L’UE veut simplifier ses règles numériques… quitte à sacrifier un peu la vie privée

Le nouvel « omnibus numérique » que la Commission européenne doit présenter le 19 novembre est censé moderniser et simplifier les règles qui encadrent l’économie numérique. Mais selon un projet de texte qui a fuité la semaine dernière, cette refonte risquerait surtout de faire passer l’intelligence artificielle avant la protection de la vie privée.

Le document, consulté par Euractiv, montre la volonté du Berlaymont de centraliser le contrôle de l’IA au sein de la Commission et d’assouplir certaines garanties prévues par le règlement général sur la protection des données (RGPD), afin de faciliter l’utilisation des données personnelles pour l’entraînement des modèles d’IA. Autrement dit, les citoyens européens pourraient bientôt devoir accepter un peu moins de confidentialité au nom de l’innovation.

Une tendance déjà amorcée

Cette orientation n’est pas nouvelle, car les modifications proposées aux règles de protection de la vie privée ne feraient que valider des mesures déjà prises par des géants technologiques tels que Meta.

Depuis mai, Meta alimente ses modèles d’IA avec des publications Instagram et Facebook. Cette décision d’entraîner les systèmes à partir des données des utilisateurs sans leur consentement explicite a suscité l’indignation des défenseurs de la vie privée. Mais l’autorité irlandaise de contrôle des données, chargée de superviser le respect du RGPD par Meta, a validé cette approche, malgré les préoccupations règlementaires qui avaient conduit l’entreprise à suspendre son projet l’été dernier.

D’autres géants de la tech ont emboîté le pas à Meta, invoquant le motif d’« intérêt légitime » prévu par le RGPD de l’UE pour entraîner des IA à partir des informations des Européens sans avoir à demander leur consentement.

Si la proposition finale d’omnibus numérique de la Commission confirme cette approche, l’UE donnera aux géants technologiques exactement ce qu’ils demandent.

Le lobbying porte ses fruits

En décembre dernier, Nick Clegg, alors président des affaires internationales de Meta, publiait dans Le Monde une tribune attaquant les autorités européennes chargées de la protection des données pour avoir « traîné des pieds » dans les décisions relatives aux données pour l’IA.

Selon l’ancien eurodéputé et ex-vice-Premier ministre britannique, cette lenteur règlementaire freinait la croissance et l’innovation en Europe. Il appelait Bruxelles à une réflexion plus profonde sur la compétitivité et la productivité du continent, dans le sillage des rapports d’Enrico Letta et de Mario Draghi consacrés au marché unique et à la performance économique de l’UE.

À en croire le projet d’omnibus qui a fuité, le message semble avoir été entendu.

Alors que les plans initiaux de la Commission pour le paquet de simplification numérique ne mentionnaient pas le RGPD dans le champ d’application des réformes, les grandes entreprises technologiques et leurs groupes de pression basés à Bruxelles ont profité de la consultation publique sur le projet pour attaquer les lois européennes relatives à la protection de la vie privée, demandant que certaines règles soient supprimées afin d’ouvrir la voie à l’IA.

Mario Draghi a fait écho aux appels en faveur d’une refonte radicale du RGPD en septembre, accusant la loi d’être un obstacle au développement de l’IA.

En septembre, dans son discours sur l’état de l’Union, la présidente de la Commission, Ursula von der Leyen, avait laissé entrevoir ce qui se tramait dans les bureaux du Berlaymont en présentant l’IA comme un élément fondamental du programme de compétitivité de l’Union. L’Europe doit donner la priorité à l’IA pour être compétitive dans la course technologique mondiale, suggérait-elle.

Des changements considérables

Le projet de simplification avait initialement été présenté par la Commission comme un ensemble de modifications ciblées. Toutefois, la proposition ayant fuité semble prévoir des changements substantiels dans la législation européenne en matière de protection de la vie privée.

« Les changements sont énormes », explique à Euractiv Lukasz Olejnik, consultant indépendant et chercheur spécialisé dans la protection de la vie privée. « Il s’agit d’un paquet très ambitieux. Ce sera les Jeux olympiques du lobbying. »

Max Schrems, militant pour le droit à la vie privée, critique de son côté le manque de transparence de la Commission concernant le processus de simplification. « Une partie de la Commission européenne tente secrètement de prendre le dessus sur tous les autres acteurs à Bruxelles », confie-t-il à Euractiv. « Cela va à l’encontre de toutes les règles pour bien légiférer, avec des résultats désastreux. »

Si le texte final de l’omnibus est similaire au projet actuel, la Commission proposera de reconnaître explicitement que les développeurs d’IA peuvent s’appuyer sur la base juridique de l’intérêt légitime du RGPD pour utiliser des données à caractère personnel afin d’entraîner leurs modèles.

Concrètement, cela signifie que les entreprises n’auraient plus à demander de consentement préalable pour inclure les données des citoyens dans leurs systèmes d’IA — un simple mécanisme de désinscription (« opt-out ») suffirait. Les développeurs pourront donc justifier l’utilisation de ces données comme nécessaire, à condition toutefois que les droits des utilisateurs ne l’emportent pas sur leurs objectifs (l’intérêt légitime est soumis au test dit « d’équilibre des intérêts »).

Cependant, moins de personnes sont susceptibles de recourir au « opt-out » pour l’entraînement des IA que celles qui refuseraient si vous leur demandiez explicitement leur consentement.

Si ces changements favoriseront le développement de l’IA, Lukasz Olejnik souligne que ce sont les entreprises qui interpréteront les règles. « Si le RGPD prévoit toujours un test d’équilibre pour évaluer les risques/avantages pour l’utilisateur, il s’agit d’une question d’interprétation », prévient-il.

Moins de pop-ups

L’omnibus s’attaque aussi à la directive ePrivacy, en simplifiant les règles sur les cookies.

L’objectif affiché est de réduire la « fatigue des bannières » qui irrite les internautes. Cependant, pour les défenseurs de la vie privée, il s’agit surtout d’un cadeau aux annonceurs.

Le projet de la Commission propose des modifications à la directive ePrivacy en simplifiant l’exigence actuelle de consentement pour installer des cookies de suivi sur l’appareil d’un utilisateur (ou tout autre type de cookies qui ne sont pas strictement nécessaires à la fourniture du service) afin de permettre d’autres bases juridiques, telles que l’intérêt légitime.

Les défenseurs de la vie privée rétorquent toutefois que ce sont les entreprises technologiques qui conçoivent ces processus de consentement fastidieux.

L’omnibus redéfinit également ce qui constitue des données à caractère personnel, un changement important qui pourrait avoir des implications encore plus importantes pour le suivi des internautes en ligne.

« Si les entreprises transforment les personnes en simples chiffres, elles pourraient contourner le RGPD tout en continuant à les suivre et à les manipuler », prévient Max Schrems, suggérant que cela pourrait permettre à des secteurs entiers, comme la publicité en ligne, d’échapper aux règles de l’UE en matière de protection de la vie privée.

(asg)