Tout cela s’inscrit dans le cadre de la simplification administrative proposée par la Commission européenne : moins de paperasserie, moins de rapports superflus, moins de bannières de cookies agaçantes et plus de marge de manœuvre pour les entreprises européennes spécialisées dans l’IA, du moins c’est l’objectif. La Commission a présenté son paquet de simplification dès la fin de l’année 2025 et, bien que la loi sur l’IA, qui définit les règles du jeu pour l’IA en Europe, soit en vigueur depuis l’été 2024, de nombreuses obligations sont mises en place progressivement. En raison de nouveaux accords politiques, les règles applicables à certains systèmes d’IA à haut risque, comme par exemple dans les domaines de la biométrie, de l’éducation et des infrastructures critiques, ne s’appliqueraient qu’à partir de fin 2027.
Pour l’IA dans les produits réglementés, tels que les jouets, la date limite est même repoussée à l’été 2028. Selon la Commission, cette approche est nécessaire pour, d’une part, affiner les règles et, d’autre part, donner aux entreprises le temps de s’y conformer. Cela serait particulièrement important pour les petites entreprises. Pour elles, la réglementation européenne constitue souvent un parcours du combattant qu’elles n’ont tout simplement pas les moyens de surmonter. Une start-up qui développe aujourd’hui un projet lié à l’IA doit non seulement réfléchir au produit lui-même, mais aussi au traitement des données, à l’évaluation des risques, à la cybersécurité, à la responsabilité, à la surveillance et bien plus encore. Toutes ces règles visent en principe à protéger les citoyens européens, mais dans la pratique, elles poussent souvent les petits acteurs européens à abandonner. Aux États-Unis et en Chine, ces règles sont moins contraignantes, ou bien les entreprises disposent de ressources suffisantes pour s’adapter.
Le point qui coince
Ce qui touche une corde sensible en Europe, ce sont bien sûr les énormes quantités de données nécessaires pour entraîner l’IA. Celles-ci contiennent souvent des données à caractère personnel, parfois de manière directe, parfois dissimulées dans des textes, des images ou des modèles de comportement. Cela entre souvent en conflit avec le RGPD actuel ; c’est pourquoi la Commission européenne a proposé des modifications afin que les entreprises spécialisées dans l’IA sachent clairement quand elles sont autorisées à utiliser des données à caractère personnel. La distinction entre données anonymes, pseudonymisées et personnelles prend également de l’importance, afin que les entreprises spécialisées dans l’IA disposent d’options claires pour exploiter certaines données. C’est là que le bât blesse. Pour une entreprise d’IA, le pseudonymisation semble être une bonne solution : les noms réels sont remplacés par des numéros, et le tour est joué. Les juristes spécialisés dans la protection de la vie privée voient toutefois les choses différemment. En effet, un ensemble de données sans noms réels peut encore en dire long sur une personne lorsque l’on combine ces informations avec d’autres données.
Quiconque part chaque matin à peu près à la même heure de la même rue, emprunte le même itinéraire et s’arrête au même endroit n’est souvent pas aussi anonyme qu’il n’y paraît. Dans un contexte d’IA, ce risque est encore plus grand, car les modèles d’IA apprennent à reconnaître des schémas qu’il est ensuite difficile de défaire, même si l’on le souhaitait. Les organisations de défense de la vie privée ne considèrent donc pas les propositions de la Commission européenne comme une simple simplification administrative, mais comme un glissement dangereux qui fait pencher à nouveau la balance du pouvoir entre les citoyens et les plateformes en faveur des grandes entreprises technologiques. La législation existante en matière de protection de la vie privée, qui est encore relativement récente et qui a fait l’objet d’une lutte acharnée, serait ainsi tout simplement remise en cause et réduite à néant.
La bannière relative aux cookies comme paratonnerre
Une partie des propositions ne devrait toutefois pas susciter beaucoup de résistance chez l’internaute lambda. L’assouplissement des bannières de cookies, particulièrement agaçantes, serait notamment accueilli avec joie par beaucoup. Les pop-ups comportant des boutons vagues et du charabia juridique et technique apparaîtraient moins fréquemment, car certains cookies inoffensifs ne nécessiteraient plus d’autorisation et les utilisateurs auraient davantage de contrôle via les paramètres de leur navigateur. De plus, une autorisation donnée resterait valable plus longtemps. Et en soi, cela a du sens. Les règles actuelles en matière de cookies ont souvent transformé un problème de confidentialité en un problème d’interface. Beaucoup de gens, par frustration, cliquent simplement sur « Tout accepter » ; ainsi, une réduction du nombre de bannières de cookies pourrait s’avérer plus respectueuse de la vie privée, du moins si les paramètres par défaut sont réellement en faveur de l’utilisateur.
Il existe toutefois un risque réel que la bannière relative aux cookies serve de paratonnerre. Tout le monde accueillerait alors favorablement ces modifications, car tout le monde souhaite des bannières de cookies moins irritantes, mais cela conduirait à ignorer les nouvelles clauses en petits caractères concernant la formation des IA, la réutilisation des données et le report pour les systèmes à haut risque. Ce report pour les systèmes à haut risque est particulièrement dangereux, car il laisse subsister une période pendant laquelle la technologie peut continuer à se répandre sans grande difficulté alors que le cadre de contrôle complet n’est pas encore en vigueur. Il ne s’agit pas simplement de chatbots susceptibles de commettre une erreur dans une recette de pâtes, mais de systèmes d’IA qui déterminent qui obtient un emploi, qui fait l’objet d’un contrôle supplémentaire à la frontière, qui a accès à certains services ou comment l’aide médicale est organisée. Il s’agit de systèmes pouvant avoir un impact considérable sur des vies humaines et qui, de cette manière, peuvent s’implanter sans grand contrôle.
Innovation ou capitulation ?
La Commission européenne elle-même insiste bien sûr sur le fait que la protection des droits fondamentaux reste intacte. En vertu de la loi sur l’IA, certaines pratiques seront interdites dès le début de l’année 2025 et les règles relatives aux modèles d’IA généraux et à la transparence ne disparaîtront pas du jour au lendemain. Dans le même temps, elle souligne qu’il faut que les choses changent. Dans la course mondiale à l’IA, l’Europe est tout simplement à la traîne par rapport aux États-Unis et à la Chine. Certes, l’Europe dispose de chercheurs de haut niveau, d’une infrastructure solide et de quelques acteurs prometteurs, mais elle n’a pratiquement rien qui puisse rivaliser à la même échelle. Il existe donc une pression politique certaine pour intervenir, ce qui amène à se demander quels intérêts sont réellement servis. Le timing reste bien sûr également frappant. Le RGPD a moins de dix ans et l’AI Act vient à peine d’être adopté. Si l’Europe commence déjà à réécrire ces joyaux du numérique avant même que l’encre ne soit sèche, cela envoie un signal étrange tant aux citoyens qu’aux entreprises.
Il semble que les règles strictes d’aujourd’hui puissent être assouplies dès demain si la pression économique devient suffisamment forte. Ironiquement, cela sape la sécurité juridique que la Commission cherche justement à instaurer. Comme souvent, cependant, la bonne approche se situe probablement quelque part entre les deux. Il est vrai que les règles du jeu numérique en Europe sont parfois inutilement compliquées et que l’on pourrait également dire quelques mots sur la proportionnalité. Les petits acteurs, en particulier, croulent souvent sous le poids des obligations de documentation qui leur sont imposées. Et ces bannières de cookies, eh bien, elles sont devenues une caricature de ce que devrait être un véritable consentement. Une simplification est donc nécessaire à certains égards, mais c’est tout autre chose que de déplacer le point de départ réel de la protection. Si les entreprises d’IA peuvent utiliser plus facilement les données à caractère personnel, si les données pseudonymisées échappent plus rapidement aux contrôles les plus stricts, si les obligations pour les systèmes à haut risque n’entrent en vigueur que plus tard, alors le fond de la question change bel et bien. Il ne s’agit alors plus seulement d’une simplification administrative, mais aussi d’une marge de manœuvre plus large et moins contrôlée pour des systèmes susceptibles de s’immiscer profondément dans notre vie quotidienne. L’ambition d’innovation risque alors d’aller de pair avec la capitulation face à la protection de la vie privée et d’autres droits auxquels nous tenons particulièrement.
Le prix de la confiance numérique
Il est clair que l’Europe souhaite assouplir ses règles afin que les entreprises spécialisées dans l’IA puissent rivaliser avec celles des États-Unis et de la Chine. La question est toutefois de savoir si ce projet n’est pas voué à l’échec dès le départ et s’il vaut vraiment la peine de s’y engager. De plus, l’Europe a justement bâti une partie de sa propre compétitivité sur la confiance. Certes, le RGPD est contraignant et parfois lourd, mais il donne aux citoyens un principe clair : leurs données ne sont pas simplement une matière première gratuite dont les entreprises peuvent disposer à leur guise. L’AI Act devait y ajouter une couche supplémentaire : l’automatisation est autorisée, mais pas sans responsabilité. Si l’Europe abandonne ce principe, elle risque de perdre le seul argument distinctif qui lui reste face à la Silicon Valley et à Shenzhen.
Quoi qu’il en soit, l’impact pour les utilisateurs lambda ne sera pas visible du jour au lendemain. On ne peut pas dire que la vie privée des citoyens se retrouve soudainement réduite de 5 %. Tout cela se passe de manière plus subtile : un modèle d’IA autorisé à traiter davantage de données européennes, un système à haut risque bénéficiant plus longtemps d’un régime de transition souple, un navigateur qui affiche certes moins de pop-ups mais qui, en même temps, déplace davantage de choix vers des paramètres que personne n’ouvre jamais. De cette manière, la vie privée ne disparaît pas d’un coup, mais s’érode progressivement.
C’est un débat qui mérite finalement plus d’attention qu’une énième plainte concernant les bannières de cookies. La question n’est pas de savoir si l’Europe a le droit d’aider les entreprises, car elle doit assurément le faire, mais si elle peut le faire sans trahir sa promesse fondamentale. Une économie numérique a bien sûr besoin d’oxygène, mais aussi de limites. Et si ces limites ne sont fixées qu’une fois que les systèmes sont déjà profondément ancrés partout, la protection arrivera trop tard. Ce n’est pas que la voie européenne aura alors complètement disparu, mais elle aura été sapée. C’est donc là le scénario le plus dangereux : ne réaliser ce que nous avons abandonné que lorsqu’il sera déjà trop tard. La question est donc de savoir quel est le prix de la confiance numérique et si nous sommes prêts à le payer.
