De la directive de 1995 à l’IA Act : le panorama de la législation européenne dans le domaine du numérique
Depuis plus de trois décennies, l’évolution technologique s’accompagne non seulement d’un perfectionnement des techniques, mais aussi d’une évolution des normes qui encadrent ces techniques. Une phrase célèbre illustre bien cette dynamique : « Les États-Unis innovent ; la Chine copie ; l’Europe légifère ». De 1995 à aujourd’hui, l’Union européenne a adopté de nombreux textes législatifs visant à encadrer la révolution technologique. Ces textes ont pour objectif de garantir la protection des droits des personnes concernées : citoyens européens, États européens, tout en responsabilisant les acteurs majeurs du monde numérique, majoritairement américains. Ce billet se propose de dresser un panorama non exhaustif de la législation européenne dans le domaine du numérique.
L’origine du cadre européen de la protection des données
Les premiers textes consacrant un droit à la protection des données personnelles remontent aux années 1970. L’Allemagne, la Suède et la France font figure de pionnières en la matière. Le Land de Hesse en Allemagne a adopté la première loi européenne spécifiquement dédiée à la protection des données. En 1973, la Suède a promulgué les premières lois nationales sur le sujet, suivie par l’Allemagne en 1977 et la France en 1978 avec la Loi Informatique et Libertés.
L’Union européenne a adopté son premier texte sur la protection des données le 24 octobre 1995. Cette directive poursuivait un double objectif : favoriser la libre circulation des données au sein de l’Union européenne et garantir la protection des personnes concernées, c’est-à-dire toute personne physique identifiée ou identifiable dont les données personnelles font l’objet d’un traitement. Environ vingt ans plus tard, cette directive a fait l’objet d’une refonte totale. Cela a conduit à l’adoption du règlement général sur la protection des données en 2016.
Le RGPD ou le code de la donnée personnelle
En 2012, la Commission européenne a lancé un projet de réforme du cadre européen relatif à la protection des données à caractère personnel, qui a conduit à l’élaboration du Règlement général sur la protection des données (RGPD). En 2016, le Parlement européen et le Conseil, en qualité de colégislateurs, ont adopté le RGPD, devenu un texte incontournable en matière de protection des données personnelles au sein de l’UE.
Le RGPD est entré en vigueur le 24 mai 2016 et s’est pleinement appliqué à partir du 25 mai 2018, afin de laisser aux entreprises, organisations et autorités publiques le temps de se conformer à ce nouveau cadre juridique. Depuis son adoption, l’UE a poursuivi son effort législatif en adoptant plusieurs règlements sur des thématiques variées, notamment le Digital Services Act (DSA), son pendant économique le Digital Markets Act (DMA), ainsi que le règlement sur l’intelligence artificielle (IA Act).
Le DSA ou la fin du Far West numérique
Le DSA est un règlement européen adopté le 19 octobre 2022 et entré en vigueur le 16 novembre 2022. Son application s’est faite en deux temps : d’abord le 25 août 2023 pour les grandes plateformes, puis le 17 février 2024 pour l’ensemble des acteurs concernés.
Ce texte, qualifié par certains commentateurs de fin du Far West numérique, constitue un bouclier législatif visant à protéger les consommateurs européens des services numériques. Il s’applique aux plateformes comptant plus de 45 millions d’utilisateurs mensuels dans l’UE, telles que Facebook, TikTok ou Amazon.
En tant que dispositif préventif, le DSA cherche à protéger les utilisateurs contre les contenus illicites notamment les discours haineux, racistes, pédopornographiques, terroristes ainsi que contre les produits contrefaits ou dangereux disponibles en ligne. Son slogan : « Ce qui est illégal dans le monde réel doit l’être dans le monde virtuel ». Le DSA garantit ainsi les droits et libertés fondamentaux des citoyens européens dans l’espace numérique. Il renforce la transparence et responsabilise les acteurs numériques, tant du côté des consommateurs que des fournisseurs. Bien que le DSA et le DMA partagent un objectif commun : rendre le numérique plus sûr. Ils ciblent des acteurs différents.
Vers un marché numérique plus juste avec le DMA
Le Digital Markets Act (DMA) est le règlement européen qui inquiète les géants de la tech. Adopté le 14 septembre 2022, il est entré en application progressivement à partir du 2 mai 2023, pour une mise en œuvre complète au 6 mars 2024.
Le DMA vise à encadrer le marché numérique européen et à lutter contre les pratiques anticoncurrentielles des grandes entreprises du secteur. Il cherche à garantir une concurrence équitable en limitant le pouvoir des « contrôleurs d’accès » (gatekeepers), c’est-à-dire les entreprises qui dominent l’accès aux services numériques comme les moteurs de recherche, les réseaux sociaux ou les plateformes publicitaires.
Pour être concernées par le DMA, ces entreprises doivent remplir des critères stricts : être actives dans au moins trois pays européens, générer un chiffre d’affaires de 7,5 milliards d’euros en Europe et compter 45 millions d’utilisateurs européens, soit 10 % de la population de l’UE.
Actuellement, environ 10 000 plateformes numériques opèrent dans l’Union européenne, dont plus de 90 % sont des petites et moyennes entreprises (PME) qui ne captent qu’une infime part du marché. Le DMA cherche à rééquilibrer cette situation en imposant des restrictions aux entreprises en situation de monopole. Ces dernières ont toutefois critiqué le règlement, invoquant des préoccupations liées à la sécurité des services et des utilisateurs.
L’UE : pionnière dans la régulation de l’intelligence artificielle
Le règlement européen sur l’intelligence artificielle, connu sous le nom d’IA Act, a été adopté le 8 décembre 2023, puis approuvé formellement par le Parlement européen le 13 mars 2024 et par le Conseil le 21 mai 2024. Il est entré en vigueur le 1er août 2024. Avec ce texte, l’UE s’impose comme pionnière dans la régulation de l’IA. Son objectif est de garantir que les systèmes d’intelligence artificielle, notamment les IA génératives, soient dignes de confiance et respectent les droits fondamentaux et les valeurs européennes.
Ce règlement repose sur une approche fondée sur les risques, distinguant quatre catégories de systèmes d’IA : risque inacceptable, risque élevé, risque limité, risque minimal ou nul. Il vise à garantir le respect des exigences de sécurité.
Le texte interdit certaines pratiques jugées inacceptables, telles que la notation sociale par les autorités, l’identification biométrique à distance en temps réel dans les lieux publics (sauf exceptions graves), l’exploitation des personnes vulnérables à des fins nuisibles, et les manipulations trompeuses. Il impose une surveillance renforcée des systèmes d’IA à haut risque notamment dans les domaines de la biométrie, de l’éducation ou de l’emploi avec des tests rigoureux, une supervision humaine obligatoire et un suivi continu.
La transparence est également essentielle : les systèmes interactifs comme les chatbots ou les générateurs de contenu doivent indiquer clairement qu’ils sont pilotés par une IA. Enfin, pour encourager l’innovation responsable, des « bacs à sable réglementaires » permettent de tester les technologies dans un cadre sécurisé et encadré.
À travers sa législation, l’Union européenne affirme sa volonté de construire un espace numérique fondé sur la confiance, la transparence et la responsabilité. En encadrant les pratiques des acteurs du numérique, en protégeant les droits fondamentaux des citoyens et en favorisant une concurrence équitable, elle se positionne comme une puissance normative capable de réguler les transformations technologiques tout en soutenant l’innovation. Ce modèle européen, fondé sur l’éthique et la protection des utilisateurs, inspire bien d’autres États du monde confrontées aux mêmes défis. Toutefois, cette volonté affirmée par l’UE laisse perplexe certains acteurs européens particulièrement des jeunes pousses évoluant dans le domaine du numérique. Pour plus, cette inflation législative risque de freiner l’innovation. La question reste donc de savoir comment l’UE peut continuer à réguler les évolutions technologiques sans que ce soit préjudiciables aux startups européennes ?