Bruxelles recule sur la régulation de l’IA : « Un cadeau aux géants technologiques »

À peine dix ans après l’entrée en vigueur du Règlement général sur la protection des données (RGPD), la Commission européenne envisage de revoir en profondeur le cadre phare de la vie privée en Europe. Officiellement, l’objectif est clair : adapter la régulation au nouvel âge de l’intelligence artificielle générative et permettre aux entreprises européennes de rivaliser avec les géants américains et chinois. Mais pour les défenseurs des droits numériques, c’est une trahison des principes fondateurs du modèle européen.

« Cela constituerait une énorme régression pour la vie privée des Européens », dénonce l’activiste autrichien Max Schrems, fondateur de l’association NOYB.

L’IA générative au cœur du virage réglementaire

Depuis plusieurs mois, Bruxelles prépare un vaste « paquet numérique » de simplification. L’un de ses volets les plus sensibles concerne la refonte du RGPD, adopté en 2018. Ce texte imposait l’obtention d’un consentement « libre et éclairé » avant tout traitement de données personnelles — une exigence conçue pour encadrer le ciblage publicitaire, mais qui s’applique aujourd’hui aux modèles d’IA générative.

Les plateformes comme Meta, LinkedIn ou xAI (la société d’Elon Musk) ont déjà franchi la ligne. En mai 2025, Meta a commencé à utiliser les publications Facebook et Instagram pour entraîner ses modèles sans consentement explicite, invoquant le principe d’« intérêt légitime ». Jusqu’ici, les autorités de protection européennes contestaient cette interprétation.

Le projet de révision de la Commission, révélé par le média allemand Netzpolitik, légitimerait cette pratique : l’entraînement d’une IA sur des données personnelles serait désormais reconnu comme un « intérêt légitime » au titre du RGPD. Les entreprises n’auraient plus à solliciter le consentement préalable, mais seulement à offrir un « droit d’opposition » souvent enfoui dans les paramètres de confidentialité.

Un RGPD affaibli au nom de la compétitivité

Autre changement majeur : la Commission propose de redéfinir la « donnée personnelle ». Si une entreprise ne peut pas identifier directement une personne à partir d’une donnée, celle-ci ne serait plus soumise au RGPD. En parallèle, la protection renforcée des données sensibles serait limitée aux cas où elles « révèlent directement » l’origine raciale, les opinions politiques ou la santé d’un individu.

Ces modifications sont justifiées par la volonté de « réduire les incertitudes juridiques » pour l’industrie de l’IA. Officiellement, il s’agit de libérer l’innovation européenne freinée par une régulation jugée trop lourde. Dans les faits, elles reviendraient à affaiblir le socle juridique du RGPD, considéré jusqu’ici comme la référence mondiale en matière de protection des données.

« L’UE a mis des années à bâtir un cadre éthique solide. Le détricoter sous prétexte de compétitivité serait une erreur historique », estime une source proche de l’autorité autrichienne de protection des données.

Tensions entre États membres

La question divise profondément les Vingt-Sept. L’Allemagne pousse en faveur d’une réforme ambitieuse, estimant que l’Europe doit « rattraper le retard industriel » dans l’IA. La France, au contraire, plaide pour des « modifications ciblées » sans « réouverture du RGPD ». L’Autriche, la Pologne et la Suède s’y opposent fermement. Ensemble, ces pays pourraient constituer une minorité de blocage au Conseil européen. Bruxelles compte présenter son texte définitif avant la fin de l’année, mais les négociations s’annoncent longues. Pour être adopté, le projet devra obtenir le feu vert du Parlement européen et des États membres.

L’AI Act, lui aussi assoupli

Le RGPD n’est pas le seul cadre visé. La Commission envisage également de reporter l’application de plusieurs dispositions du AI Act, adopté en 2024 après de longues négociations. Ce texte, qui encadre les systèmes d’IA selon leur niveau de risque, devait entrer en vigueur progressivement jusqu’en 2027. Désormais, Bruxelles plaide pour un calendrier « réaliste », invoquant les retards dans la publication des normes techniques. Certaines obligations — notamment celles relatives à la documentation et à la surveillance — pourraient être différées d’un an. L’exécutif européen prévoit aussi une période de grâce pour le marquage obligatoire des contenus générés par IA. Cet assouplissement tranche avec la ligne tenue cet été, lorsque la Commission avait refusé tout report malgré la pression des industriels. Selon un responsable européen cité par Reuters, l’objectif est désormais de « laisser le temps aux acteurs européens de se conformer sans freiner l’innovation ».

Un tournant politique majeur

L’ensemble de ces ajustements s’inscrit dans un contexte de compétition mondiale exacerbée. Le rapport Draghi sur la compétitivité, publié en 2024, recommandait déjà de « moderniser » les cadres européens pour éviter la fuite des investissements vers les États-Unis. Mais ce choix comporte un risque : affaiblir ce qui faisait la singularité du modèle européen — la primauté des droits fondamentaux sur la logique de marché. Pour Max Schrems, « l’Europe envoie un message clair : nos données deviennent une matière première comme une autre. C’est exactement ce que nous voulions éviter. »

Vers un équilibre possible ?

Des experts appellent toutefois à ne pas caricaturer le débat. Selon eux, il est possible de concilier innovation et protection. Parmi les pistes envisagées :

• un statut dérogatoire temporaire pour les PME européennes développant des modèles d’IA non commerciaux ;
• la création d’un label « IA conforme RGPD », garantissant une transparence sur les données utilisées ;
• et le renforcement des obligations de traçabilité des modèles entraînés sur des données personnelles.

Ces approches permettraient d’éviter un « dumping éthique » tout en soutenant l’innovation locale.

L’Europe face à elle-même

En 2018, le RGPD avait fait de l’Union européenne une puissance normative mondiale. Sept ans plus tard, cette ambition vacille. Entre la peur du décrochage technologique et la volonté de préserver ses valeurs, Bruxelles tente de redéfinir sa place dans la course mondiale à l’intelligence artificielle.

« Intérêt légitime » ou « consentement explicite » — ce qui change vraiment

Le consentement explicite est la pierre angulaire du RGPD : il suppose un accord clair, volontaire et informé de l’utilisateur avant toute utilisation de ses données personnelles. L’entreprise doit prouver que ce consentement a été donné et que la personne concernée peut le retirer à tout moment.

L’intérêt légitime, en revanche, permet à une entreprise de traiter certaines données sans consentement, si elle démontre que son intérêt (par exemple, la sécurité, la recherche ou l’innovation) ne porte pas atteinte aux droits fondamentaux des individus. Cette base légale exige donc une mise en balance entre l’intérêt économique et la vie privée.

Dans le cas de l’intelligence artificielle, ce glissement est lourd de conséquences :

• il autorise l’utilisation massive de données publiques ou semi-publiques pour entraîner des modèles d’IA,
• il réduit la transparence sur les traitements effectués,
• et il déplace la charge de vigilance sur les citoyens, qui doivent exercer leur « droit d’opposition » souvent caché dans les paramètres.

Autrement dit, ce qui relevait d’un choix actif deviendrait un droit passif — un basculement symbolique, mais décisif pour la gouvernance numérique européenne.