Le 30 novembre 2022, le grand public découvrait la version française de ChatGPT. Le 30 mars 2023, l’Autorité de contrôle italienne décidait de bloquer l’application sur le territoire italien [1], pour violations du règlement général sur la protection des données [2]. Cette autorité n’en était pas à son coup d’essai, elle qui avait déjà bloqué l’application Replika, censée être un compagnon virtuel capable de nouer des relations avec son utilisateur [3]. Fin avril, suivant un accord conclu entre l’autorité de protection et la société OpenAI, l’application ChatGPT était de nouveau disponible en Italie.
Cet épisode, qui reflète la tension des relations entre le droit à la protection des données personnelles et le développement de l’IA, n’a été que le premier d’une longue série. L’autorité italienne a, en effet, vite été rejointe par ses homologues espagnoles, française ou encore allemande, qui ont ouvert des enquêtes à l’encontre de la société OpenAI. L’instance italienne a infligé une amende de 15 millions d’euros à cette société en décembre 2024 pour avoir traité illégalement les données personnelles des utilisateurs. Plus récemment, c’est le concurrent Deepseek qui était dans le viseur des autorités de contrôle européennes.
La recherche d’une articulation entre les règles protectrices des données et l’IA
En parallèle, des publications ambitionnant d’articuler les règles en matière de protection des données personnelles et les nécessités pratiques pour le développement de l’IA se sont multipliées. Pour n’en citer que quelques-unes, la Commission nationale de l’informatique et des libertés (Cnil) a relevé le défi de produire 18 fiches comprenant ses premières recommandations sur l’application du règlement général sur la protection des données (RGPD) au développement des systèmes d’IA pour aider les professionnels à concilier innovation et respect des droits des personnes [4].
Le Comité européen de la protection des données a produit un avis sur les modalités du respect du RGPD dans le contexte des modèles d’IA [5] et le Contrôleur européen de la protection des données a produit un guide [6] ainsi que des orientations pour assurer la conformité des systèmes d’IA générative aux règles protectrices des données personnelles [7]. Bref, le sujet est brûlant et il n’est pas certain que le cadre juridique existant résiste aux assauts de l’innovation.
Les règles protectrices des données challengées par l’IA
Force est, en effet, de constater que l’IA pose des défis majeurs en matière de protection des données personnelles. Parmi quelques exemples, on peut citer le principe de minimisation, lequel est difficilement conciliable avec le développement des systèmes d’IA. Conçu pour prévenir les collectes excessives de données, ce principe se heurte aux logiques propres de l’apprentissage automatique, qui reposent sur l’abondance et la diversité des données afin d’entraîner, de tester et d’améliorer la performance des modèles d’IA et de réduire des biais dont ils sont affectés. Exiger, dans ce contexte, que seules les données strictement nécessaires soient traitées revient souvent à formuler une injonction difficilement opérationnelle, tant la notion même de nécessité est mouvante dans des processus exploratoires où la valeur informationnelle se révèle a posteriori.
L’IA pose des défis majeurs en matière de protection des données personnelles
Cette difficulté se double de celle de l’exercice effectif des droits reconnus aux personnes concernées. Le droit d’accès, de rectification, d’effacement ou d’opposition suppose une traçabilité fine des données et une capacité à isoler l’impact individuel d’une information dans des systèmes complexes, alors même que les modèles d’IA intègrent les données sous forme de paramètres statistiques diffus, rendant matériellement délicate, voire illusoire, l’idée d’un retrait ciblé sans altérer l’ensemble du système.
Inquiétudes autour du transfert de données hors de l’UE
À cela s’ajoute le risque persistant de réidentification, qui fragilise la distinction juridique classique entre données personnelles et données anonymisées. Les capacités de croisement et d’inférence offertes par l’IA font planer la menace qu’un jeu de données réputé inoffensif puisse, combiné à d’autres sources, révéler des identités ou des attributs sensibles. Les défis se font plus aigus encore lorsque les traitements concernent des mineurs, pour lesquels le droit exige des protections renforcées.
Par ailleurs, le développement de l’IA ravive les inquiétudes relatives aux transferts de données hors de l’Union européenne, dans un contexte où les infrastructures, les équipes de recherche et les chaînes de valeur sont largement internationalisées. La multiplication des flux transfrontières expose les données à des régimes juridiques hétérogènes, parfois incompatibles avec les exigences européennes, et place les responsables de traitement face à une insécurité normative notable.
Enfin, les modalités du respect du principe de transparence restent floues. Le droit impose que les personnes soient informées de manière intelligible sur les traitements dont leurs données font l’objet, mais cette exigence se heurte à la réalité dès lors que certains algorithmes peuvent être qualifiés de « boîtes noires », en ce sens que leur fonctionnement interne échappe non seulement aux utilisateurs, mais parfois même à leurs concepteurs. L’explicabilité se heurte alors à des limites scientifiques bien réelles, faisant craindre que la transparence ne se réduise à un exercice formel, déconnecté de toute compréhension substantielle.
Peut-on concilier innovation et protection des données personnelles ?
Ces frictions ne sont vraisemblablement pas appelées à disparaître, mais plutôt à se transformer, au détriment, semble-t-il, de la protection des données personnelles. La communication « Stratégie pour l’union des données – Déverrouiller les données pour l’IA » ainsi que la proposition de « Digital Omnibus » avancée par la Commission européenne semblent, en effet, s’inscrire dans un mouvement assumé de facilitation de l’usage des données – y compris personnelles – au service du développement de l’IA.
Derrière le discours de cohérence et de lisibilité utilisé pour justifier les évolutions normatives proposées, se dessine une inflexion plus profonde : celle d’un rééquilibrage en faveur des impératifs d’innovation, de compétitivité et de souveraineté technologique aboutissant à l’affaiblissement de certaines garanties qui constituaient jusqu’ici le socle de la protection européenne des données. Ce déplacement du centre de gravité ne prend pas la forme d’une remise en cause frontale des principes du RGPD, mais pourrait aboutir à leur érosion progressive.
Finalement, au-delà des ajustements techniques et des débats juridiques qu’elle suscite, la confrontation entre protection des données personnelles et IA invite à une interrogation plus fondamentale sur le modèle de société numérique que l’Europe entend promouvoir. Longtemps érigée en étendard des valeurs défendues par l’Union européenne, la protection des données personnelles apparaît prise dans un faisceau de contraintes économiques, géopolitiques et industrielles qui en redéfinissent silencieusement les contours. La question n’est plus seulement de savoir comment appliquer des règles existantes à des technologies nouvelles, mais de déterminer jusqu’où ces règles peuvent être infléchies sans perdre leur fonction première.
En définitive, l’enjeu derrière la conciliation entre protection et exploitation des données touche à la capacité de l’Union européenne à trouver les équilibres nécessaires dans un monde où la donnée est devenue un levier stratégique majeur. À force de vouloir « déverrouiller » les données pour ne pas rater le train de l’IA, l’Europe pourrait à terme découvrir que ce qu’elle a laissé s’échapper n’était pas un frein à l’innovation, mais bien l’un des remparts permettant de maintenir la technologie au service des individus.
La protection des données personnelles apparaît prise dans un faisceau de contraintes économiques, géopolitiques et industrielles qui en redéfinissent silencieusement les contours
