“Un cadeau aux géants technologiques”. Max Schrems ne décolère pas face au projet de révision du Règlement général sur la protection des données. L’objectif de Bruxelles est de favoriser, dans un contexte de compétition mondiale, l’entraînement des modèles d’intelligence artificielle générative par des entreprises européennes. “Cela constituerait une énorme régression pour la vie privée des Européens, dix ans après l’adoption du RGPD”, dénonce l’activiste autrichien, figure de la défense des droits numériques.
Le RGPD n’est pas le seul texte visé par cette volonté de simplification au profit de l’IA. Dans le paquet numérique qu’elle doit présenter la semaine prochaine, la Commission européenne prévoit également de repousser l’entrée en vigueur de certaines dispositions de l’AI Act, le cadre réglementaire adopté au printemps 2024 après d’âpres négociations. Ces propositions devront ensuite être approuvées par les États membres et par le Parlement européen – deux étapes encore loin d’être acquises.
Consentement “libre” et “éclairé”
Entré en vigueur en 2018, le RGPD est l’une des législations les plus emblématiques des Vingt-Sept. L’an passé, l’ancien président de la Banque centrale européenne, Mario Draghi, recommandait déjà sa refonte dans son rapport sur la compétitivité de l’UE. Sa mesure phare impose d’obtenir le consentement “libre” et “éclairé” des internautes avant d’utiliser leurs données personnelles. Une exigence pensée à l’origine pour encadrer le ciblage publicitaire, mais qui s’applique désormais aussi à l’IA générative.
Ces derniers mois, plusieurs entreprises testent les limites du RGPD. En mai, Meta a commencé à utiliser les messages et les commentaires publiés sur Facebook et Instagram pour “entraîner et améliorer” ses modèles d’IA. LinkedIn et xAI, la société d’Elon Musk qui vient de racheter l’ex-Twitter, font de même. Ces plateformes ne demandent pas le consentement. Elles invoquent le principe “d’intérêt légitime” prévu par le RGPD, en s’appuyant sur une interprétation contestée d’un avis des Cnils européennes.
L’IA devient un “intérêt légitime”
Dans son projet de révision du RGPD, obtenu par le média allemand Netzpolitik, la Commission propose de lever cette incertitude juridique, en considérant désormais l’utilisation de données personnelles pour l’entraînement d’une IA comme un “intérêt légitime”. Autrement dit, les entreprises n’auraient plus besoin du consentement préalable des utilisateurs. Leur seule obligation serait d’offrir un “droit d’opposition” – le plus souvent enfoui dans les paramètres de confidentialité et, de fait, rarement exercé.
Autre changement majeur: une redéfinition plus restrictive de la notion de “donnée personnelle”. Une information ne serait plus considérée comme telle si l’entreprise qui la collecte n’est pas en mesure d’identifier la personne concernée. Son utilisation échapperait alors au RGPD. Bruxelles propose également d’assouplir la “protection renforcée” des données sensibles. Celle-ci ne s’appliquerait plus que lorsqu’elles “révèlent directement” l’origine raciale ou ethnique, les opinions politiques, l’état de santé ou l’orientation sexuelle.
Opposition de la France
Ces changements ont été poussés par l’Allemagne, pourtant l’un des pays les plus attachés à la protection des données personnelles. À l’inverse, la France plaide pour des “modifications ciblées”, excluant toute “réouverture du RGPD”. Plusieurs autres pays, comme la Pologne et la Suède, défendent la même approche. L’Autriche, elle, écarte toute modification. L’ensemble des opposants semble pouvoir réunir une minorité de blocage au sein du Conseil européen, ce qui leur permettrait de rejeter certaines propositions de Bruxelles.
Le projet de simplification ne se limite pas au RGPD et touche également d’autres textes communautaires sur les données, comme la directive ePrivacy. Peu connue, celle-ci affecte pourtant le grand public quotidiennement: elle est à l’origine des innombrables bandeaux de consentement aux cookies sur les sites web. Constatant une “fatigue” des internautes, la Commission recommande d’assouplir les obligations sur les cookies liés aux statistiques et à la sécurité, et d’offrir des alternatives au consentement.
Assouplissement de l’AI Act
Parallèlement, un deuxième texte porte sur l’AI Act, qui impose une série d’obligations aux modèles d’IA, en particulier ceux présentant des “risques systémiques”. Certaines mesures sont déjà entrées en vigueur. Les autres le seront progressivement jusqu’en 2027. En retard sur la mise en œuvre du texte, Bruxelles propose désormais d’adapter les calendriers afin de tenir compte de “l’incertitude et difficultés liées au retard de disponibilité des normes”. Les mesures concernées et les nouvelles échéances restent à préciser.
Cette souplesse constitue un changement. Cet été, la Commission avait refusé de repousser l’entrée en vigueur de certaines règles, malgré la publication tardive du Code de bonnes pratiques destiné à aider les entreprises à se mettre en conformité. Par ailleurs, l’exécutif européen souhaite accorder une période de grâce d’un an pour mettre en place un dispositif de marquage des contenus générés par l’IA. Il recommande également d’alléger les obligations de documentation, d’enregistrement et de surveillance.
Pour aller plus loin:
– Comment l’IA générative teste les limites du RGPD
– L’Europe refuse de reporter l’entrée en vigueur de l’AI Act
