L’Europe propose d’assouplir le GDPR et la réglementation sur l’IA

 (theverge.com)
1 points par GN⁺ 2025-11-20 | 1 commentaires | Partager sur WhatsApp
  • L’Union européenne a proposé une révision assouplissant les dispositions clés du GDPR et de l’AI Act, dans une démarche de dérégulation sous la pression du secteur industriel et du gouvernement américain
  • La révision vise à faciliter le partage de données anonymisées et pseudonymisées et à autoriser les entreprises d’IA à utiliser des données personnelles pour l’entraînement, tant qu’elles respectent les exigences du GDPR
  • La date d’application des règles visant les systèmes à haut risque de l’AI Act est reportée, et celles-ci n’entreront en vigueur qu’une fois les normes et outils de support prêts
  • Sont également prévues des simplifications administratives comme la réduction des bannières de cookies, l’allègement des exigences documentaires liées à l’IA pour les PME, l’intégration des signalements de cybersécurité et la centralisation de la supervision autour de l’AI Office
  • La proposition vise à stimuler l’innovation en Europe et la reprise économique, mais des ONG et des responsables politiques dénoncent un affaiblissement des droits fondamentaux et une capitulation face à la pression des Big Tech

Proposition de l’Union européenne pour assouplir la protection des données personnelles et la réglementation sur l’IA

  • La Commission européenne a présenté une révision assouplissant les principales dispositions du GDPR (Règlement général sur la protection des données) et de l’AI Act (règlement sur l’intelligence artificielle)

    • Cette initiative s’inscrit dans un contexte de forte pression de l’industrie et du gouvernement américain en faveur d’un allègement réglementaire
    • L’objectif est de simplifier les procédures administratives et de favoriser la croissance économique

  • La révision du GDPR inclut un assouplissement des procédures de partage des données personnelles anonymisées et pseudonymisées

    • Les entreprises pourront échanger plus facilement ces données
    • Les entreprises d’IA pourront utiliser légalement des données personnelles pour l’entraînement de leurs modèles, à condition de respecter les autres exigences du GDPR

Principaux changements de l’AI Act

  • Report de la date d’application des règles encadrant les systèmes d’IA à haut risque

    • Les dispositions, qui devaient initialement entrer en vigueur l’été de l’année suivante, sont repoussées à une date “où les normes nécessaires et les outils de support seront prêts”
    • Cela concerne les systèmes susceptibles de présenter des risques graves pour la santé, la sécurité et les droits fondamentaux

  • Des mesures d’allègement pour les PME sont également prévues

    • Simplification des exigences de documentation liées à l’IA
    • Intégration des interfaces de signalement des incidents de cybersécurité
    • Centralisation de la supervision via l’AI Office

Assouplissement de la réglementation sur les cookies

  • La révision prévoit une réduction des bannières et pop-ups de cookies
    • Certains cookies à faible risque seraient autorisés sans pop-up
    • Les utilisateurs pourraient gérer globalement leurs paramètres de cookies via une fonction de contrôle centralisée du navigateur

Position et objectifs de l’Union européenne

  • L’Union européenne explique que cette révision s’inscrit dans une démarche menée à “l’européenne (European way)
    • La vice-présidente exécutive chargée de la souveraineté technologique, Henna Virkkunen, a déclaré que l’objectif est d’éviter que les startups et les PME ne soient freinées par des réglementations complexes
    • Elle met en avant l’élargissement de l’accès aux données, l’introduction d’un portefeuille professionnel commun et le maintien de la protection des droits fondamentaux

Réactions politiques et controverse

  • La proposition devra être approuvée par le Parlement européen et les 27 États membres, avec adoption à la majorité qualifiée (qualified majority)

    • Le processus d’approbation pourrait prendre plusieurs mois, et le contenu pourrait encore être modifié

  • Des ONG et des responsables politiques ont réagi vivement

    • Une version préliminaire divulguée a été critiquée comme un affaiblissement des protections fondamentales et une concession à la pression des Big Tech
    • Le GDPR est considéré comme un pilier de la politique technologique européenne, presque comme une “zone sacrée”

  • Cette décision intervient après des demandes d’assouplissement formulées par les Big Tech, l’ancien président américain Donald Trump et l’ancien président de la Banque centrale européenne Mario Draghi

    • L’Union européenne affirme qu’il ne s’agit pas d’une dérégulation, mais d’une simplification, en la présentant comme une mesure destinée à restaurer la compétitivité mondiale
    • Selon l’article, l’Europe ne dispose pratiquement d’aucun concurrent crédible dans la course à l’IA dominée par des entreprises américaines et chinoises comme DeepSeek, Google et OpenAI

Pas d’informations supplémentaires dans l’article original

À lire aussi

1 commentaires

 
GN⁺ 2025-11-20
Avis Hacker News

  • Je comprends qu’un excès de régulation puisse poser problème, mais la protection des données personnelles ne devrait faire aucune exception
    Quand je vois une bannière de cookies, je cherche toujours « tout refuser ». Aucune donnée ne devrait être collectée tant que l’utilisateur n’a pas donné son consentement explicite
    Les entreprises ne respectent rien d’autre que le profit. Donc voir des tentatives d’assouplir ce type de lois au nom de l’IA laisse un goût amer. Et pousser en plus des politiques de surveillance comme Chat Control est encore plus grave

    • Je ne pense pas qu’on puisse réduire la régulation à une simple question de quantité
      Certains domaines ont besoin de plus de régulation, d’autres de moins. L’important, c’est ce qu’on régule et comment on le régule
    • Plus de régulation n’est pas forcément mieux. Quand il y en a trop, elles peuvent se contredire ou créer des failles, et le coût de conformité augmente au point d’avantager uniquement les grandes entreprises
      En revanche, certaines règles essentielles, comme l’obligation d’indiquer les ingrédients alimentaires, sont au contraire de bons exemples
    • Quand on voit que même dans les options « toujours actives », des centaines de « partenaires » sont impliqués, c’est aberrant
      On peut se référer à ce commentaire
    • La fonction de refus des cookies devrait être proposée comme paramètre par défaut du navigateur
    • Le vrai problème en Europe, ce ne sont pas les cookies, mais les régulations qui étouffent les startups
      Les bannières de cookies ne sont qu’un nouveau problème créé en voulant en résoudre un autre, et elles imposent une charge inutile aux petites équipes

  • Il est surprenant de voir l’attitude de l’UE et de la communauté HN avoir changé à 180 degrés
    Avant, on soutenait l’UE quand elle s’en prenait aux big tech comme Meta, mais aujourd’hui l’ambiance a changé
    J’aimerais que Meta décline naturellement. Il serait préférable que les gens cessent volontairement de l’utiliser, et qu’elle disparaisse pour cette raison
    Une régulation coercitive nuit au contraire à l’esprit startup et à l’esprit hacker

    • Depuis dix ans, l’esprit hacker s’est affaibli dans la communauté HN, et les profils uniquement intéressés par l’argent sont devenus plus nombreux
      L’ère du ZIRP et le film The Social Network y sont pour beaucoup
    • Mais Meta a tellement d’argent qu’elle rachète ses concurrents
      Instagram et WhatsApp en sont des exemples
    • Les effets de réseau sont si puissants qu’il est impossible que Meta s’effondre d’elle-même
      WhatsApp ne peut pas disparaître sans intervention des pouvoirs publics
    • Ce n’est encore qu’une proposition de la Commission européenne, et rien ne dit que l’UE l’approuvera réellement
    • HN n’est pas un bloc d’opinion homogène
      Chaque fois que l’UE régule une entreprise, il y a toujours des avis pour et contre

  • Je comprends les difficultés des startups, mais la solution n’est pas d’affaiblir la régulation : il faut une régulation intelligente
    Il faut des zones de sécurité clairement définies pour les petites entreprises, un système de consentement au niveau du navigateur, et une application ferme contre les CMP à dark patterns

    • Une « régulation intelligente » ne signifie pas simplement ajouter plus de règles
      Une régulation excessive finit par ne sauver que les grandes entreprises, tandis que les PME ne peuvent pas suivre
    • Le problème n’est pas la quantité de régulation, mais l’incertitude
      Ne pas savoir si l’on respecte correctement la loi fait exploser les coûts. C’est pareil pour la fiscalité, le travail, l’environnement, la construction, etc.
    • Il faudrait améliorer les textes législatifs par itérations courtes, comme on le fait avec la technologie
      Par exemple, un groupe de travail pourrait publier des mises à jour tous les quatre mois, les réviser à partir des retours publics, et construire ainsi un système juridique en version 1.0
    • Introduire des conditions dans la loi finit par avantager les grandes entreprises
      Cela devient complexe, comme le GDPR ou l’OSA, et favorise une conformité de mauvaise foi
      Je pense qu’une loi simple et forte, incluant des sanctions pénales en cas de fuite de données, serait préférable

  • Une nouvelle proposition pour réduire les bannières de cookies est une bonne nouvelle
    Les cookies « à faible risque » n’afficheraient plus de pop-up, et le reste pourrait être géré via un contrôle centralisé du navigateur

    • En réalité, les cookies à faible risque étaient déjà exemptés de bannière
      Ce sont plutôt les bannières qui forcent le consentement qui sont illégales aujourd’hui. Choisir l’assouplissement plutôt que l’application de la loi aura un effet contre-productif sur l’écosystème tech européen
    • Les bannières de cookies finissent par produire exactement le résultat que veut l’industrie de l’abus de données
      Les citoyens et les PME y perdent, tandis que le grand écosystème publicitaire en profite
    • Beaucoup de bannières ne sont déjà même pas nécessaires
      À cause de la propagande de l’adtech, les gens comprennent mal la protection contre le pistage. Les sites qui n’utilisent que des cookies purement techniques n’ont pas besoin de bannière au départ
    • L’en-tête Do Not Track était bien plus raisonnable
      Aujourd’hui, Global Privacy Control émerge comme alternative
    • Au fond, l’UE reconnaît aussi que sa politique sur les cookies a été un échec
      Même les sites publics affichaient d’immenses bannières

  • Il est naturel d’aller vers un contrôle des cookies dans le navigateur
    La vérification de l’âge devrait aussi être gérée au niveau de l’OS
    Si les sites collectent des pièces d’identité, cela finira forcément en piratages et fuites
    Il suffirait que les parents règlent l’appareil de leurs enfants en « Kid Mode », et que la loi impose le respect de ce mode

    • Mais je reste sceptique même face à une authentification respectueuse de la vie privée
      Si les sources de données sont unifiées, il y a un risque d’identification des utilisateurs. C’est peut-être parce que je maîtrise mal les implémentations cryptographiques, mais cela continue de m’inquiéter
    • Les fonctions de l’OS sont aussi risquées. Il faut se souvenir de l’époque en Corée où ActiveX était imposé
      À la place, il vaudrait mieux que l’État fournisse un service public d’identité numérique, avec authentification en 2FA
    • Ce type d’approche pourrait devenir une interdiction détournée des solutions open source
      Au final, cela peut déboucher sur une logique du type « seuls les OS commerciaux avec secure boot sont autorisés »
    • Un « bon Kid Mode » devrait être simple et clair, comme ce téléphone Lego
    • L’ancien standard P3P essayait déjà d’automatiser ce genre de choses, mais Google l’a saboté

  • Voir l’enfer des cookies et conclure que « la régulation est mauvaise » est difficile à comprendre
    Le vrai problème, c’est le manque d’application. Si des amendes réelles avaient été infligées aux dark patterns, on n’en serait pas là
    L’UE devrait au contraire faire preuve d’une application bien plus ferme

    • Mais je ne veux pas d’un Internet conçu par des politiques et des avocats
      Un tel niveau de régulation peut étouffer la créativité
    • Si l’on respecte les règles, ce n’est pas à cause des amendes, mais parce que c’est la loi
      Discuter des avantages et des inconvénients de la régulation est une question distincte de celle des sanctions
    • Même les sites gouvernementaux de l’UE sont pleins de bannières de cookies. Eux aussi veulent les données

  • Ce changement est très important pour l’Europe
    J’ai conseillé plus de 100 startups, et les entreprises de l’UE disent se sentir asphyxiées par la régulation

    • Je me demande à quoi ces startups utilisaient les données des utilisateurs
    • Mais je considère que la protection des données personnelles est bien plus importante que les startups
      Si une entreprise n’est pas capable de les traiter correctement, elle ne devrait tout simplement pas y toucher. La confiance des gens est essentielle
    • Honnêtement, se conformer au GDPR n’a rien de difficile
      Le problème, c’est l’incompétence, pas la régulation. Les entreprises qui traitent les données de manière irresponsable ne méritent pas de réussir

  • L’Europe s’affaiblit à cause des lobbyistes
    Même des responsables politiques comme Ursula n’y échappent pas

    • En réalité, les lobbyistes affaiblissent le monde entier
      Il faut une régulation financière plus forte que les responsables politiques
    • La recherche en IA a besoin de grandes quantités de données, alors que le GDPR va dans le sens inverse
      Les pays où la régulation des données est plus souple sont donc avantagés.
      Cela ressemble à une tentative de l’UE de reconnaître et d’atténuer son propre handicap

  • Cette proposition va désormais passer par la procédure d’approbation du Parlement européen et des 27 États membres
    Rien n’est encore définitif

  • Le GDPR n’est pas un sujet sur lequel il faut céder
    Le problème des bannières de cookies vient du fait que les exploitants de sites ont choisi des dark patterns
    L’UE aurait au contraire dû les réprimer fermement
    Un contrôle centralisé dans le navigateur pourrait être une version améliorée de Do Not Track, mais une force juridique contraignante reste indispensable

    • En réalité, la plupart des gens ne veulent pas de cookies
      Je pense qu’il vaudrait mieux interdire l’usage des cookies non essentiels
    • Le contrôle devrait se faire non pas dans le navigateur, mais au niveau de l’OS
      Les applications suivent elles aussi les données, donc l’idéal serait de ne demander l’autorisation qu’une seule fois dans les paramètres de l’appareil