AI Act, révision du RGPD... Les législations européennes à suivre en 2025

L'Usine Digitale : La fin de l'année 2024 a été marquée par la nomination des nouveaux commissaires européens. Sur le numérique, que faut-il en retenir ?

Marc Schuler, associé au cabinet d'avocats Taylor Wessing : L'approche qui a été adoptée par la présidente de la Commission européenne, Ursula von der Leyen, marque un vrai changement. En effet, lors du précédent mandat, ces questions étaient concentrées entre les mains d'un même groupe, avec Thierry Breton à sa tête, qui jouait un rôle de premier plan dans le secteur du numérique.

C'est un peu moins vrai aujourd'hui puisqu'il y a une vice-présidente, Henna Virkkunen, chargée de la souveraineté technologique, de la sécurité, de la démocratie, qui va jouer un rôle central dans l'élaboration de l'avenir réglementaire de l'Union européenne pour les acteurs du numérique. Mais, lorsque l'on regarde les lettres de mission des commissaires, de nombreux autres commissaires devraient également contribuer, tels que Michael McGrath, chargé de la démocratie, de la justice et de l'état de droit.

C'est une bonne chose que d'aborder le numérique de manière transversale. Nous ne pouvons pas considérer le numérique comme une matière en soi. Il faut avoir une approche grand angle. Cependant, ces chevauchements des responsabilités dans différents portefeuilles vont exiger des commissaires une collaboration étroite.

L'année 2024 a également été marquée par le rapport rendu par Mario Draghi sur la compétitivité en Europe. L'une des conclusions était la nécessité de réformer le Règlement général sur la protection des données. Qu'en pensez-vous ?

Le constat vis-à-vis du RGPD est l'incohérence dans la mise en oeuvre du RGPD et le manque de clarté sur certaines questions, par exemple les conditions dans lesquelles les données personnelles peuvent être utilisées pour entraîner des systèmes d'intelligence artificielle. Il y a des travaux en cours, initiés par l'ancienne commission, sur une proposition de règlement relatif aux procédures d'application par les autorités de contrôle dans le cadre de l'application transfrontalière du RGPD. Ils seront poursuivis par le nouvel exécutif européen. Il y a des exemples assez saillants, tels que l'affaire Meta.

Cette proposition de règlement vise notamment à harmoniser les conditions de recevabilité des plaintes transfrontalières et les droits des parties qui font l'objet d'une telle enquête. In fine, l'objectif est de renforcer la coopération entre les autorités dans ce type d'affaire et surtout de faciliter la recherche d'un consensus au cours de l'enquête, et ainsi de limiter les désaccords entre les autorités à un stade ultérieur. L'autre objectif de la proposition est de réduire la durée des procédures. Il reste à voir si la portée et l'impact de ce règlement vont permettre d'apporter une amélioration sur les sujets qu'il a vocation à traiter.

Dans quelques semaines, l'Artificial Intelligence Act (AI Act) entre en vigueur, le 17 février 2025. Quels en sont les enjeux ?

La mise en oeuvre de l'AI Act est, en effet, en plein coeur de l'année 2025. L'une des questions qui se pose est le cadre de gouvernance : chaque Etat membre doit désigner une autorité de notification et une autorité de surveillance de marché. Ces responsabilités peuvent être réparties entre plusieurs autorités. Le risque principal est celui de la fragmentation des responsabilités, ce qui peut accroître la complexité de la réglementation.

Par ailleurs, la Commission européenne a présenté une proposition de directive sur la responsabilité en matière d'IA, publiée en 2022. Elle vise à harmoniser les règles nationales en matière de responsabilité avec l'objectif de faciliter la recherche et surtout la reconnaissance de la responsabilité des différents acteurs au titre des systèmes de recherche. L'objectif est donc vertueux.

Cette proposition est soutenue par un bon nombre d'associations de protection des consommateurs, mais elle fait également l'objet de critiques de la part des acteurs du numérique. Le risque de ce texte est d'imposer des contraintes réglementaires supplémentaires, alors qu'ils sont déjà confrontés à la mise en conformité avec l'AI Act. Se pose également la question de la nécessité d'une nouvelle directive en la matière alors qu'il y a eu une révision récente le 23 octobre 2024. Elle a élargi la définition des produits couverts par la directive en matière de responsabilité du fait des produits défectueux, y compris aux systèmes d'IA.

Autre sujet : la protection des mineurs en ligne. Depuis plus de trois ans, les Etats membres n'arrivent pas à s'accorder sur la proposition de règlement visant à prévenir et à combattre les abus sexuels commis contre des enfants, surnommée "Chat control", présentée le 11 mai 2022 par la Commission européenne. Quel est le point de désaccord ?

Il s'agit d'une proposition de règlement qui vise à retirer les contenus pédopornographiques présents en ligne ainsi qu'à améliorer la vérification de l'âge. L'objectif poursuivi ne peut être évidemment que salué. Le texte a, cependant, fait l'objet de nombreuses critiques car le texte exigerait l'analyse des conversations et des échanges de fichiers sur les services de messagerie, même ceux faisant l'objet d'un chiffrement de bout en bout, afin de détecter les activités litigieuses de manière proactive. Cela pose de sérieuses questions en matière de vie privée et de sécurité des données personnelles en prenant le risque d'introduire des vulnérabilités qui pourraient être exploitées par des acteurs malveillants.

Sur ce texte, certains compromis avaient été trouvés dans la dernière version, mais l'opposition persiste. Pour l'année 2025, l'adoption est une priorité pour la Commission.

Sélectionné pour vous

Une organisation sur deux a déjà écarté une solution IT pour des raisons de souveraineté

Droits d'auteur : Anthropic met fin à un procès en payant 1,5 milliard de dollars

Supply chain, gouvernance, audibilité : Les leçons à tirer du stress test sur la sécurisation de l'IA