IA et vie privée : la Commission rejette toute modification du RGPD, privilégiant sa mise en œuvre

La Commission européenne ne prévoit pas de révision du règlement général sur la protection des données (RGPD), préférant se concentrer sur son application, alors que la question de la protection de la vie privée à l’ère de l’intelligence artificielle (IA) fait de plus en plus débat.

Le RGPD établit un cadre commun des règles applicables autour des traitements des données personnelles au sein de l’UE.

Un porte-parole de la Commission a indiqué à Euractiv que l’exécutif européen n’avait pas l’intention de réviser le règlement avant son prochain rapport d’évaluation, prévu pour 2028. Dans son dernier rapport, publié fin juillet, la Commission européenne pointait du doigt les problèmes relatifs à l’application de la loi.

Ce n’est pas la première fois que cet élément est mis en exergue. En effet, le premier rapport faisait également état de problèmes de mise en œuvre, contribuant à la proposition par la Commission en 2023 du règlement de procédure du RGPD, sur lequel les législateurs européens travaillent toujours.

Bien que le rapport n’ait entraîné aucune modification du RGPD en tant que tel, le Conseil de l’UE et le Parlement européen ont adopté des positions sur le règlement de procédure, et les négociations interinstitutionnelles doivent débuter dans les mois à venir.

La décision de la Commission de donner la priorité à l’application du RGPD a été saluée par des eurodéputés de gauche, qui craignent que ne pas le faire puisse nuire aux standards de protection de la vie privée et de sécurité lors du traitement de données personnelles.

À l’inverse, l’eurodéputé allemand de chrétien-démocrate Axel Voss (Parti populaire européen, PPE), rapporteur du règlement sur l’intelligence artificielle (AI Act) pour la commission des Affaires juridiques (JURI) du Parlement, a déclaré qu’une action urgente était nécessaire, car l’essor de l’intelligence artificielle exige un changement d’esprit du RGPD.

La Commission et les eurodéputés de gauche sont alignés avec la prise de position du lobby numérique Digital Europe sur une éventuelle révision du RGPD.

« Nous avons besoin de discuter au niveau des États membres et [en Allemagne] entre Länder d’une meilleure mise en œuvre, plus harmonisée, du RGPD », a expliqué à Euractiv l’eurodéputé allemand Sergey Lagodinsky (Verts/ALE), ancien rapporteur sur le règlement de procédure du RGPD.

Le débat sur l’IA

La mise en œuvre de la version actuelle du RGPD est particulièrement importante si l’UE souhaite s’assurer que ses entreprises ont accès à des données de qualité pour entraîner des modèles d’IA, a expliqué à Euractiv l’eurodéputée allemande Birgit Sippel (Socialistes et Démocrates européens, S&D), rapporteure de la directive relative à la vie privée et aux communications électroniques (ePrivacy).

Birgit Sippel a cité comme exemple les biais ethniques dans les jeux de données, qui peuvent réduire l’efficacité d’un modèle d’IA conçu pour détecter des affections cutanées cancéreuses, par exemple.

D’un autre côté, l’accès et le traitement d’importantes quantités de données de qualité sont essentiels pour entraîner des modèles d’IA non discriminatoires, a indiqué Axel Voss à Euractiv.

Pour lui, il est indispensable de modifier le RGPD afin de favoriser l’innovation dans un environnement numérique en mutation.

« Je changerais toute la structure du RGPD […] en passant du “tout est interdit” à “tout est permis” à condition que la vie privée des citoyens ne soit pas touchée », a-t-il affirmé.

Actions en justice

La légalité de l’utilisation de données personnelles pour entraîner des modèles d’IA est actuellement contestée devant les tribunaux, et des plaintes ont été déposées à ce sujet auprès des autorités chargées de la protection des données.

Il existe plusieurs bases juridiques qui autorisent les traitements des données à caractère personnel en vertu du RGPD. Dans la pratique, les bases juridiques utilisées reposent souvent sur les notions d’intérêt légitime, de réalisation d’un contrat ou du consentement de l’utilisateur.

Meta, société mère de Facebook et d’Instagram, a perdu plusieurs procès concernant la légalité de ses traitements de données à caractère personnel dans l’UE. Les décisions de la Cour de justice de l’UE (CJUE) ont obligé Meta à modifier la base juridique de son traitement de ces données en novembre 2023, qui a décidé de passer d’un modèle basé sur l’exécution de contrat au consentement des utilisateurs.

Par ailleurs, l’ONG de défense des droits numériques Noyb a contesté en juin la légalité de l’invocation par Meta de l’intérêt légitime, un terme sujet à diverses interprétations juridiques, pour utiliser des données à caractère personnel dans le cadre d’entraînement de ses IA. Meta a finalement mis un terme à ses projets d’IA en Europe.

Solutions de contournement

Le RGPD n’étant pas assez permissif en termes de traitement des données des utilisateurs, les législateurs de l’UE ont dû créer des « bacs à sable règlementaires » pour permettre aux entreprises d’IA de tester leurs nouvelles idées à petite échelle et sous contrôle règlementaire, a expliqué Axel Voss.

L’eurodéputé allemand a ajouté que ces bacs à sable règlementaires surchargeaient les entreprises innovantes et ne permettaient pas aux entreprises de l’UE de croître à la vitesse requise pour être compétitive sur la scène mondiale.

Sergey Lagodinsky a toutefois attiré l’attention sur les nouvelles règlementations qui permettent l’utilisation de données personnelles pour entraîner des modèles d’IA tout en garantissant la confidentialité des données, comme le règlement sur les données (Data Act), qui fournit une méthode pour anonymiser les données personnelles.

Selon lui, le règlement sur la gouvernance des données (Data Governance Act, DGA) établit une structure de marché qui facilite la mise en commun et l’échange de données. Ensemble, ces règlements sont en accord avec le RGPD et permettent de relever efficacement les défis posés par l’essor de l’IA, a-t-il expliqué.

« Dans les années à venir, nous devons préserver les principes au cœur du RGPD à travers la vague de l’intelligence artificielle », a poursuivi Sergey Lagodinsky, évoquant les niveaux de protection élevés en termes de respect de la vie privée et de sécurité.

« Il y a trop de forces au Parlement européen et au sein du Conseil de l’UE qui veulent s’attaquer aux exigences en matière de respect de la vie privée, au nom de la sécurité, et trop d’acteurs du marché qui veulent abaisser le niveau de protection à l’intérieur du RGPD. »

Une personne proche du groupe des Verts, qui n’a pas souhaité être nommée, a déclaré que la réouverture du RGPD serait utilisée par « des groupes d’extrême droite [pour] essayer d’abuser de la révision afin de créer une base juridique légale permettant aux services de police de s’introduire dans les appareils des citoyens de l’UE pour de prétendues raisons de sécurité ».

[Édité par Anne-Sophie Gayet]