Sept ans après l’entrée en vigueur du RGPD, l’Union européenne s’apprête à opérer un virage stratégique. Alors que le Digital Omnibus va être présenté, certaines pistes de réforme pourraient affaiblir certaines protections, au moment même où l’AI Act, pourtant ambitieux, est déjà remis en cause. L’Europe pourrait-elle alléger la protection des données pour rester compétitive sur l’IA ? Et à quel risque ?
I. La refonte du RGPD : vers plus de flexibilité pour entraîner l’IA
Le paquet Digital Omnibus, dont la présentation est prévue le 19 novembre, inclut une refonte ciblée du RGPD : simplification des bandeaux cookies, amélioration du “do not track”, allègement des obligations de consentement.
L’une des pistes les plus sensibles est l’utilisation élargie de la base légale “intérêt légitime” pour l’entraînement des modèles d’IA. Ce changement pourrait faciliter le traitement de volumes de données sans obtenir systématiquement un consentement explicite.
Cette orientation suscite des critiques : des acteurs de la régulation craignent que l’assouplissement du RGPD ne devienne un levier pour permettre aux entreprises d’IA d’accéder plus librement aux données utilisateurs, au détriment de la vie privée.
II. Pression sur l’AI Act : l’Europe face aux géants de la tech et aux États-Unis
Selon Reuters, la Commission européenne envisage de suspendre certaines parties de l’AI Act sous la pression des GAFAM et du gouvernement US.
Parmi les propositions : des périodes de grâce, des reports de sanctions et même des exemptions pour les modèles d’IA de type GPAI.
Si ces aménagements se confirment, ils pourraient remettre en cause l’ambition normative de l’AI Act, pourtant présenté comme un cadre renforcé pour une IA éthique et sûre. L’enjeu : concilier pression économique et souveraineté numérique.
III. Des conséquences concrètes pour la gouvernance des données et la cybersécurité
1. Entraînement des modèles IA
Le recours plus massif à l’intérêt légitime pourrait rendre l’entraînement interne plus simple, sans nécessiter toujours un consentement explicite.
Mais ce scénario nécessite la mise à jour des registres de traitement et des analyses d’impact (DPIA), pour justifier les usages et démontrer que ceux-ci sont proportionnés et sécurisés.
2. Risques accrus pour la cybersécurité
L’IA générative pose un risque de fuite de données : selon CSM — Cybersécurité Management, l’usage non contrôlé des outils IA peut conduire à une “exfiltration silencieuse” d’informations sensibles.
Le phénomène du Shadow AI (IA de l’ombre) est particulièrement préoccupant : des employés utilisent des IA externes sans passer par les canaux officiels, ce qui ouvre de nouvelles brèches de sécurité.
Plus de données transitant vers des modèles externes signifie également un risque accru d’exposition, de fuite ou de non maîtrise du cycle de vie des données.
3. Gouvernance et conformité
Les DPO (délégués à la protection des données), les CISO (responsables sécurité) et les équipes juridiques devront collaborer plus étroitement : décider quelle base légale utiliser, définir la minimisation des données, et encadrer les usages de l’IA.
Des politiques claires seront nécessaires pour encadrer l’usage de l’IA : classification des données, définition des outils autorisés, procédures de revue des flux de données vers les plateformes d’IA, formation des utilisateurs…
IV. Vers un nouvel équilibre : innover sans sacrifier la protection ?
L’Europe semble être à un tournant : peut-elle simplifier ses règles pour stimuler l’innovation en IA sans renoncer à ses valeurs de protection des données ?
Le RGPD a longtemps été perçu comme un modèle de référence ; l’AI Act devait prolonger cette ambition. Mais les pressions actuelles montrent que la régulation est aussi un terrain de négociation stratégique.
En conclusion
Le Digital Omnibus pourrait marquer un allègement du RGPD, notamment pour l’entraînement IA.
L’AI Act, adopté récemment, pourrait voir certaines dispositions reportées ou assouplies sous la pression des grandes entreprises et des États-Unis.
Pour les entreprises, cela signifie des ajustements très concrets en gouvernance, conformité et cybersécurité.
Réflexion ouverte : jusqu’où l’Europe peut-elle aller dans cette renégociation ? Et comment assurer la confiance des citoyens tout en gardant son rôle de leader dans la régulation ?
Sources principales
Reuters : la Commission européenne envisage de suspendre des parties de l’AI Act face à la pression des GAFAM et des États-Unis. Reuters
CSM – Cybersécurité Management : risques de fuite de données et Shadow AI liés à l’usage de l’IA générative. CSM – Cybersécurité Management
EDPS (European Data Protection Supervisor) : présentation et principes de l’AI Act. theguardian.com
