Connexion
La Commission européenne prévoit d’affaiblir le RGPD au profit des entreprises d’IA
RGP quoi ?
Un brouillon de la loi « omnibus numérique » qui doit être présentée en décembre prochain révèle que Bruxelles veut modifier en profondeur le RGPD pour aider l’industrie de l’IA à se développer en Europe. Le texte prévoit aussi d’alléger la gestion des bannières de cookies et d’imposer un mécanisme à la « do not track », avec la possibilité pour les médias de passer outre.
En fin de semaine dernière, plusieurs médias européens ont obtenu un brouillon de la loi « omnibus numérique » que prévoit de présenter la Commission européenne dans les prochaines semaines. Alors qu’elle présentait son texte comme une « simplification » des textes, l’analyse de ce document montre que le projet va beaucoup plus loin et fait dire au responsable de l’association noyb, Max Schrems, que « ces changements sont extrêmes et ont des répercussions considérables ».
Comme l’indique le média allemand Netzpolitik, la Commission a en fait séparé sa proposition en deux textes : l’un sur la « simplification » de différents textes sur le numérique déjà en application [PDF], l’autre est plus spécifiquement sur l’IA et affiche la volonté de « simplifier » l’AI act [PDF], alors que celui-ci commence tout juste à s’appliquer progressivement jusqu’à devenir pleinement effectif à partir du 2 aout 2027.
Une volonté de laisser tranquille l’industrie de l’IA en Europe
La refonte prévue par ce texte des lois protégeant les données au sein de l’Union européenne est clairement prévue pour laisser la voie libre aux entreprises d’IA générative dans le but affiché de les aider à rester compétitives sur la scène internationale. Elle pourrait permettre aussi à des entreprises comme Meta de lancer sur le marché européen des produits comme ses lunettes connectées boostées à l’IA avec un peu moins de risques de se faire attraper par la patrouille.
Dans une réaction publiée sur LinkedIn, le responsable de l’association noyb, Max Schrems, a publié le texte de ce brouillon accompagné des commentaires de noyb [PDF].
L’entrainement des IA comme un « intérêt légitime »
En question dans ces « simplifications » du RGPD, notamment, la volonté de prendre en compte l’entrainement des IA comme un « intérêt légitime ». Ainsi le texte affirme qu’ « une IA fiable est essentielle pour assurer la croissance économique et soutenir l’innovation avec des résultats bénéfiques pour la société ».
La Commission fait le constat que « le développement et l’utilisation de systèmes d’IA et des modèles sous-jacents, tels que les grands modèles de langage et les modèles de génération de vidéo, reposent sur des données, y compris des données à caractère personnel, à différentes étapes du cycle de vie de l’IA, telles que les phases d’entrainement, de test et de validation, et peuvent dans certains cas être conservées dans le système ou le modèle d’IA ». Elle en conclut que « le traitement des données à caractère personnel dans ce contexte peut donc être effectué à des fins d’intérêt légitime au sens de l’article 6 » du RGPD.
Des critiques des fondateurs du RGPD
Sur ce sujet, noyb considère que la Commission s’engage dans une « pente glissante » : « si l’on estime qu’il existe un intérêt légitime à « scraper l’intégralité d’Internet » et toute autre donnée d’entraînement disponible, à quelque fin que ce soit, sans le consentement des utilisateurs, il n’y a guère d’autres traitements qui ne relèveraient pas d’un « intérêt légitime » », commente l’association.
« Celui qui a rédigé ce projet avait une vision étroite de la (prétendue) « course à l’IA » et a tout simplement « balayé » le RGPD de nombreuses façons qui porteront préjudice à des personnes dans des centaines d’autres domaines (minorités, suivi en ligne, personnes souffrant de problèmes de santé, etc.) », a réagi Max Schrems dans son post sur LinkedIn.
« Il ne restera plus rien de la protection des données, car l’IA est omniprésente », considère de la même façon Paul Nemitz, ancien directeur du département juridique de la Commission européenne et un des fondateurs du RGPD.
« Est-ce la fin de la protection des données et de la vie privée telles que nous les avons inscrites dans le traité de l’UE et la charte des droits fondamentaux ? », s’est interrogé un autre des artisans du règlement européen, l’ancien eurodéputé Jan Philipp Albrecht cité par Politico. « La Commission doit être pleinement consciente que cela porte gravement atteinte aux normes européennes », ajoute-t-il.
Le respect d’un « do not track » obligatoire, sauf pour les médias
Le brouillon de la loi « omnibus numérique » prévoit aussi de simplifier l’utilisation des bandeaux de consentement aux cookies. Comme nous l’avions évoqué en septembre dernier, la Commission veut réduire l’affichage des bandeaux qui inondent le web. Elle envisage de mettre en place une automatisation de la réponse, à la manière d’un « do not track » très peu pris en compte actuellement, que l’utilisateur pourrait paramétrer soit dans son navigateur soit dans son système d’exploitation.
Les responsables des sites internet auraient l’obligation de prendre en compte ce mécanisme. Mais les rédacteurs y mettent une exception pour les sites de médias, comme le relève le site Heise. Ainsi, le texte indique que « compte tenu de l’importance du journalisme indépendant dans une société démocratique et afin de ne pas compromettre sa base économique, les fournisseurs de services de médias ne devraient pas être tenus de respecter les indications lisibles par machine relatives aux choix des personnes concernées ».
Cela permettrait aux médias de passer outre le consentement des utilisateurs et leur garantir la pérennité de leurs revenus provenant des publicités ciblées.
