Comment la réglementation européenne favorise-t-elle les startups de l’IA ?

Dans le contexte de la course à l’IA, l’Union européenne se dote d’un écosystème législatif caractérisé par deux impératifs : fluidifier les échanges de données et protéger les citoyens. Une tribune proposée par Thomas Livenais, avocat associé chez INLO Avocats.

Temps de lecture : 4 minutes

Depuis 2020, c’est-à-dire la présentation par la Commission européenne de la stratégie européenne pour les données et l’IA, les institutions de l’Union se sont livrées à un véritable jeu d’équilibriste. D’un côté, plusieurs règlementations ont permis un partage et une fluidité accrus des données, en vue de faire émerger des champions européens de l’IA. D’un autre côté, des efforts législatifs importants ont été déployés pour des IA sécuritaires et respectueuses des valeurs démocratiques.

Faire émerger des champions européens de l’IA

Le Data Governance Act, entré en vigueur en septembre 2023, illustre cette dynamique en faisant avancer le partage des données des organismes publics. Dans la continuité des règles sur l’open data, ce règlement prévoit la possibilité pour les entreprises de réutiliser les données des organismes publics protégées notamment par le secret des affaires, les droits de propriété intellectuelle et la protection des données personnelles. Bien entendu, ce partage n’est pas sans conditions et certaines garanties doivent être fournies telles que l’anonymisation des données ou leur agrégation.
En contrepartie, les personnes publiques peuvent prévoir une redevance, mais celle-ci peut être réduite voire gratuite pour les startups.

Ce règlement encourage également le partage altruiste de données par les entreprises et les personnes. Et ce, en vue de constituer de grands ensembles de données tenus par des organisations à but non lucratif. Un registre public des organisations altruistes est tenu.

Le Data Act permet quant à lui aux utilisateurs de produits connectés, lesquels peuvent être des entreprises, d’avoir accès à toutes les données et métadonnées des produits qu’ils utilisent. L’utilisation et le partage de ces données sont certes limités, notamment, par le secret des affaires ou l’interdiction de développer des produits concurrents. Mais il n’en demeure pas moins que cela reste une source de données non négligeable. D’autant plus que ce règlement prévoit également la possibilité pour les détenteurs de données de les partager avec d’autres entreprises contre rémunération, étant entendu que cette rémunération devra être raisonnable pour les PME.
Ce texte, quant à lui, s’appliquera à compter du 12 septembre 2025.

Enfin, dernière disposition favorable à la collecte de données en masse : l’exception de fouille de texte. Celle-ci permet de réaliser des analyses automatiques de textes et de données afin d’en dégager des informations, notamment des constantes, des tendances et des corrélations, pourvu qu’il y ait été accédé de manière licite. En dehors du secteur de la recherche publique, demeure cependant l’obligation de respecter l’éventuelle opposition de l’auteur des données. Concrètement, cette exception au monopole du droit d’auteur permet de scraper des contenus trouvés sur internet – auxquels il a été accédé licitement – pour réaliser du data mining et alimenter des algorithmes. Il est important de préciser que le contenu doit être effacé dès lors que l’analyse a été réalisée.

Pour des IA sécuritaires et respectueuses des valeurs démocratiques

On ne le présente plus, l’AI Act est tout récemment venu coiffer cet édifice législatif avec une multitudes d’obligations nouvelles. Pour rappel, ce règlement interdit les IA les plus dangereuses pour les droits et libertés fondamentaux pour se focaliser sur les IA dites « à haut risque ». Pour celles-ci, il devient désormais obligatoire d’établir, notamment, un système de gestion des risques, une gouvernance des données d’entrainement, certaines obligations de transparence ainsi qu’un système de gestion de la qualité.

L’AI Act vient également réglementer les IA à usage général (dont on peine encore à saisir la notion au sens du règlement) en leur imposant, notamment, des obligations de transparence sur les données d’entrainement. Les ayants-droits devraient ainsi pouvoir vérifier que des créations dont ils sont les auteurs figurent dans les datasets utilisés et les startups de l’IA devraient être en mesure de justifier leur recours à l’exception de fouille de texte explicitée ci-dessus.

Le Data Governance Act évoqué précédemment encadre également les data marketplaces en leur imposant des formats interopérables, une continuité de services en cas d’hébergement ou encore des mesures de sécurité appropriées.

Enfin, le RGPD, en vigueur depuis 2018, protège les personnes dont les données personnelles sont utilisées. A minima doivent être fournies une information appropriée sur l’usage attendu des données ainsi qu’une base juridique fondant le traitement, telle que le consentement ou l’intérêt légitime du responsable de traitement, par exemple.

Pour conclure, même si seul l’avenir pourra confirmer ou infirmer ce propos, il semble que la réglementation européenne constitue un écosystème propice au développement d’IA de pointe en leur permettant de collecter en masse des données mais également en les encadrant de façon à ce qu’elles soient éthiques.