Entre l’AI Act, le RGPD, le droit d’auteur et la protection des bases de données, l’articulation est cornélienne

Publié le par

Les fournisseurs de système d’IA et les entreprises utilisatrices de ces solutions – exploitant quantités de données, personnelles comprises – doivent se conformer à plusieurs réglementations européennes : de l’AI Act au RGPD, en passant les directives « Copyright » et « Bases de données ».

Par Arnaud Touati, avocat associé, et Mathilde Enouf, juriste, Hashtag Avocats

L’AI Act – règlement européen sur l’intelligence artificielle (1) – représente un changement significatif dans la régulation technologique au sein des Vingt-sept. Il ne substitue pas aux régimes existants, mais les enrichit, engendrant une superposition complexe avec le règlement général sur la protection des données (RGPD) et la législation sur le droit d’auteur. Cela nécessite des entreprises de mettre en place une gouvernance juridique intégrée, impliquant juristes, techniciens et responsables de la conformité.

Pas d’IA contre les droits fondamentaux
L’incertitude jurisprudentielle, l’accroissement des obligations et le danger financier associé aux sanctions exigent une vigilance accrue. Cependant, cette contrainte peut se transformer en atout concurrentiel : les entreprises qui réussissent à prévoir et à incorporer la conformité progressive gagneront la confiance de leurs utilisateurs et de leurs partenaires. La capacité des acteurs à convertir ces obligations en normes de qualité et de confiance déterminera l’avenir de l’intelligence artificielle (IA) en Europe. La régulation, plutôt que d’être un simple obstacle, pourrait se transformer en un outil stratégique de souveraineté numérique et de développement durable de l’IA.
Première législation mondiale dédiée à cette innovation technologique, l’AI Act est entré en vigueur le 1er août 2024, mais ses obligations sont mises en œuvre progressivement. Les mesures prohibées ont commencé à s’appliquer en février 2025 ; les normes relatives aux modèles d’IA à usage général ont commencé à s’appliquer en août 2025 (2) ; les règles concernant les systèmes à haut risque seront mises en œuvre en août 2026. Cette mise en application progressive a pour but de donner aux entreprises le temps nécessaire pour s’adapter, tout en se concentrant d’abord sur les risques considérés comme les plus critiques. A l’inverse du RGPD, qui a mis en place en 2018 un cadre uniforme immédiatement applicable à tous les traitements de données, l’AI Act opère (suite)