L’UE se prépare à l’ère des données

Le règlement général sur la protection des données (RGPD) adopté en 2016 par l’Union européenne (UE) a remporté un franc succès. Il a instauré en matière de protection des données une nouvelle norme qui a depuis servi de modèle à de nombreux pays à travers le monde pour leur propre réglementation. La Suisse s’en est également fortement inspirée pour la nouvelle loi fédérale sur la protection des données (LPD), qui doit entrer en vigueur en septembre 2023.

La protection des données personnelles n’est cependant qu’un des nombreux défis liés à la société fondée sur les données. Rares sont les personnes qui, par exemple, contrôlent les données qu’elles génèrent lorsqu’elles utilisent des applications car il n’existe pas de propriété sur les données, ce qui contribue à une répartition inégale de la valeur pouvant être créée à partir de celles-ci. Certaines entreprises technologiques contrôlent par exemple d’énormes volumes de données et disposent d’un avantage compétitif. En outre, du fait de l’utilisation d’algorithmes, un consommateur peut se voir refuser un crédit par sa banque sans en comprendre les raisons de même qu’une utilisatrice de Facebook peut recevoir de fausses informations.

Un autre aspect la question de l’accès des entreprises et des autorités aux données dans le but de favoriser l’innovation ou d’améliorer la prise de décisions politiques. La pandémie de coronavirus a apporté un éclatant témoignage de l’importance capitale des données pour l’État.

Une stratégie européenne pour les données

L’UE aborde tous ces sujets dans sa stratégie pour les données, dont la Commission européenne a défini les grands axes au début de l’année 2020. Ce projet ambitieux entend stimuler les investissements dans le secteur technologique européen, améliorer les compétences numériques de la population et promouvoir l’accès intersectoriel aux données ainsi que leur utilisation. Il veut également créer des espaces communs de données en Europe (c’est-à-dire un marché unique des données) dans des domaines stratégiques et d’intérêt public tels que la santé et la mobilité. La Suisse compte emprunter une voie similaire: le Conseil fédéral veut améliorer l’accès aux données dans le secteur agricole et a annoncé la création d’une infrastructure nationale de données sur la mobilité.

Pour mettre en œuvre sa vision, l’UE a élaboré cinq règlements transversaux relatifs à l’accès aux données, à leur utilisation, leur normalisation et leur interopérabilité.

Le règlement sur la gouvernance des données a été approuvé en dernière instance par le Conseil de l’UE à la mi-mai 2022. Il doit créer les conditions nécessaires à un meilleur partage des données, qu’elles proviennent du secteur public ou d’entreprises privées et soient partagées à titre onéreux avec d’autres entreprises.

Le processus législatif menant à un règlement sur les données vient de commencer. Le projet de la Commission européenne présenté en février 2022 est né de la volonté de rompre la chaîne de valeur des données. À cette fin, fabricants et prestataires devront veiller à ce que les données générées par l’utilisation de leurs produits et de leurs services soient, par défaut, facilement et directement accessibles aux utilisateurs.

La loi sur les données veut donc obliger les entreprises à rendre accessibles aux consommateurs des données détaillées sur l’utilisation de leur voiture ou un protocole d’utilisation de Netflix, par exemple. Elle fixe également des critères visant à mettre un terme aux clauses contractuelles abusives relatives à l’accès aux données et à leur utilisation. Cette loi comporte deux autres piliers: d’une part, elle instaure des règles pour lutter contre l’effet de verrouillage sur le marché de l’informatique en nuage, c’est-à-dire la dépendance du client vis-à-vis de son fournisseur; d’autre part, elle émet des prescriptions relatives à l’utilisation de données détenues par des entreprises privées par des organismes du secteur public pour répondre à une urgence publique.

La législation sur l’IA, un coup de tonnerre

Les systèmes d’intelligence artificielle (IA) ont besoin de grandes quantités de données de qualité suffisante. Lancé au printemps 2021, le projet de règlement très médiatisé de la Commission européenne, qui vise à établir une législation sur l’intelligence artificielle, est actuellement examiné par le Parlement européen. Remarquable du fait de son caractère fondamental, il entend classer les systèmes d’IA en fonction du niveau de risque qu’ils présentent. Les pratiques présentant un risque socialement inacceptable seront ainsi totalement interdites, par exemple les applications utilisées par les pouvoirs publics pour évaluer ou établir un classement de la fiabilité des personnes physiques en fonction de leur comportement social (applications attribuant une note sociale ou certaines formes d’identification biométrique «en temps réel», par exemple). Le projet distingue par ailleurs entre les systèmes d’IA «à haut risque» et ceux «à faible risque» ou présentant un «risque minimum». Concernant les systèmes à haut risque, notamment ceux utilisés dans la gestion du personnel, pour le recrutement, ou pour la sécurité d’infrastructures critiques, de nombreuses exigences s’appliqueront tout au long du cycle de vie de l’application en ce qui concerne la surveillance, la gestion des risques ou la documentation.

En Suisse, à titre de comparaison, les travaux de plusieurs groupes de travail sur les défis de l’intelligence artificielle ont conclu qu’une refonte fondamentale du cadre juridique ne s’imposait pas. Plutôt que l’adoption d’une loi fédérale sur l’IA, ils préconisent des adaptations ponctuelles de la législation, là où elles s’avèrent nécessaires.

Au sein de l’UE, la législation sur les services numériques et la législation sur les marchés numériques ont elles aussi atteint la fin de la procédure législative. Alors que la première établit des règles détaillées sur la suppression des contenus illégaux sur Internet et renforce l’application des règles en ligne, la seconde veut réorganiser les rapports de force dans le cyberespace. Pour ce faire, les «contrôleurs d’accès» – les très grandes plateformes de services en ligne – seront soumis à des exigences plus strictes, allant de l’octroi de l’accès aux données à l’interopérabilité avec des services plus restreints. Certaines pratiques seront en outre prohibées en amont par le recours à des «listes noires». Il sera par exemple interdit aux exploitants de moteurs de recherche de privilégier l’affichage de leurs propres offres dans les résultats de recherche ou à une plateforme commerciale d’utiliser des données de détaillants indépendants pour développer ses propres produits, à l’instar du reproche fait à la plateforme Amazon. Comme dans le cas du RGPD, de lourdes sanctions financières sont prévues, calculées sur le chiffre d’affaires annuel mondial de l’entreprise.

Révolution ou surenchère réglementaire?

Si la vision de la Commission européenne devait se concrétiser, les modèles d’affaires et les produits fondés sur les données ne pourraient plus être commercialisés dans l’UE au seul bénéfice des entreprises qui les ont développés. Ils devraient au contraire servir les intérêts des individus, des pouvoirs publics et de l’économie dans son ensemble afin de favoriser l’innovation. Cela risque dans un premier temps d’engendrer un important surplus de travail administratif pour de nombreuses entreprises.

Pour la Suisse, plutôt réservée en matière de législation, il reste à voir quel succès aura l’approche européenne de «l’innovation par la réglementation des données» et si les nouvelles réglementations prévues deviendront des références internationales comme le RGPD avant elles. En cas de succès réussite, l’univers en ligne sera tout autre dans dix ans.