consiste en une analyse statistique du code source et non en une intégration directe ou une reproduction structurée du code dans le modèle final.
Le texte distingue l’utilisation du code comme donnée d’apprentissage de la redistribution ou de l’incorporation du code dans un logiciel.
L’auteur examine la question de la reproduction, en indiquant que les modèles ne stockent pas le code sous une forme lisible ou exploitable comme tel, mais des paramètres mathématiques.
Il est néanmoins relevé que certains modèles peuvent parfois reproduire des fragments de code, notamment en cas de sur-apprentissage, ce qui pourrait poser problème dans des situations spécifiques.
L’article conclut que, dans l’état actuel du droit, il est peu probable que la licence GPL s’applique automatiquement à un modèle d’IA entraîné sur du code GPL, en l’absence de reproduction substantielle ou identifiable du code original.
Impact juridique
L’analyse met en lumière une zone grise du droit des licences open source face aux technologies d’intelligence artificielle. Si la GPL repose sur la notion d’œuvre dérivée, son application aux modèles d’IA dépendra largement de la capacité à démontrer une reproduction substantielle du code protégé dans les sorties ou la structure du modèle. À ce stade, l’entraînement d’un modèle sur du code GPL ne semble pas, en soi, déclencher automatiquement les obligations de copyleft, mais des risques juridiques subsistent en cas de génération de code trop proche de l’original. Cette incertitude plaide pour une clarification juridique ou réglementaire et incite les développeurs comme les éditeurs de modèles à adopter des politiques prudentes en matière de données d’entraînement et de gouvernance des licences.
Lien vers l’article : Shujisado
Actualité 7 – Nouvelles obligations applicables au droit de rétractation en droit français
L’article traite de l’évolution récente du droit de rétractation en droit de la consommation en France, notamment à la suite de l’ordonnance n° 2026-2 du 5 janvier 2026 qui impose de nouvelles obligations aux professionnels proposant des ventes ou contrats à distance pour faciliter et encadrer l’exercice du droit de rétractation par les consommateurs.
Contexte
Le droit de rétractation — qui permet au consommateur de revenir sur un contrat conclu à distance ou hors établissement dans un délai légal (souvent 14 jours) — constitue une pierre angulaire de la protection des consommateurs. À l’aube de changements réglementaires significatifs en 2026, notamment sous l’effet de l’ordonnance n° 2026-2 visant à moderniser la commercialisation à distance des services financiers et autres contrats conclus en ligne, de nouvelles obligations de moyens et d’information sont imposées aux professionnels pour rendre plus effectif et accessible ce droit.
Résumé des faits
L’ordonnance n° 2026-2 du 5 janvier 2026 modifie le Code de la consommation pour renforcer l’exercice du droit de rétractation pour tous les contrats conclus à distance au moyen d’une interface en ligne.
Cette ordonnance impose aux professionnels de mettre gratuitement à disposition une fonctionnalité en ligne permettant au consommateur d’exercer son droit de rétractation de façon simple, claire et directe avant la fin du délai légal.
Un décret d’application précise que cette fonctionnalité doit être visiblement identifiée par une formulation claire (par exemple “renoncer au contrat ici”) accessible tout au long du délai de rétractation, et doit permettre l’envoi d’une déclaration explicite au professionnel.
Le professionnel doit également adresser un accusé de réception durable de la déclaration de rétractation mentionnant le contenu de la décision ainsi que la date et l’heure d’envoi.
Ces obligations s’appliquent en pratique avant le 19 juin 2026, date prévue pour l’entrée en vigueur de ces mesures.
L’ordonnance, tout en visant d’abord la commercialisation de services financiers, s’étend à toutes les ventes à distance, de sorte que même les e-commerçants non financiers doivent se conformer à cette nouvelle obligation.
Ces changements s’inscrivent dans une tendance européenne plus large de modernisation du droit de la consommation (directive européenne de novembre 2023 et transposition dans la législation française).
Impact juridique
Les nouvelles obligations créent une responsabilité accrue pour les professionnels qui vendent en ligne ou concluent des contrats à distance : ils doivent non seulement s’assurer que leurs interfaces permettent l’exercice effectif du droit de rétractation au consommateur, mais aussi que l’information précontractuelle soit claire et conforme aux standards réglementaires. Le non-respect de ces obligations peut exposer les entreprises à des sanctions administratives et civiles, comme l’extension du délai de rétractation ou des amendes, ainsi qu’à des actions de mise en conformité initiées par la DGCCRF ou d’autres autorités compétentes. Plus largement, l’évolution du droit de rétractation s’inscrit dans une logique de renforcement du cadre protecteur pour les consommateurs, notamment face à la digitalisation croissante des contrats et à l’importance du commerce électronique.
Lien vers l’article : Lexology
Actualité 8 – La Cour des comptes tire un bilan plutôt positif du recours à l’IA par France Travail
Le Monde analyse le rapport de la Cour des comptes consacré à l’utilisation de l’intelligence artificielle par France Travail, en mettant en avant des résultats globalement satisfaisants tout en soulignant des marges d’amélioration et des points de vigilance.
Contexte
Dans un contexte de transformation numérique des services publics et de modernisation des politiques de l’emploi, France Travail (ex-Pôle emploi) a progressivement intégré des outils d’intelligence artificielle afin d’améliorer l’accompagnement des demandeurs d’emploi, le ciblage des offres et l’efficacité du service rendu. La Cour des comptes a été chargée d’évaluer ces dispositifs afin d’en mesurer les bénéfices, les limites et les risques, notamment au regard de l’intérêt général et de la bonne gestion des deniers publics.
Résumé des faits
La Cour des comptes dresse un bilan globalement positif de l’usage de l’intelligence artificielle par France Travail pour améliorer l’orientation et l’accompagnement des demandeurs d’emploi.
Les outils d’IA sont principalement utilisés pour le profilage des demandeurs, le rapprochement offres-candidats et l’aide à la décision des conseillers, sans automatiser intégralement les décisions.
Le rapport souligne que l’IA permet des gains d’efficacité opérationnelle et une meilleure priorisation des actions, notamment pour les publics les plus éloignés de l’emploi.
La Cour constate que les systèmes déployés restent encadrés par une intervention humaine, les conseillers conservant un rôle central dans les décisions finales.
Des limites techniques et organisationnelles sont néanmoins relevées, notamment en matière de qualité des données, d’interopérabilité des systèmes et de compréhension des outils par les agents.
La Cour des comptes appelle à une meilleure évaluation des algorithmes, à une documentation renforcée et à une plus grande transparence sur leur fonctionnement.
Le rapport insiste également sur la nécessité de prévenir les biais algorithmiques et d’assurer un suivi continu des effets de l’IA sur les parcours des usagers.
Impact juridique
Le rapport met en évidence des enjeux juridiques majeurs liés à l’usage de l’intelligence artificielle par un service public, en particulier en matière de protection des données personnelles, de transparence des algorithmes et de respect des principes d’égalité et de non-discrimination. Il rappelle implicitement l’obligation pour France Travail de se conformer au cadre existant, notamment le RGPD et les règles relatives aux décisions administratives assistées par algorithmes, tout en anticipant les futures exigences issues du droit européen de l’intelligence artificielle. L’analyse de la Cour des comptes conforte l’idée que l’IA peut être juridiquement acceptable dans l’action publique à condition de rester un outil d’aide à la décision, strictement encadré, auditable et placé sous contrôle humain effectif.
Lien vers l’article : Le Monde