Il y a quelques jours, nous avons commencé notre série d’articles sur la législation et l’IA, en expliquant l’importance de la loi sur le IA dans l’Union européenne en tant qu’élément central du cadre réglementant l’utilisation de l’intelligence artificielle. Cependant, la réglementation s’appuie sur tout un écosystème d’« éléments » qui avaient déjà été développés à mesure que la technologie progressait et façonnait notre quotidien.
RGPD et directive ePrivacy
Le RGPD et la directive ePrivacy constituent les fondements essentiels de toute législation relative à l’intelligence artificielle, car il est bien connu que celle-ci repose sur des données et que la confidentialité et la protection de ces dernières sont essentielles.
Même si nous acceptons les cookies et les conditions générales afin de pouvoir utiliser de nombreux services au quotidien, il existe une série de réglementations visant à garantir une certaine confidentialité et protection de nos données.
Le Comité européen de la protection des données a publié l’avis 28/2024 sur les modèles d’IA afin de clarifier:
- Quand les données utilisées pour entraîner les modèles peuvent-elles être considérées comme anonymes?
- Dans quelles conditions peut-on considérer qu’il s’agit d’un intérêt légitime?
- Quelle devrait être la limite de la portée du scraping (la recherche et la collecte massive de données sur Internet) pour entraîner l’IA?
La loi sur la protection des données est un sujet très vaste en soi et couvre de nombreux points, comme par exemple le fait que les données d’un citoyen européen ne peuvent pas quitter physiquement l’Europe s’il n’existe pas une série de garanties légales en matière de protection des données concernant le lieu physique où elles seront stockées en dehors de l’Union.
Autres normes
Outre l’IA Act, nous disposons de deux autres normes régissant le déploiement de l’IA ou ce que nous pourrions appeler « les canaux » par lesquels elle circule :
La DSA ou Digital Services Act affecte directement les grandes plateformes et les entreprises de marketing en ligne, telles que Google, car elle impose une certaine transparence, limite le ciblage sensible et les mineurs.
D’autre part, le DMA ou Digital Markets Act réglemente les grands « gatekeepers » d’Internet et interdit leur auto-privilège ou renforce l’interopérabilité et l’accès aux données entre les IA tierces.
Nous avons ensuite le Data Act, qui est entré en vigueur relativement récemment, le 12 septembre 2025. Il s’agit d’un pilier de la stratégie européenne en matière de données qui vise à réglementer l’utilisation des données sur les appareils connectés (Internet des objets), à donner aux consommateurs la possibilité d’avoir une plus grande interopérabilité entre les fournisseurs de services dans le cloud, à interdire les contrats abusifs, etc. Il permet également aux gouvernements des États membres, dans des cas justifiés, d’accéder aux données des entreprises privées dans l’intérêt public, comme en cas d’urgence.
À qui appartient le droit d’auteur des créations?
Finalement, une pièce très importante pour compléter notre puzzle réglementaire, et qui touche précisément le monde de la publicité, de la créativité et du marketing de manière particulière, est la réglementation sur le droit d’auteur. Il s’agit d’un terrain particulièrement délicat. La directive DSM permet certaines formes de TDM (text and data mining) sur des œuvres protégées, mais elle reconnaît un opt-out pour les usages commerciaux : les titulaires de droits peuvent exclure leurs contenus, par exemple à l’aide de signaux lisibles par machine.
Des études récentes du Parlement européen soulignent que le contenu généré par l’IA peut ne pas être clairement protégé par le droit d’auteur s’il manque de « créativité humaine », laissant entreprises et créateurs dans un flou juridique concernant la propriété et l’exploitation.
Cependant, il ne s’agit pas directement d’une loi. Les auteurs et les sociétés de gestion ont critiqué le fait que l’AI Act laisse un «trou de droit d’auteur» et n’aborde pas de manière explicite la rémunération pour les usages massifs dans l’entraînement. L’article 50 de l’AI Act est celui qui présente les règles spécifiques sur l’IA générative et le contenu synthétique.
Que prévoit chaque réglementation?
En résumé, on peut dire que:
AI Act : définit ce que l’on peut faire avec l’IA et avec quelles garanties selon le niveau de risque.
RGPD / ePrivacy : continuent de s’appliquer à tout ce qui implique des données personnelles, y compris les prompts et les journaux (logs).
DSA / DMA : obligent les grandes plateformes et les gatekeepers à rendre leurs algorithmes plus transparents et contrôlables, ce qui change les règles du jeu pour ceux qui développent leur activité dessus : médias, e-commerce ou publicité.
Data Act : réglemente l’accès et l’utilisation des données industrielles/IoT ainsi que la portabilité dans le cloud, ce qui affecte les jeux de données qui alimentent l’IA.
Droit d’auteur : encore en phase d’ajustement, tentant d’intégrer l’entraînement massif et les contenus générés dans un cadre pensé pour des œuvres humaines.
Il est clair que la régulation d’une technologie aussi complète et aussi largement utilisée nécessite une étude minutieuse de tous les usages et scénarios dans lesquels elle s’applique, et que les cas auxquels les responsables seront confrontés ne cesseront d’augmenter.
