Encadrer l’IA sans nuire à l’innovation, un rapport du think-thank français Digital new Deal

Écrit par Marine Landau | Publié le
Encadrer l’IA sans nuire à l’innovation, un rapport du think-thank français Digital new Deal
Comment établir un cadre juridique protecteur pour les utilisateurs de l’intelligence artificielle tout en préservant le potentiel innovant de l’Union européenne? Dans tous les cas, il faut éviter selon le rapport du think-tank français Digital New Deal une ère « AI is law », où en l’absence de cadre les IA écriront leurs propres règles.

La première section du rapport, qui s’adresse aux décideurs publics européens, nationaux et locaux, aux autorités de régulation et juridictions, aux start-up et aux plus grandes entreprises clarifie le cadre applicable. Tout en se félicitant de l’existence d’un corpus juridique articulé autour de l’éthique et de la sécurité, elle alerte ensuite sur la nécessaire harmonisation des règles.

L’IA  a besoin d’un cadre éthique : des règles nécessaires selon le rapport qui  font souvent l’objet de faux procès. Selon les auteurs de l’étude, elles peuvent au contraire lorsqu’elles sont appliquées par les entreprises constituer des atouts commerciaux. Au centre des enjeux: la masse de données dont a besoin l’IA pour fonctionner,  les fameuses données d’entrainement et modèles sur lesquels se base l’IA pour répondre aux requêtes.

Réglementer sans brider

Dans le corpus réglementaire, on trouve au rang des plus célèbres le RGPD. Entré en vigueur en 2018, le cadre est antérieur à l’essor de l’IA pour le grand public. Son application (stockage, traitement des données) à l’IA a été précisée par des recommandations de la CNIL en 2024 puis en 2025.

Le document relève également l’importance de deux règlements, le data act et data governance act qui s’ajoutent au cadre réglementaire afin de permettre la libre circulation des données personnelles et non personnelles entre les pays de l’UE, en garantissant disponibilité et sécurité. Enfin et surtout, le règlement sur l’intelligence artificielle, en avril 2021 qui a pour objet de préparer l’Union européenne à devenir un leader mondial dans le domaine, et œuvre notamment selon le considérant, pour le développement d’une IA “sûre, fiable et éthique”.

Dans une perspective d’utilisation grand public, le règlement a entrepris de classer les IA en niveaux de risque et à exclure les usages dits inacceptables, tout en tenant compte de la portée des IA dites généralistes. Selon le document, le rapport va dans “le bon sens et tient compte du sujet majeur de l’acceptabilité, condition sine qua non du développement de l’IA en Europe”

Pour ceux qui percevraient le cadre réglementaire comme un “tue l’innovation”, le règlement introduit par ailleurs des « bacs à sable réglementaires », c’est-à-dire des environnements contrôlés où les systèmes d’IA peuvent être développés, testés et validés avant leur mise sur le marché. Ces bacs à sable permettent d’identifier et d’atténuer les risques liés aux droits fondamentaux.

“De nombreux entrepreneurs ont relevé que la France et l’Europe risquaient de nouveau de passer à côté de la révolution IA, après celle de l’Internet”. Le document du think-tank met en avant l’importance d’un cadre juridique, conçu non pas pour entraver l’innovation, mais bien pour l’accompagner, et même pour donner des gages aux entreprises qui en feraient un argument commercial. “La mise en conformité peut être un atout concurrentiel », même si cela est plus vrai des grandes entreprises.

Enfin le document revient sur la cybersécurité, un des premiers risques identifié par les entreprises, où l’IA devient un des premiers agents de risque. Une étude de l’assureur Hiscox révèle que 70% des entreprises interrogées ont déjà intégré l’IA générative, ce qui les expose à des risques de déni de service si des mesures de cybersécurité ne sont pas prises. Ici, la réglementation française et européenne constitue une mesure de protection et même un avantage concurrentiel face à des pays qui n’ont pas pris la mesure du risque.

Articulation & cumul des normes

En revanche pointe le document, le corpus de normes doit viser la complémentarité, éviter la multiplication des normes et les doublons, notamment au regard des prérogatives des autorités de supervision. Même si à première vue, le champ du RGPD est la donnée, et celui de l’IA Act le système. Le rapport relève de possibles « frottements sectoriels », notamment sur les enjeux de conservation des données, qui sont nécessaires à l’entraînement de l’IA pour rendre le modèle pertinent. Le rapport recommande d’utiliser au mieux les souplesses prévues dans le cadre du RGPD à des fins de recherche pour permettre de concilier libertés publiques et compétitivité.

Enfin le document pointe les risques de divergences d’interprétation entre autorités nationales des pays de l’Union européenne qui ont toute latitude pour le faire. Il donne pour exemple l’équivalent de la CNIL pour l’Irlande qui a demandé l’annulation partielle de décisions applicables à Meta. L’absence d’harmonisation pose aussi question dans le domaine de la responsabilité en cas de dommage causé par l’IA. Pour finir, la première section du rapport pose la question du possible écheveau de normes, notamment pour certains secteurs déjà très encadrés comme le secteur des médicaments et dispositifs médicaux.

Marine Landau
Journaliste