Dans neuf jours, la Commission européenne présentera officiellement son grand projet de simplification des lois numériques, destiné à alléger la charge administrative des entreprises. Mais les projets de texte, publiés dans la presse européenne la semaine dernière, suggèrent des « changements énormes » : après l’AI Act, le RGPD, jusque-là intouchable, pourrait bel et bien subir un sacré coup de rabot. Au détriment de notre vie privée, pour plusieurs défenseurs du droit à la vie privée.
La semaine dernière, les projets de loi européens visant à simplifier les règles numériques de l’Union européenne (UE), qui seront officiellement présentés le 19 novembre prochain, ont fuité dans la presse. Les deux textes ayant trait à l’AI Act (le règlement européen sur l’intelligence artificielle) et au RGPD (le règlement qui protège nos données personnelles) comportent des dispositions sur les data qui ont mis vent debout les défenseurs de la vie privée. Le second texte du « paquet de simplification », ou « omnibus », comporterait plusieurs changements significatifs au RGPD et à la directive ePrivacy, des allégements demandés pendant longtemps – et jusqu’à présent, en vain – par les géants des nouvelles technologies.
Et si la Commission européenne a toujours présenté les futures modifications comme « des ajustements ciblés », destinés à alléger la charge administrative des entreprises, les changements à venir seraient, en pratique, bien plus importants.
« Une carte blanche donnée aux géants de l’IA pour aspirer les données des Européens »
C’est notamment l’avis de Max Schrems, le fondateur de l’association de défense des droits numériques Noyb, pour qui « ces modifications sont extrêmes et ont une portée considérable », estime-t-il dans un post LinkedIn publié ce lundi 10 novembre. Elles auront « un impact significatif sur le droit fondamental des personnes à la vie privée et à la protection des données », écrit l’association dans un communiqué publié ce jour.
L’organisation qui a fait tomber, à deux reprises, l’accord transatlantique sur le transfert de données, déplore que le texte « suggère », ni plus, ni moins, « de donner aux entreprises d’IA (telles que Google, Meta ou OpenAI) carte blanche pour aspirer les données à caractère personnel des Européens ». De quoi constituer « une dégradation massive de la vie privée des Européens dix ans après l’adoption du RGPD ». Il s’agit d’une « tentative massive de déréglementation, qui renverse 40 ans de doctrine européenne en matière de droits fondamentaux », regrette encore Noyb.
Un intérêt légitime étendu, les cookies, une interdiction de traitement des données sensibles allégée…
Concrètement, le futur texte, s’il reste tel quel, permettrait aux entreprises de l’IA comme OpenAI, qui a développé ChatGPT, ou Google, qui a développé Gemini, de collecter davantage de données des Européens, pour entraîner l’intelligence artificielle. Le texte suggèrerait de passer par « l’intérêt légitime » en lieu et place du « consentement préalable des utilisateurs », pour justifier la collecte de données personnelles à des fins de formation des modèles d’IA, explique Euractiv, ce lundi 10 novembre – ces deux justifications sont prévues par le RGPD, le « consentement » étant bien plus lourd pour les entreprises mais bien plus protecteur pour les individus que « l’intérêt légitime ».
Les règles entourant les cookies, ces bannières de consentement qui s’affichent lorsqu’un utilisateur visite un site Web, seraient aussi allégées. Là aussi, en lieu et place de l’exigence actuelle de consentement, les entreprises pourraient passer par « l’intérêt légitime » pour justifier le suivi des utilisateurs. D’autres dispositions prévoient aussi d’alléger l’interdiction de traitement des données sensibles qui touchent aux origines ethniques, aux orientations sexuelles ou aux opinions politiques des Européens, rapportait Contexte, le 7 novembre dernier. Ces données particulières pourraient servir à entraîner l’IA, à certaines conditions.
« La fin de la protection des données et de la vie privée telles qu’inscrites dans les lois européennes ? »
Si beaucoup craignaient que le « paquet de simplification » soit l’occasion, pour les géants de la tech, de peser pour introduire des pauses ou des allégements pour l’AI Act, il n’était jusque-là pas question de toucher au RGPD. Désormais, non seulement le sujet serait bien sur la table, mais les modifications envisagées, qui peuvent paraître purement techniques, auraient des impacts considérables.
« Est-ce la fin de la protection des données et de la vie privée telles que nous les avons inscrites dans le traité de l’UE et la charte des droits fondamentaux ? », demande Jan Philipp Albrecht, ancien Eurodéputé allemand et considéré comme un des « pères du RGPD », cité par Politico. « Les changements sont énormes », confirme de son côté Lukasz Olejnik, chercheur spécialisé dans la protection de la vie privée, interrogé par Euractiv.
Même constat chez Max Schrems, le fondateur de l’association de défense des droits numériques NOYB, qui déplore au passage qu’aucun des changements envisagés ne résoudront la charge administrative des PME.
L’Europe prête à sacrifier la vie privée pour rattraper son retard économique ?
Si pendant longtemps, Bruxelles a refusé de toucher au RGPD, l’exécutif européen aurait changé de braquet face au retard pris par l’Europe, dans la course à l’IA. Dans son rapport sur la compétitivité publié l’année dernière, Mario Draghi, l’ancien premier ministre italien, n’hésitait pas à présenter le RGPD comme un frein à l’innovation européenne en matière d’intelligence artificielle.
Le projet de simplification, dit « Omnibus », pourrait encore être modifié avant d’être officiellement présenté le 19 novembre prochain. Il devra ensuite être approuvé par les 27 pays de l’UE, et par le Parlement européen, où la question de la protection de la vie privée devrait être âprement discutée.
👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google Actualités, abonnez-vous à notre canal WhatsApp ou suivez-nous en vidéo sur TikTok.