RGPD vs AI Act : des frictions possibles dans la régulation
La mise en œuvre de la nouvelle loi européenne sur l’IA pose question. Les outils de régulation sont à concrétiser et les autorités chargées de la protection des données cherchent où mettre le curseur.
Les autorités chargées de la protection des données dans l’Union européenne sont aux prises avec les chevauchements de la nouvelle loi européenne sur l’IA (AI Act, adopté à titre provisoire à l’automne dernier par le Parlement européen conjointement avec le Conseil de l’UE) et d’autres réglementations, notamment le RPGD, qui régit l’utilisation des données personnelles par les entreprises depuis 2018.
Ces fameuses autorités chargées de la protection des données (en France, la CNIL) sont des autorités publiques indépendantes qui contrôlent et appliquent la législation européenne en matière de protection des données, laquelle garantit la confidentialité et la sécurité des données propres aux individus. Le RGPD se concentre sur les données au sens strict, mais au-delà, les autorités nationales peuvent mener des enquêtes sur l’ensemble des technologies en jeu, comme l’intelligence artificielle (IA).
Les efforts réglementaires de l’UE ont des conséquences importantes pour l’ensemble des acteurs, y compris les entreprises américaines, très nombreuses dans l’IT et souvent porteuses des innovations les plus importantes. Par exemple l’année dernière, la commission irlandaise de protection des données a retardé le lancement de Bard, le chatbot IA de Google, devenu Gemini, en raison d’informations inadéquates sur la protection des données. Par ailleurs, l’autorité italienne de protection des données a interdit le service ChatGPT d’OpenAI en mars 2023, au motif que de son point de vue il enfreignait le RGPD.
La loi européenne sur l’IA récemment adoptée prévoit donc une réglementation plus complète de l’IA, demandant aux entreprises de classer leurs développements en la matière selon différents niveaux de risque. Elle exige également la production d’évaluations d’impact. Il est également demandé aux États membres d’établir des organes de gouvernance afin de superviser sa mise en œuvre. Mais dans le temps de la construction de ce corpus réglementaire – le chantier IA de l’UE a été lancé dès 2021 –, les autorités chargées de la protection des données ont déjà intenté de nombreuses actions d’exécution liées à l’IA contre certaines entreprises, en vertu du RGPD. Du coup certains régulateurs revendiquent le fait de faire également office de responsables de l’application de la loi sur l’IA de l’UE, arguant du fait que le RGPD et la future loi sur l’IA de l’UE pourraient bien se chevaucher…
Ulrich KelberCommissaire fédéral allemand à la protection des données et à la liberté de l’information
Dans le contexte européen, ces autorités sont en effet à la croisée des chemins avec l’accumulation de textes portant tous sur les évolutions numériques de la société, des entreprises et des échanges mondiaux. Pour Ulrich Kelber, commissaire fédéral allemand à la protection des données et à la liberté de l’information – qui s’exprimait récemment à Washington dans le cadre du Global Privacy Summit 2024 – au-delà du RGPD qui les légitime, les régulateurs sont confrontés à de nombreux textes comme la loi sur les services numériques, la loi sur les marchés numériques, la loi sur les données et la loi sur la gouvernance des données…
« Il y aura une interaction entre certaines réglementations des nouveaux actes numériques et le RGPD [ou GDPR, en anglais, N.D.L.R.] », a-t-il déclaré. « La question est de savoir où les décisions sont prises et comment donner une sécurité juridique aux citoyens et aux entreprises. »
Les régulateurs évaluent leur rôle dans la mise en œuvre de l’AI Act
Pour Anu Talus, présidente du Comité européen de la protection des données (qui rassemble les régulateurs de l’UE) « les autorités de protection des données joueront probablement un rôle important en en matière d’IA, car la législation s’appuie sur le RGPD ». Tout en précisant que le cadre d’application sera certainement différent entre le RGPD et la loi européenne sur l’IA. En effet, à Bruxelles, une nouvelle agence de l’IA au sein de la Commission sera chargée de l’application du texte et pourrait souhaiter se voir affecter des correspondants nationaux dédiés.
Anu TalusPrésidente du Comité européen de la protection des données
Reste que les États auront à charge la désignation des organes de régulation et d’application du texte européen dans chaque pays. Anu Talus estime ainsi que les connaissances et l’expérience acquises dans le cadre de l’application du RGPD donnent une longueur d’avance aux institutions en place sur les données. Ces dernières s’organisent d’ores et déjà en ce sens et ont créé en 2023 un groupe de travail européen déjà chargé de coordonner l’application des réglementations relatives à l’IA générative.
Et de préciser que « beaucoup de nos autorités ont déjà été impliquées dans des affaires concernant l’IA parce que de nombreuses solutions sont d’abord basées sur le traitement de données personnelles ».
La loi européenne sur l’IA changera donc la donne dans son secteur et devra bien s’aligner sur le RGPD, qui continuera de régner dans les domaines des droits des données individuelles et des conditions dans lesquelles les données personnelles peuvent être traitées, explique Gintarė Pažereckaitė, juriste au sein de l’instance regroupant les régulateurs européens.
Selon elle « nous avons déjà une loi en Europe qui réglemente l’IA, et c’est le bon vieux RGPD. Bien sûr, il ne s’applique que dans les cas où des données personnelles sont traitées, mais cela pourrait correspondre à la grande majorité des cas d’utilisation de l’IA. »
Reste que la loi européenne sur l’IA n’est pas une copie exacte du RGPD, mais de nombreux droits et les nombreux principes de confidentialité établis dans le texte historique (concernant la transparence, l’équité, l’information ou l’exactitude) se retrouvent dans le projet sur l’IA, ce qui induit un risque de chevauchement pour Jasmien César, conseillère principale pour la confidentialité, la protection des données et l’IA chez Mastercard.
Elle accuse même le futur ensemble d’être « une sorte de Frankenstein législatif européen », attendant de voir comment les « mécanismes complexes d’application » se déploieront, avec des États membres qui – sur la base du même texte – entament déjà des approches différentes. Tandis que certains, comme l’Espagne, optent pour la création de nouvelles autorités chargées spécifiquement de l’IA, d’autres se tournent vers des organes de surveillance existants, notamment les autorités de protection des données.
La loi sera donc mise en œuvre sous l’œil « d’autorités ayant des antécédents différents, des compétences différentes, habituées à utiliser des boîtes à outils différentes, et qui devront se réunir et trouver un terrain d’entente sur le même ensemble de règles, à savoir la loi européenne sur l’IA », s’inquiète Jasmien.
Les autorités chargées de la protection des données sont confrontées à un problème de main-d’œuvre
Des querelles qui pourraient bien ne pas résister au principe de réalité. L’explosion de l’IA au cours des deux dernières années, en particulier de l’IA générative, représente en effet un défi supplémentaire de taille pour des autorités de régulation qui devront attirer des compétences en matière d’IA alors même que leurs moyens sont parfois limités pour mettre en œuvre le seul RGPD.
La constitution d’une main-d’œuvre qualifiée spécialisée dans l’IA est d’ailleurs une question à laquelle les gouvernements du monde entier sont confrontés. L’Administration américaine a ainsi récemment annoncé son objectif d’embaucher 100 professionnels de l’IA pour aider le Bureau chargé, à la Maison-Blanche, de gérer les investissements IA publics dans le budget des agences fédérales.