Lecture: 10 min
N2740B3U
Citer l'article
Créer un lien vers ce contenu
le 25 Juillet 2025
Mots clés : intelligence artificielle • éthique • contenus culturels • modèles génératifs • données personnelles
Le Règlement européen sur l’intelligence artificielle récemment entré en vigueur acte l'installation de cette technologie dans notre vie quotidienne, qu'elle soit personnelle ou professionnelle. Celle-ci peut néanmoins susciter des craintes quant à l'exploitation des données collectées et de la survie de certains milieux professionnels, notamment dans le domaine de la culture, qui peuvent voir leurs contenus directement concurrencés et menacés. Pour faire le point sur cette thématique, Lexbase a interrogé Patrice Navarro, Avocat associé, Clifford Chance Paris*.
Lexbase : Pouvez-vous nous rappeler en quoi consiste le Règlement européen sur l'intelligence artificielle ?
Patrice Navarro : Entré en vigueur le 1er août 2024 et partiellement applicable depuis le 2 février 2025, le Règlement européen sur l’intelligence artificielle (« AI Act ») (Règlement (UE) n° 2024/1689 du Parlement européen et du Conseil du 13 juin 2024, établissant des règles harmonisées concernant l'intelligence artificielle N° Lexbase : L1054MND) constitue le premier cadre horizontal encadrant spécifiquement les systèmes d’intelligence artificielle (IA). Ce texte adopte une approche pragmatique fondée sur les risques, distinguant plusieurs niveaux d’obligations selon la sensibilité des systèmes :
Les autres systèmes moins sensibles voient leurs obligations limitées à une simple transparence vis-à-vis des utilisateurs.
Pour rappel, le calendrier de mise en place des obligations du AI Act est progressif : interdictions applicables dès février 2025, obligations spécifiques aux grands modèles GPAI dès août 2025 (en juillet 2025, l'AI Office a publié le code de conduite et les lignes directrices permettant d'accompagner cette mise en œuvre), et conformité complète des systèmes à haut risque attendue d'ici août 2027 au plus tard.
La rédaction dans une certaine urgence de ce Règlement et son déploiement rapide témoignent de la volonté politique de l’Union européenne d’instaurer un cadre éthique de référence pour le développement et l’usage de l’intelligence artificielle. Il convient de rappeler que la majorité du texte a été élaborée avant que ChatGPT, lancé fin novembre 2022, ne rende tangibles et visibles pour le grand public les capacités des modèles génératifs. Les rédacteurs ont donc dû proposer des dispositions sans encore connaître précisément l’étendue des usages à venir. Si certaines dispositions restent perfectibles, cette démarche visait à positionner l’Europe comme un pôle d’influence réglementaire, avec un effet d'entraînement espéré au-delà de ses frontières, sur le modèle du RGPD (Règlement (UE) n° 2016/679 du 27 avril 2016 N° Lexbase : L0189K8I).
Lexbase : Qui contrôlera son application en France ?
Patrice Navarro : L'AI Act prévoit au niveau européen une gouvernance centralisée et coordonnée autour de l’AI Office, structure créée au sein de la Commission européenne et chargée de la supervision des GPAI, de l’élaboration de codes de conduite, et de la coordination entre les États membres. L’AI Office s’appuie sur un comité des États membres (« AI Board ») chargé de l’harmonisation de la mise en œuvre du Règlement, ainsi que sur des groupes d’experts thématiques et des forums multipartites pour intégrer les parties prenantes industrielles et académiques dans la régulation. Cette gouvernance à plusieurs niveaux vise à assurer une cohérence européenne tout en tenant compte des spécificités nationales.
En France, la gouvernance précise du AI Act devrait être prochainement définie par décret, mais plusieurs institutions se positionnent déjà clairement : la CNIL apparaît comme l’autorité naturelle pour traiter des questions liées aux données personnelles et à l'impact sur la vie privée, bénéficiant d'une solide expertise sur ces sujets et ayant déjà publié plusieurs guides méthodologiques destinés aux entreprises. De son côté, la DGCCRF pourrait intervenir sur les aspects purement « produit », notamment sur le marquage CE et la conformité technique des systèmes. En outre, des autorités sectorielles telles que le Défenseur des Droits, l'ARCOM, l'ARS, l'ANSM, l'ANSSI ou encore l'ACPR pourraient intervenir pour les aspects spécifiques liés à leurs domaines respectifs (droits fondamentaux, médias, santé, cybersécurité et finance).
Par ailleurs, il est important de rappeler que l'AI Act met en place un régime de sanctions financières gradué : jusqu’à 35 millions d’euros ou 7 % du chiffre d’affaires annuel mondial pour la mise sur le marché ou l’utilisation de systèmes d’IA interdits (art. 99 § 3a), jusqu’à 15 millions d’euros ou 3 % pour le non‑respect des obligations applicables aux systèmes à haut risque et aux modèles GPAI (art. 99 § 3b), et jusqu’à 7,5 millions d’euros ou 1% lorsque des informations fausses, incomplètes ou trompeuses sont fournies aux autorités compétentes (art.99 § 3c).
Au‑delà des sanctions financières, l’AI Office est habilité à ordonner le retrait ou la suspension d’un GPAI à risques systèmiques non conforme. Les titulaires de droits d’auteur disposent par ailleurs de la voie du référé pour obtenir rapidement des mesures conservatoires, en écho au dispositif de « blocage des sites pirates ». Dans le même temps, l’ARCOM devrait superviser l’encadrement des contenus culturels générés, tandis que la CNIL et la DGCCRF coordonnent leurs contrôles afin d’assurer la traçabilité des jeux de données exploités par les fournisseurs de GPAI.
Lexbase : Comment va-t-il s'articuler avec le RGPD ?
Patrice Navarro : L'AI Act vient compléter le RGPD sans le remplacer. Concrètement, les modèles d’intelligence artificielle nécessitent d’importants volumes de données pour leur entraînement et leur validation, impliquant fréquemment l’utilisation de données personnelles. Cette situation crée une interaction forte avec le RGPD. Les entreprises déjà conformes au RGPD disposent ainsi d’un avantage certain, puisque les mécanismes opérationnels mis en place pour la protection des données personnelles pourront être adaptés à la gouvernance des modèles IA. Ainsi, la documentation technique, la gestion des risques et l'analyse d’impact (DPIA) pourront être mutualisées, permettant une optimisation significative des processus internes.
Récemment, la CNIL a précisé son positionnement de manière approfondie. En juin 2025, elle a publié deux fiches pratiques majeures : la première clarifie les conditions pour recourir à l’intérêt légitime comme base légale RGPD lors du développement de systèmes d’IA, tandis que la seconde encadre spécifiquement les pratiques de web scraping. Ces fiches soulignent l'importance d'une finalité claire, de la minimisation et de la pseudonymisation des données collectées, ainsi que l'exclusion des données sensibles ou non pertinentes. De plus, une analyse d’impact (DPIA) est fortement recommandée lorsque les données utilisées sont nombreuses, sensibles ou obtenues via des opérations de scraping massif.
Le 22 juillet 2025, la CNIL a également publié une fiche spécifique dédiée au développement des systèmes d’IA, mettant en évidence que ces modèles nécessitent d’importants volumes de données, souvent personnelles, dès les phases d’entraînement et de validation. Elle recommande une délimitation précise du périmètre concerné, l’intégration d’une check-list dans le cycle de développement pour prévenir les risques de violation des droits, ainsi qu'une attention particulière à l'articulation nécessaire entre RGPD et AI Act. Ces publications confirment la volonté de la CNIL d’accompagner concrètement les acteurs de l’IA afin de concilier innovation et protection des droits fondamentaux.
Le monde de la culture s'inquiète du manque de transparence sur l'utilisation des contenus par l'IA. Partagez-vous cette crainte ?
Patrice Navarro : Le secteur culturel exprime des inquiétudes compréhensibles quant à l’opacité entourant l’utilisation massive d’œuvres protégées pour entraîner les grands modèles génératifs. Bien que ces préoccupations soient légitimes, elles doivent être nuancées. Le AI Act impose aux développeurs de GPAI une transparence renforcée, les obligeant à publier un résumé clair et concis des contenus protégés utilisés pour l'entraînement, y compris une description des sources d'information, dans le respect des secrets commerciaux (article 53).
De plus, l’exception de fouille de textes et de données (TDM), prévue par les articles L. 122-5-3 N° Lexbase : L5287L9P et suivants du Code de la propriété intellectuelle, permet aux titulaires de droits d’exclure explicitement leurs contenus en utilisant des moyens techniques appropriés. Cela inclut notamment les balises « robots.txt » et autres dispositifs de refus opposables. Par ailleurs, le code de conduite pour les GPAI, publié par l’AI Office fin juillet 2025, rappelle l’obligation pour les fournisseurs de respecter ces exclusions et d’adopter des pratiques de collecte responsables.
Par ailleurs, des efforts européens sont en cours pour généraliser des techniques telles que le watermarking et pour définir des modèles économiques adaptés (licences collectives, partage équitable des revenus), afin de concilier au mieux les intérêts des créateurs avec les exigences technologiques. À cela s’ajoutent des outils techniques existants comme les fichiers « robots.txt », qui permettent aux éditeurs et aux titulaires de contenus web de spécifier clairement à travers leur URL quelles parties de leur site ne doivent pas être indexées ou récupérées par les outils automatisés, limitant ainsi le web scraping non autorisé. Cette pratique offre une première ligne de défense pragmatique face à l'exploitation non consentie des données en ligne.
Plus largement, comment protéger la création du développement de ces nouvelles technologies ?
Patrice Navarro : Pour protéger efficacement la création tout en soutenant l’innovation, plusieurs leviers complémentaires peuvent être activés :
En conclusion, l’AI Act doit être vu comme une opportunité : en établissant des règles claires, il favorise une confiance renforcée envers l’IA tout en sécurisant juridiquement l’innovation. L'Europe dispose ainsi d'une chance unique, sans tomber dans une sur-réglementation, de favoriser une innovation éthique et responsable en matière d'intelligence artificielle. Certes, tout n’est pas parfait, mais le train de l’histoire est déjà en marche, et rares sont ceux prêts à tirer le frein d’urgence pour arrêter l’innovation. Face aux craintes parfois démesurées qui entourent ces technologies, il est particulièrement important d’intégrer pleinement l'éthique au cœur des développements futurs. Les entreprises françaises, tout comme les créateurs culturels, doivent anticiper cette période d’adaptation réglementaire, et utiliser l'éthique pour se différencier.
*Propos recueillis par Yann Le Foll, Rédacteur en chef de Lexbase Public
© Reproduction interdite, sauf autorisation écrite préalable
newsid:492740
Parcours utilisateur
Lexbase, via la solution Salesforce, utilisée uniquement pour des besoins internes, peut être amené à suivre une partie du parcours utilisateur afin d’améliorer l’expérience utilisateur et l’éventuelle relation commerciale. Il s’agit d’information uniquement dédiée à l’usage de Lexbase et elles ne sont communiquées à aucun tiers, autre que Salesforce qui s’est engagée à ne pas utiliser lesdites données.
Données analytiques
Nous attachons la plus grande importance au confort d'utilisation de notre site. Des informations essentielles fournies par Google Tag Manager comme le temps de lecture d'une revue, la facilité d'accès aux textes de loi ou encore la robustesse de nos readers nous permettent d'améliorer quotidiennement votre expérience utilisateur. Ces données sont exclusivement à usage interne.