La loi européenne sur l'IA introduit le premier cadre juridique mondial pour l'IA, conciliant innovation, confidentialité et consentement. Son déploiement progressif, son code de bonnes pratiques et ses liens avec le RGPD représentent un défi pour les développeurs et les entreprises technologiques. La conformité exige une catégorisation des risques, la transparence, la maîtrise de l'IA et un consentement valide aux cookies, façonnant ainsi l'avenir d'une IA fiable et respectueuse des droits en Europe.
En 2024, la loi de l’UE sur l’intelligence artificielle (loi sur l’IA) est entrée en vigueur, marquant le premier cadre juridique complet au monde pour l’IA. Selon l'IAPP, sa mission première était de promouvoir une IA fiable, sûre et respectueuse des droits en Europe grâce à une approche réglementaire fondée sur les risques. Comme pour tout développement dans le domaine de l'IA, la confidentialité des données, les droits individuels et la place du consentement dans l'IA suscitent de vives inquiétudes. Où se situe l'équilibre entre la confidentialité des données et les principes de la loi sur l'IA ?
L'un des défis – et des craintes – au cœur de cette tension entre réglementation et innovation réside dans le fait que, comme d'habitude, la réglementation tarde à rattraper l'innovation. De plus, la loi sur l'IA n'est pas entrée en vigueur immédiatement. Ainsi, par exemple, l'interdiction des pratiques d'IA inacceptables, telles que la notation sociale, la manipulation subliminale et la reconnaissance des émotions, ainsi que l'exigence de maîtrise de l'IA, sont entrées en vigueur début 2025. Les systèmes d'IA à haut risque et les obligations relatives aux modèles d'IA à usage général n'entreront pas en vigueur avant août 2026.
Concernant toutes les réglementations que l'Europe souhaite mettre en œuvre, d'autres juridictions se heurtent à une certaine résistance. Bien que finalement rejetée par le Sénat américain, l'administration américaine actuelle a tenté d'interdire aux États américains d'appliquer toute loi régissant les modèles d'intelligence artificielle, les systèmes d'IA ou les systèmes de prise de décision automatisée pendant une période pouvant aller jusqu'à dix ans. En réalité, tout le monde ne souhaite pas réglementer et encadrer l'influence croissante de l'IA. Parmi d'autres défis obscurs, cela pourrait avoir des effets confus, voire désastreux, sur la confidentialité des données, car l'utilisation de l'IA entre en conflit avec les lois existantes sur la confidentialité et le consentement. Mais avant d'aborder ces préoccupations, examinons la situation actuelle.
Les retards de normalisation ont incité l'UE à introduire un Code de bonnes pratiques volontaire pour l'IA à usage général à l'été 2025. Ce Code offre un cadre pratique aux fournisseurs de modèles d'IA à usage général pour démontrer leur conformité aux obligations de la loi sur l'IA, telles que la transparence, le droit d'auteur, la sécurité et le risque systémique.
Les entreprises technologiques, en particulier les géants comme Google et xAI, ont pour la plupart signé le Code, s'engageant à le respecter en tout ou en partie. Son adoption leur offre une plus grande sécurité juridique et une charge administrative réduite par rapport aux autres voies de conformité. Malgré ces engagements, tous les géants technologiques ont exprimé des objections : de Google avertissant que la réglementation européenne freinerait l'innovation à Meta, qui a rejeté le Code dans son intégralité, invoquant son ambiguïté et son excès de pouvoir réglementaire. Et ce, même après que la Commission européenne a accordé un accès privilégié au Code à plusieurs grandes entreprises américaines qui souhaitent qu'il soit édulcoré. Il semblerait que malgré toutes les bonnes intentions de la loi sur l’IA, le produit final pourrait ne pas servir au mieux les intérêts des citoyens européens et de leur vie privée.
En fin de compte, le Code cesse de remplir son objectif affiché – faciliter la conformité – en raison de ce type d’ingérence des entreprises, qui traitent le Code comme une position politique plutôt que comme un outil technique.
Les développeurs naviguent dans l'ambiguïté lors du déploiement progressif. Tout semble évoluer, transformant la conformité en un véritable casse-tête (contrairement à l'objectif visé par la loi sur l'IA). Pour les développeurs et les entreprises technologiques, l'IA et la loi sur l'IA impliqueront l'introduction de diverses nouvelles étapes.
Certaines de ces étapes incluent l'introduction d'une catégorisation des risques et d'une documentation différente de la conception des systèmes, la mise en place de garanties de transparence et de droits d'auteur, la formation des employés et des utilisateurs concernés à l'IA, ainsi que l'adoption et l'utilisation de bacs à sable réglementaires pour l'IA.
Bien que la loi sur l'IA soit principalement une réglementation relative à la sécurité des produits, et non une loi sur la protection de la vie privée, elle recoupe largement le RGPD. Les données traitées par l'IA doivent néanmoins respecter les droits et protections prévus par le RGPD. Le traitement basé sur les cookies, considéré comme une donnée personnelle, nécessite un fondement juridique valable, à savoir un consentement explicite et/ou un intérêt légitime. C'est là que certaines fonctions d'IA rencontrent des difficultés.
Le consentement est au cœur de la plupart des transactions et interactions en ligne : la plupart des consommateurs connaissent bien les bannières de cookies et doivent naviguer et décider quels cookies accepter ou refuser. L'IA soulève de nouvelles questions pour les développeurs et les entreprises, qui n'avaient peut-être pas envisagé que les systèmes d'IA requièrent un nouveau consentement spécifique si les finalités du traitement des données changent. Autrement dit, si les données utilisateur ou les données de cookies sont réutilisées pour entraîner ou valider les systèmes d'IA, le consentement existant n'est plus valide.
Cette situation survient alors que les régulateurs européens renforcent l'application des exigences en matière de consentement aux cookies, avec des amendes plus lourdes en cas de non-respect. Cela impacte les projets d'IA s'appuyant sur le suivi ou la personnalisation par cookies, rendant le consentement valide et la transparence des informations plus importants que jamais.
Le paysage européen de la gouvernance de l'IA progresse, mais continue de se développer et d'évoluer. Pour les développeurs et les entreprises technologiques, cela implique :
Comprendre votre rôle et votre catégorie de risque : êtes-vous fournisseur, déployeur, importateur ?
Élaborer des stratégies de documentation et de transparence, même en s'appuyant sur le Code de bonnes pratiques volontaire ;
Prioriser la maîtrise de l'IA en interne, ainsi que des alliances transversales en matière de conformité entre les équipes chargées de la confidentialité, du droit et de la R&D ;
S'assurer que les pratiques en matière de données et de cookies respectent les normes du RGPD, notamment en ce qui concerne le consentement et la réutilisation des données pour l'IA ;
Suivre l'évolution de l'application des règles, des directives et des efforts de simplification à grande échelle déployés par les régulateurs de l'UE pour favoriser une adoption en douceur.
Comme pour le RGPD, les défis initiaux en matière de conformité peuvent sembler insurmontables, mais s'adapter rapidement, mettre en place une gouvernance solide et privilégier la transparence aideront les entreprises non seulement à se conformer, mais aussi à jouer un rôle moteur dans le développement d'une IA éthique et fiable, conforme à la réglementation sur le consentement.
©2025 CookieHub ehf.
