BRUXELLES — Les responsables de l’Union européenne sont prêts à sacrifier certaines de leurs règles de confidentialité les plus prisées au profit de l’IA, alors qu’ils cherchent à dynamiser les affaires en Europe en réduisant les formalités administratives.
La Commission européenne dévoilera plus tard ce mois-ci un paquet « omnibus numérique » visant à simplifier bon nombre de ses lois sur la technologie. L’exécutif a insisté sur le fait qu’il ne réduisait l’excès de graisse qu’au moyen d’amendements « ciblés », mais des projets de documents obtenus par L’Observatoire de l’Europe montrent que les responsables prévoient des changements de grande envergure au Règlement général sur la protection des données (RGPD) au profit des développeurs d’intelligence artificielle.
La refonte proposée sera une aubaine pour les entreprises travaillant avec l’IA, alors que l’Europe s’efforce de rester économiquement compétitive sur la scène mondiale.
Mais toucher à la loi phare sur la protection de la vie privée – considérée comme le « troisième rail » de la politique technologique de l’UE – devrait déclencher une tempête politique et de lobbying massive à Bruxelles.
« Est-ce la fin de la protection des données et de la vie privée alors que nous les avons inscrites dans le traité européen et la charte des droits fondamentaux ? » a déclaré l’homme politique allemand Jan Philipp Albrecht, qui, en tant qu’ancien membre du Parlement européen, a été l’un des principaux architectes du RGPD. « La Commission doit être pleinement consciente que cela porte gravement atteinte aux normes européennes. »
Le virage de Bruxelles en matière de protection de la vie privée intervient alors qu’elle s’inquiète du déclin de la puissance économique de l’Europe. Dans son rapport historique sur la compétitivité de l’année dernière, l’ancien Premier ministre italien Mario Draghi a qualifié le règlement général sur la protection des données de frein à l’innovation européenne en matière d’intelligence artificielle.
Les régulateurs européens de la vie privée ont déjà gâché la fête de l’IA des Big Tech ces dernières années. Meta, X et LinkedIn ont tous retardé le déploiement d’applications d’intelligence artificielle en Europe après les interventions de la Commission irlandaise de protection des données. Google fait face à une enquête du même régulateur et a déjà été contraint de suspendre la sortie de son chatbot Bard. Le régulateur italien a déjà imposé des blocages temporaires sur ChatGPT d’OpenAI et DeepSeek chinois pour des raisons de confidentialité.
Ces mêmes géants de la technologie sont en pleine course aux États-Unis, sans qu’une loi générale équivalente sur la vie privée ne leur interdise d’alimenter l’IA avec les données des citoyens.
La rédaction initiale du règlement général sur la protection des données entre 2012 et 2016 a déclenché l’un des plus grands efforts de lobbying que Bruxelles ait jamais connu. Depuis son entrée en vigueur en 2018, l’UE a évité de la modifier, craignant que cela ne relance la vicieuse guerre de lobbying.
Au cours des derniers mois, les responsables de la Commission ont cherché à dissiper les craintes d’une refonte des règles en matière de protection de la vie privée. Elle a insisté sur le fait que ses propositions de simplification ne toucheraient pas aux principes sous-jacents du RGPD.
Maintenant que les projets de plans sont publiés, les militants de la société civile ont commencé à tirer la sonnette d’alarme.
La Commission « tente secrètement d’écraser tout le monde à Bruxelles », a déclaré Max Schrems, fondateur du groupe autrichien de protection de la vie privée Noyb – et tristement célèbre défenseur de la vie privée en Europe qui était à l’origine de procès qui ont fait échouer d’importants accords de transfert de données avec les États-Unis dans le passé. « Cela ne respecte pas toutes les règles d’une bonne législation, avec des résultats terribles », a-t-il déclaré.
L’une des lignes d’attaque des groupes de protection de la vie privée consiste à percer des failles dans ce qu’ils considèrent comme un processus omnibus précipité. Alors que la négociation du RGPD a pris des années, la consultation publique sur l’omnibus numérique n’a pris fin qu’en octobre. La Commission n’a pas préparé d’analyses d’impact pour accompagner ses propositions, car elle affirme que les changements sont uniquement ciblés et techniques.
La vision étroite de la Commission sur la course à l’IA a abouti à un « plan rapide » mal rédigé dans un domaine extrêmement complexe et sensible », a déclaré Schrems.
Le projet de proposition obtenu par L’Observatoire de l’Europe montre jusqu’où la Commission européenne est prête à aller pour apaiser l’industrie sur l’IA.
Les projets de modifications créeraient de nouvelles exceptions pour les entreprises d’IA qui leur permettraient de traiter légalement des catégories spéciales de données (telles que les convictions religieuses ou politiques, l’origine ethnique ou les données de santé d’une personne) pour former et exploiter leur technologie. La Commission envisage également de recadrer la définition de ces données de catégorie spéciale, qui bénéficient de protections supplémentaires en vertu des règles de confidentialité.
Les autorités souhaitent également redéfinir ce qui constitue des données personnelles, affirmant que les données pseudonymisées (dans lesquelles les données personnelles ont été masquées afin qu’une personne ne puisse pas être identifiée) pourraient ne pas toujours être soumises aux protections du RGPD, un changement qui reflète une décision récente du plus haut tribunal de l’UE.
Enfin, il souhaite réformer les règles européennes sur les bannières de cookies en insérant une disposition dans le RGPD qui donnerait aux propriétaires de sites Web et d’applications davantage de fondements juridiques pour justifier le suivi des utilisateurs au-delà de la simple obtention de leur consentement.
Le projet de proposition pourrait encore changer avant que la Commission ne dévoile officiellement ses plans le 19 novembre.
Une fois présenté, le paquet omnibus devra convaincre les pays et les législateurs de l’UE, qui sont déjà fortement divisés sur l’opportunité de toucher à la protection de la vie privée.
Des documents consultés par L’Observatoire de l’Europe montrent que l’Estonie, la France, l’Autriche et la Slovénie sont fermement opposées à toute réécriture du règlement général sur la protection des données. L’Allemagne – généralement considérée comme l’un des pays les plus soucieux de la vie privée – fait pression en revanche pour de grands changements pour aider l’IA.
Au Parlement européen, la question devrait diviser les groupes. La députée tchèque des Verts, Markéta Gregorová, s’est déclarée « surprise et préoccupée » par la réouverture du RGPD. Elle a averti que les droits fondamentaux des Européens « doivent avoir plus de poids que les intérêts financiers ».
Mais la députée finlandaise de centre-droit Aura Salla – qui dirigeait auparavant le bureau de lobbying de Meta à Bruxelles – a déclaré qu’elle accueillerait « chaleureusement » la proposition « si elle était faite correctement », car elle pourrait apporter une sécurité juridique aux entreprises d’IA. Salla a souligné que la Commission devra « veiller à ce que ce soient les chercheurs et les entreprises européens, et non seulement les géants des pays tiers, qui bénéficient d’un avantage concurrentiel grâce à nos propres règles ».
