"La conformité au RGPD facilite et prépare celle à l’AI Act", Willy Mikalef (Bird & Bird). Après avoir posé les bases de la protection des données personnelles avec le RGPD, l’Union européenne franchit une nouvelle étape avec l’Artificial Intelligence Act. Ce règlement vise à encadrer les systèmes d’IA en imposant des règles de transparence, de sécurité et de respect des droits fondamentaux. Comment s’articule ce nouveau texte avec le RGPD ? C’est la question qu' a posée le Club Data Protection de L’Usine Digitale à Willy Mikalef et Ariane Mole, tous deux avocats associés au sein du cabinet Bird & Bird, spécialisés dans la protection des données personnelles.
Spécial Sommet pour l'IA
Un guide pour assurer la confiance dans l'IA. L'Agence nationale de la sécurité des systèmes d'information (Anssi) a publié une analyse commune des risques cyber liés à l'IA. Cosigné avec des agences internationales et des autorités gouvernementales, ce document – baptisé "Développer la confiance dans l'IA à travers une approche par les risques cyber" – soutient une approche par les risques afin de favoriser l'usage des systèmes d'IA de confiance et de rendre plus sûre leur chaîne de valeur.
En effet, il existe des risques spécifiques à l’IA : le rôle central des données au sein de ces systèmes pose des défis singuliers en matière de confidentialité et d’intégrité, écrivent les experts. Parmi les scénarios, ils citent la reconstruction ou récupération de
données confidentielles du système d’IA ou du modèle après la phase d’apprentissage ou encore l'altération des données d’entrée afin de modifier le fonctionnement attendu du système d’IA.
Dans ce cadre, le document recommande la mise en place de plusieurs mesures. Il est notamment recommandé aux utilisateurs, fournisseurs et développeurs d'IA de réaliser une cartographie de la chaîne d’approvisionnement, en intégrant à la fois les composants d’IA et les autres composants matériels et logiciels, ainsi que les jeux de données (nature, approvisionnement et traitement – notamment pour limiter les risques d’empoisonnement et évaluer l’impact des risques liés à l’extraction). De leur côté, les décideurs sont appelés à soutenir la recherche sur de nouvelles méthodes pour atténuer ces risques, notamment les technologies de protection des données.
Mistral AI ouvre son premier centre de données en France. Arthur Mensch, le CEO de la pépite française de l'IA générative, a annoncé "la création de notre premier centre de données en France, localisé dans l'Essonne". Il a expliqué son choix : "On a choisi la France pour son efficacité énergétique, la qualité de son mix énergétique en matière d'émissions carbone. On l'a choisi aussi pour la qualité de ses techniciens et la qualité de ses déploiements en centre de données. Pour nous, c'est un choix qu'on fait de maîtriser l'ensemble de la chaîne de valeurs, c'est-à-dire de la machine jusqu'au logiciel (...)".
Le RGPD critiqué pour le déploiement de l'IA en Europe. Le fonds américain General Catalyst a publié un rapport baptisé "An Ambitious Agenda for European AI", qui s'inscrit dans l'initiative "EU AI Champions Initiative" portée par plus 60 entreprises allant des start-ups aux grandes entreprises (Carrefour, Airbus, EDF, Orange, Mistral AI, Owkin...) . Leur objectif : positionner l'Europe en tant que leader mondial de l'IA.
Ce document critique "la densité croissante des régulations" qui constitue "un frein à l'innovation et à la compétitivité". Le RGPD figure parmi les coupables, dont l'articulation avec le règlement européen sur l'IA soulèverait de nombreuses problématiques. "Par exemple, l’AI Act exige des données d’entraînement de haute qualité pour les systèmes d’IA, mais le RGPD, avec son principe de limitation des finalités, restreint la réutilisation des données, créant un vide réglementaire sans exemption claire pour l’entraînement des IA", écrit le fonds américain. Par ailleurs, "ces deux réglementations ont des exigences en matière de qualité des données distinctes mais qui se recoupent, compliquant davantage la conformité des entreprises", ajoute-t-il.
Un appel à "une exploitation souveraine de données". Dans le cadre d'une tribune, des avocats et des dirigeants d'entreprises technologiques plaident pour le lancement par la France "d'un grand plan de l’IA" avec l'ambition d'assurer la souveraineté numérique. Ils rappellent que la force de frappe des puissances étrangères – les Etats-Unis et la Chine – est liée à l'exploitation à la collecte de "nos données à travers des services innovants".
"Alors que de notre côté, nous demeurons assis sur des gisements de données que nous n’exploitons pas", déplorent les auteurs. Ils appellent donc à "une réponse française et européenne autour de l’exploitation souveraine de nos données et du développement de systèmes IA (...)". Parmi les signataires, se trouvent Jérôme Giusti, avocat spécialiste en droit de la propriété intellectuelle et en droit du numérique au sein de Metalaw, Philippe Latombe, député de la 1ère circonscription de la Vendée, ou encore Hubert Tardieu, administrateur indépendant de Gaia-X.
France
Structurer l'accès aux données de santé. La Haute Autorité de Santé (HAS) a présenté ses orientations stratégiques pour la période 2025-2030. "Le Numérique et IA en santé" est l'un des piliers de ce programme. Il est axé sur de l'accès aux données de santé. Dans ce cadre, la HAS a notamment pour ambition de développer l'usage des données, notamment leur utilisation secondaire, pour la mesure de la qualité des soins et des accompagnements ou de l’impact des productions, mais aussi pour l’évaluation, en échangeant avec l’écosystème.
A lire aussi : Utilisation secondaire des données de santé : un potentiel encore trop peu exploité, d'après une étude
Voici les lauréats du Data Challenges en santé. Le Health Data Hub (HDH), en partenariat avec le secrétariat général pour l’investissement (SGPI), l’Agence de l’innovation en santé (AIS), la Délégation au numérique en santé (DNS) et Bpifrance, a annoncé les cinq lauréats issus de l'appel à projets "Data Challenges en santé". L'objectif de ce programme est de mobiliser la science des données pour améliorer les diagnostics médicaux. Parmi les lauréats, se trouve le projet AID-Oral – porté par l'AP-HP – qui vise à développer des algorithmes analysant des photographies de lésions orales, afin d’en extraire des caractéristiques morphologiques et structurelles non visibles à l’œil nu puis de les corréler à un diagnostic et à un risque de transformation maligne.
Europe
Oracle déploie les applications Oracle Fusion Cloud sur son cloud "souverain". L'entreprise américaine a annoncé qu'Oracle Fusion Cloud Applications Suite, une suite d’applications cloud développée pour aider les entreprises à gérer leurs opérations, était désormais disponible sur Oracle EU Sovereign Cloud. Cela permet aux organisations et entreprises européennes de "placer des données sensibles et des applications dans le cloud" ainsi que "de tirer parti de l'IA", le tout "en conformité avec leurs exigences de souveraineté et de confidentialité des données de l'UE".
Pour rappel, en vertu de la législation américaine, les autorités peuvent accéder aux données placées dans n'importe quel data center lorsqu'il est opéré par un fournisseur américain, et ce quelle que soit sa localisation.
A lire aussi : Cloud "souverain" : "Notre approche est complètement différente de celles de nos concurrents", Oracle
International
Musk empêché d'accéder aux données des Américains. Le juge Paul Engelmayer a suspendu temporairement l'accès aux données personnelles et financières des Américains "à toute personne nommée par le pouvoir public, tous les agents spéciaux du gouvernement" ainsi que "tous les employés gouvernementaux détachés par une agence extérieure au Trésor". Elon Musk et ses équipes, réunis dans le DOGE, en font partie. Il leur a également été ordonné de détruire tout le matériel téléchargé.
Le milliardaire justifiait cette intrusion dans les informations personnelles par la nécessité d'arrêter la fraude et le gaspillage de l'argent public. Une action en justice a été intentée par 19 procureurs généraux pour contrer cette pratique. Une nouvelle audience a été fixée au 14 février 2025 durant laquelle le juge examinera les prétentions de chaque partie. Il pourrait décider de prolonger la suspension ou la lever sous condition de la mise en place de solides garanties.
A lire aussi : Ce que l'arrivée de Trump pourrait changer pour la protection des données personnelles
Le Renseignement sud-coréen alerte sur DeepSeek. Le Service national de renseignement sud-coréen (NIS) accuse DeepSeek, le chabtbot alimenté par l'IA générative et commercialisé par la start-up chinoise éponyme, de collecter de manière excessive les données personnelles de ses utilisateurs et de les utiliser pour entraîner ses algorithmes. Un avis officiel a été envoyé aux agences gouvernementales pour les exhorter de prendre des mesures.
![[ÉNERGIES] Déployez vos projets IA à l’échelle, inspirez-vous du cas ENGIE Entreprises et Collectivités](https://cdn.webikeo.com/webinar_logo/2025-10-24-ac93013fcd6c2ea907b5a091f0e74c90.png){kind=logo}
