2024

DATA ET IA
LES NOUVELLES
RÈGLES DU JEU
EN EUROPE
 ÉDITO
Franckie Trichet
Président des Interconnectés,
Vice-président de Nantes métropole

Lors de la mandature qui vient de se terminer, les institutions

Européennes se sont largement emparées du sujet numérique. Le cadre
politique et réglementaire qui a été adopté vise à concilier la défense
des droits de l’homme et les enjeux de compétitivité économique. Le
Règlement Général sur la Protection des Données (RGDP) a montré la
capacité des Européens à protéger nos droits face aux usages invasifs
des technologies. Les discussions autour de l’IA Act notamment ont
montré la complexité d’un équilibre entre régulation et innovation.

Notre volonté d’accompagner la pratique

RENFORÇONS LE RÔLE d’un numérique responsable sur le plan social,
DE L’EUROPE EN TANT environnemental et éthique, affirmée dès 2021
dans le Manifeste « Pour des territoires numériques
QUE RÉGULATEUR DU responsables » nous encourage à renforcer nos
NUMÉRIQUE relations avec l’Europe.

La période qui s’ouvre est importante car c’est

le début d’une nouvelle mandature au niveau Européen et la mise en
application de ces textes. Les collectivités peuvent faire entendre leur
voix.

Il nous faut investir les instances de travail européennes dont

découlent les priorités, les financements et appels à projets. Au niveau
national, l’objectif est de ne pas envisager les textes comme des
contraintes règlementaires imposées mais de saisir ce moment clé de
l’implémentation comme un cadre commun et l’opportunité d’une mise
en œuvre adaptée aux enjeux de nos territoires. C’est la clé pour que
DATA ET IA : LES NOUVELLES RÈGLES DU JEU EN EUROPE

l’Europe garde ce rôle de régulation et accompagne nos pratiques locales

y compris sur le volet social et solidaire.

Alors que les avancées technologiques connaissent une nouvelle

accélération avec l’IA notamment, nous souhaitons que cette note
permette aux élus et aux agents de s’emparer de ces textes. Nous
pouvons peser sur les orientations européennes et nationales afin de
définir une feuille de route et inscrire durablement un cadre clair pour
une pratique responsable, solidaire et éthique du numérique.

2
SOMMAIRE
2019-2024, une période charnière en matière de régulation du numérique 4

Réguler l’intelligence artificielle : le règlement IA 7

• Une IA digne de confiance 7

• Quelle définition pour l’intelligence artificielle ? 7

• Un encadrement proportionné des risques de l’IA 8

• Les applications à risque inacceptable sont interdites 8

• Les applications à haut-risque font l’objet d’un contrôle accru et,

dans certains cas, d’un contrôle par une autorité indépendante. 9

• L’irruption de ChatGPT : comment réguler les systèmes d’IA à usage général ? 9

• L’usage de la biométrie (dont la reconnaissance faciale) dans l’espace public 10

• Quizz : selon vous, quel niveau de risques pour les applications suivantes
de l’IA dans une collectivité ? (réponses en dernière page) 11

• Règlement sur l’intelligence artificielle : beaucoup de bruit pour rien ?

Quel impact pour les collectivités ? 12

Réguler l’économie des données : le Data Act et le Data Governance Act 13

• Une clé de lecture : gagner la bataille des données non-personnelles et industrielles 13

• Enfin une définition officielle des données ! 13

• Faciliter la circulation et la réutilisation des données de l’Internet des objets 14

• Des espaces communs de données 14

• L’accès aux données du secteur privé à des fins d’intérêt général 15

• L’altruisme des données : le partage volontaire au service de l’intérêt général 16

Les autres textes adoptés ces 5 dernières années en matière de numérique 17

• La directive NIS 2 17

• Le Digital Services Act (DSA) 17

• Le Digital Market Act (DMA) 18

• L’Interopérable Europe Act 18

Les priorités des 5 prochaines années 19

Conclusion : l’Europe, une opportunité pour les collectivités françaises 20

Bibliographie 21
DATA ET IA : LES NOUVELLES RÈGLES DU JEU EN EUROPE

Réponses au Quizz 22

GUIDE DE LECTURE
Les principales définitions sont Les points de débat sont Les encadrés “parlons
identifiées par le pictogramme identifiés par le pictogramme technique” sont identifiés par le
pictogramme

Le tableau synthétique, en page 6, vous donne une vue d’ensemble des textes.
Le quizz, en page 11, vous permettra de tester, de manière ludique, votre connaissance du règlement sur
l’intelligence artificielle (AI Act).
3
 2019-2024, UNE PÉRIODE CHARNIÈRE
EN MATIÈRE DE RÉGULATION DU
NUMÉRIQUE
En juin dernier, les Européens ont élus les 720 députés du Parlement européen. Ces élections marquent aussi
la fin de la mandature de la Commission européenne dirigée par Ursula Von der Leyen.
De 2019 à 2024, cette mandature a marqué une étape très importante en matière de régulation du numérique,
avec l’adoption de plusieurs règlements structurants sur l’intelligence artificielle, les données ou encore les
plateformes en ligne.

L’ensemble de ces textes (qu’il faut prendre comme un ensemble cohérent et non comme une série de
régulations sectorielles), va déterminer les règles du jeu pour les dix à quinze prochaines années en Europe.
Certaines de ces règles concernent en premier lieu les entreprises (et notamment les grandes plateformes),
mais d’autres vont aussi s’adresser plus directement aux administrations publiques et aux collectivités.

La “décennie numérique”

La transformation numérique était présentée, en 2019, commission en matière de régulation du numérique en une
comme l’une des six priorités de la commission Von der expression, ce serait sans doute celle d’activisme juridique
Leyen, au même niveau que la transition climatique (avec et réglementaire. Rarement, dans l’histoire de l’Union
le Pacte vert) ou l’emploi. L’ambition affichée s’étendait européenne, autant de textes concernant le numérique
d’ailleurs sur deux mandats : il s’agit de la “décennie n’auront été proposés, discutés et adoptés qu’en la période
numérique” (digital decade). 5 ans après, qu’en est-il 2019-2024.
de l’ambition affichée ? S’il fallait résumer l’action de la

Les clés de lecture

Pour comprendre l’action de ces cinq dernières années, on l’Union européenne. Comme nous le verrons dans cette
peut adopter (au moins) deux clés de lecture. note (par exemple à propos de la régulation des modèles
d’IA génératives), cette troisième voie ressemble parfois à
DATA ET IA : LES NOUVELLES RÈGLES DU JEU EN EUROPE

La première est d’ordre géopolitique. En matière de

un chemin de crête.
numérique, l’Union européenne revendique de suivre
une voie qui lui est propre, et surtout distincte des deux L’autre clé de lecture est temporelle : par essence,
autres blocs géopolitiques que sont les États-Unis d’une le temps de la régulation est un temps long. A titre
part et la Chine d’autre part. L’UE entend ainsi marquer d’illustration, six années séparent le premier projet de
sa différence avec l’approche des grandes plateformes révision du droit des données à caractère personnel et la
du numérique (basée sur une exploitation intensive des mise en application du RGPD. Or, le temps du numérique
données personnelles) mais aussi avec le capitalisme d’État est un temps beaucoup plus rapide. Comment “attraper”,
et la surveillance du régime chinois. Cette troisième voie par le droit, des usages toujours changeants, avec des
entend promouvoir et soutenir l’innovation technologique, ruptures technologiques et d’usage ? C’est aussi l’une des
dans le respect des droits et valeurs fondamentales de questions qui traversent le débat au niveau européen.

4
À l’origine était le RGPD

On ne peut pas comprendre les nouveaux textes adoptés, La première concerne le manque de proportionnalité des
et la logique qui les sous-tend, sans avoir à l’esprit le retour obligations (que l’on soit une PME, une petite association
d’expériences du Règlement général sur la protection des ou une grande entreprise, les obligations sont relativement
données (RGPD) et de son application en Europe depuis semblables). La seconde difficulté est le choix de faire
2018. appliquer le RGPD par l’autorité de protection des données
du pays d’installation de l’entreprise concernée - et non
Commençons par un chiffre : 4 milliards d’euros, c’est le
celui où résident les utilisateurs. En pratique, toutes
montant des amendes infligées au titre de non-respect
les grandes plateformes du numérique ont leur siège
des obligations du RGPD sur la période 2018-2023.
social européen à Dublin, ce qui fait de facto de la “CNIL”
145 000 plaintes ont été déposées au niveau européen, un
irlandaise un acteur central … alors même que l’économie
nombre en forte progression. 69% des citoyens européens
irlandaise dépend beaucoup de ces multinationales (2).
ont déclaré connaître le RGPD (1), ce qui fait de ce texte
Certains droits prévus dans le RGPD, comme le droit à la
européen l’un des plus connus du grand public.
portabilité des données personnelles, ne sont pas ou peu
Le règlement a aussi permis d’harmoniser le cadre juridique
mis en œuvre.
au niveau européen (et ainsi d’éviter que chaque État-
membre développe sa propre législation). Le RGPD et, Le retour d’expérience du RGPD, tant sur ses succès et ses
malheureusement aussi les épisodes de fuites massives de demi-échecs, a beaucoup marqué le législateur européen.
données, ont contribué à sensibiliser les Européens sur la On en trouve la trace dans les grands textes qui se sont
gestion de leurs données à caractère personnel. succédé depuis, dont le règlement IA ou le Digital Services
Act.
Mais la mise en œuvre du règlement a aussi fait l’objet de
plusieurs critiques.

Changer la manière de réguler le numérique

La plupart des textes qui sont présentés dans cette note L’approche est dite proportionnée car elle module les
partagent la même logique de régulation, caractérisée obligations en fonction des risques, mais aussi de la taille
par : des acteurs (et de leurs nombres d’utilisateurs en Europe).
1) une approche par les risques,
Enfin, ces textes tiennent compte aussi des rapports
2) une approche proportionnée et
de force existants : les grandes plateformes sont ainsi
3) une attention particulière aux rapports de force
qualifiées d’acteurs systémiques et sont soumises à
existants.
des règles plus fortes que les autres acteurs. De même,
L’approche par les risques consiste à identifier, a priori, plusieurs textes visent explicitement à éviter l’abus de
les risques posés par une technologie, un usage ou une position dominante des grands acteurs du numérique.
application. Elle s’oppose à une approche basée sur les
Enfin, pour ne pas reproduire les mêmes erreurs que
droits (à l’image du RGPD). Comme l’indique la Commission
le RGPD, ces nouveaux textes donnent souvent à la
européenne à propos du règlement sur l’intelligence
Commission elle-même des pouvoirs de régulation accrue,
artificielle : “L’AI Act ne crée pas de nouveaux droits, il
en lien avec les autorités de régulation des États-membres.
s’assure que les droits existants sont bien appliqués” (3), et
Ils prévoient aussi la création de nouvelles structures
ce en venant clarifier les responsabilités de chaque acteur
dépendant directement de la Commission, comme l’AI
de la chaîne intervenant dans la mise sur le marché ou la
Office ou l’European Centre for Algorithmic Transparency
DATA ET IA : LES NOUVELLES RÈGLES DU JEU EN EUROPE

mise en service des systèmes d’IA.

(ECAT).

(1)“Your rights matter: data protection and privacy”, Fundamental rights survey 2019, Agence européenne des droits fondamentaux.
(2)“L’Irlande, seul pays du G20 à afficher une croissance positive grâce aux GAFA”, Les Echos, 5 mars 2021.
(3) Source : entretien entre la délégation d’élus de France Urbaine et Martin Ulbrich, chef de l’unité A.2 de la DG Connect, Bruxelles, le 21 mars 2024.

5
 Les principaux textes adoptés

Niveau
Date d’application d’impact
Ambition principale Thèmes
(Calendrier prévisionnel) pour les
collectivités

• Approche par les Fin 2024

Permettre le risques (Interdiction de certaines
Règlement sur applications)
développement d’une IA • Usages interdits en UE
l’intelligence artificielle
de confiance et encadrer • Régulation des IA
(AI Act) Mi-2026 et 2027
les usages à usage général
(Applications à haut-
(ChatGPT) risque et risque limité)

• Nouveaux modèles de
Règlement sur la
Faciliter le partage gouvernance
gouvernance des
sécurisé de données entre • Espaces communs de Septembre 2023
données (Data
les acteurs européens données
Governance Act)
• Altruisme de données

• Données de l’Internet
des Objets
Faciliter l’utilisation des • Partage de données
Règlement sur les
données industrielles et B2G Septembre 2025
données (Data Act)
non-personnelles • Portabilité des données
entre différents services
cloud

Renforcer la cyber • Cybersécurité

Directive NIS 2 résilience au niveau • Cadre de coopération Automne 2024
européen européen

• Régulation des
plateformes
Règlement sur les Responsabiliser les
• Haine en ligne,
services numériques (grandes) plateformes et Février 2024
désinformation
(Digital Services Act) les services numériques
• Modération des
contenus

Renforcer la concurrence
Règlement sur les • Abus de position
et mettre fin à la
marchés numériques dominante Mars 2024
domination des géants du
DATA ET IA : LES NOUVELLES RÈGLES DU JEU EN EUROPE

(Digital Market Act) • Protection des PME

Net

• Services
Faciliter le déploiement transeuropéens
Règlement sur l’Europe de services publics • Services transfrontaliers
Pas avant 2025
interoperable numériques • Obligation de
transeuropéens conformité en matière
d’interopérabilité

6
 RÉGULER L’INTELLIGENCE ARTIFICIELLE :
LE RÈGLEMENT IA
L’accord politique conclu le 8 décembre 2023 dans le cadre du trilogue (Commission européenne, Conseil
représentant les États-membres et Parlement européen) illustre, à bien des égards, le parcours mouvementé
du règlement sur l’Intelligence artificielle (AI Act). En effet, il a fallu plus de 3 jours de pourparlers-marathons
pour faire converger les positions, parfois opposées, des différents acteurs sur ce texte. “En adoptant une
approche proportionnée selon la nature des risques, le règlement définit le cadre de confiance nécessaire
à l’utilisation de l’IA en Europe” s’est aussitôt félicité Thierry Breton, le commissaire européen au marché
intérieur (4).

Une IA digne de confiance

L’approche européenne de l’intelligence artificielle s’inscrit concrètement que le développement de solutions

dans un discours qui vise à proposer une troisième voie, d’intelligence artificielle doit être encadré par le droit, mais
distincte donc, de celles des Etats-Unis et de la Chine. aussi que, sur le continent européen, certains usages sont
Cette troisième voie veut concilier la capacité d’innovation interdits ou fortement encadrés.
et la réaffirmation des valeurs fondamentales de l’Union
En pratique, comme nous le verrons en détail, pour la
européenne, dont la protection des droits humains. “Une
plupart des applications d’IA, il s’agit principalement de
IA digne de confiance” (trustworthy AI), cela signifie
faire preuve de transparence.

Quelle définition pour l’intelligence artificielle ?

In fine, l’AI Act s’aligne sur la définition adoptée par

La question de la définition de l’intelligence artificielle
l’OCDE :
- et donc de facto du périmètre de l’AI Act - a fait
l’objet de très nombreux débats ces dernières années.
Système d’intelligence artificielle
Fallait-il privilégier une définition très large - comme
le souhaitaient les organisations de la société civile et Un système automatisé qui, pour des objectifs explicites ou
l’aile gauche du Parlement européen - ou, au contraire, implicites, déduit, à partir d’entrées reçues, comment générer
restreindre l’IA aux seules techniques d’apprentissage des résultats en sortie tels que des prévisions, des contenus,
machine - comme le souhaitaient les éditeurs de solutions des recommandations ou des décisions qui peuvent influer
DATA ET IA : LES NOUVELLES RÈGLES DU JEU EN EUROPE

logicielles, la majorité des États-membres et le PPE (5) ? sur des environnements physiques ou virtuels. Différents
systèmes d’IA présentent des degrés variables d’autonomie et
d’adaptabilité après déploiement (6). (OCDE, 2023)

L’important, dans cette définition, est la dernière

phrase concernant les “degrés variables d’autonomie et
d’adaptabilité”, qui laisse supposer que c’est bien la position
pro-business du PPE et du Conseil (représentant les États-
membres) qui a été retenue.

(4) “Thierry Breton : L’IA Act n’entrave aucunement la révolution en mouvement de l’intelligence artificielle, tribune publiée dans le journal Le Monde, 16 décembre 2023.
(5) Le Parti populaire européen est le premier groupe du Parlement européen. Il regroupe 70 partis de centre-droit et de droite dont les Républicains en France et la CDU
en Allemagne. La présidente de la Commission européenne, Ursula Von der Leyen, est issue du PPE.
(6) Recommandation du Conseil sur l’intelligence artificielle, adoptée le 22.05.2019, amendée le 12.11.2023, OCDE

7
 Un encadrement proportionné des risques de l’IA

L’approche du règlement sur l’IA est basée sur les risques Les obligations sont proportionnelles aux risques - c’est
et distingue 4 niveaux : les applications formellement à dire que plus une application est considérée comme
interdites, les applications à haut-risque, les applications à risquée, plus elle sera encadrée.
risque limité et les applications à risque minimal ou nul.

L’approche par les risques

(traduit de l’Ada Lovelace Institute, 2022)

En pratique, la très grande majorité des applications de (c’est-à-dire développer ou importer) de telles solutions.
l’Intelligence artificielle seront classées à risque limité Ces obligations sont réparties entre les différents acteurs
ou minimal, et à ce titre soumises à des obligations de de la chaîne mais elles pèsent essentiellement sur le
transparence peu contraignantes. Le texte lui-même se fournisseur de la solution d’IA et non sur la collectivité qui
concentre sur les applications à haut-risque, et intègre une l’utilise.
série d’obligations pour mettre sur le marché européen

Les applications à risque inacceptable sont interdites

DATA ET IA : LES NOUVELLES RÈGLES DU JEU EN EUROPE

La notation sociale, à des fins publiques ou privées, est ciblent les vulnérabilités des personnes (par exemple en
interdite car contraire aux valeurs de l’Union européenne raison de leur âge, de leur handicap ou de leur situation
et aux droits fondamentaux. Cet exemple illustre bien aussi personnelle et sociale, comme l’extrême pauvreté). La
la volonté européenne de se démarquer de la Chine, où un reconnaissance des émotions sur le lieu de travail ou
tel système de social scoring est massivement utilisé. Les d’enseignement est aussi interdite. La commercialisation
techniques de manipulation du comportement, ainsi que ou l’importation d’une application interdite est passible
les techniques subliminales figurent aussi sur la liste des d’une amende de 35 millions d’euros ou 7% du chiffre
applications interdites, de même que les applications qui d’affaires annuel mondial.

(7) Le règlement sur l’IA utilise le terme anglais GPAI (general purpose artificial intelligence).
(8) “EU AI Act compliance analysis: general-purpose AI models in focus”, The Future Society, décembre 2023.

8
Les applications à haut-risque font l’objet d’un contrôle accru et, dans certains cas,
d’un contrôle par une autorité indépendante.

Le règlement sur l’intelligence artificielle liste une série Pour les applications à haut-risque, ce sont
d’applications considérées à haut-risque : les organisations qui développent, importent et
commercialisent ces solutions qui devront mettre en
1) Sont tout d’abord considérés les systèmes qui sont
oeuvre la plus grande partie des obligations de l’AI Act,
intégrés dans des équipements déjà soumis à des
parmi lesquelles la mise en place d’un système de gestion
obligations de sécurité, comme par exemple une IA dans
des risques, un audit des données d’apprentissage (pour
un dispositif médical, un jouet ou un véhicule : tous ces
s’assurer que ces données sont fiables, représentatives et
équipements font l’objet aujourd’hui d’une certification
ne présentent pas de biais préjudiciables), tenir à jour une
obligatoire pour être mis sur le marché européen (donnant
documentation technique dans une optique de conformité,
lieu pour certains à un marquage CE) et sont soumis à une
et s’enregistrer auprès des autorités compétentes pour
surveillance particulière tout au long de leur durée de vie,
obtenir le marquage CE. A défaut, les entreprises qui
2) Les systèmes d’IA identifiés comme à haut risque développent, commercialisent et importent des solutions
comprennent en outre la technologie de l’IA utilisée dans à haut-risque sont passibles d’une amende de 15 millions
certains secteurs comme les infrastructures critiques d’euros ou 3% du chiffre d’affaires annuel mondial.
(par exemple les transports), susceptibles de mettre
Pour les applications à risque faible, comme les agents
en danger la vie et la santé des citoyens ; la formation
conversationnels (chatbots) ou la réalisation de deep fakes
éducative ou professionnelle, qui peut déterminer l’accès
et images de synthèse à des fins artistiques, la principale
à l’éducation et au cours professionnel de la vie d’une
obligation est liée à la transparence : les utilisateurs
personne (par exemple, la notation des examens) ; l’emploi
doivent être informés que le contenu a été généré par une
(par exemple, un logiciel de tri de CV pour les procédures de
intelligence artificielle, sous peine d’une amende pouvant
recrutement) ; les services publics et privés essentiels (par
atteindre 7,5 millions d’euros ou 1,5% du chiffre d’affaires
exemple, l’évaluation d’un dossier de demande d’allocation
annuel mondial. Enfin pour les applications à risque
ou d’attribution d’une place en crèche), la gestion des
minime (faible ou nul), le règlement sur l’IA recommande
migrations, de l’asile et du contrôle aux frontières (par
l’adoption volontaire de codes de conduite.
exemple, vérification de l’authenticité des documents de
voyage), le secteur répressif ou encore la justice.

L’irruption de ChatGPT : comment réguler les systèmes d’IA à usage général ?

Le temps de la régulation est un temps long, par définition principale différence entre les applications déjà citées
opposé au temps rapide de l’innovation technologique. et des systèmes et modèles comme des LLM c’est que
A titre d’illustration : plus de 6 années séparent la ces derniers sont à usage général(7) : c’est l’utilisateur qui
première proposition de la Commission européenne sur détermine in fine l’usage qu’il fera de cette technologie.
l’évolution de la réglementation des données à caractère Qui doit être soumis à des obligations : le développeur du
personnel et l’entrée en vigueur du RGPD, texte qui ne modèle de fondation ou l’utilisateur ? Certains - en premier
mentionne d’ailleurs à aucun moment l’intelligence lieu la France - sont même allés plus loin : il ne faudrait pas
artificielle. Dès lors, l’irruption de nouvelles technologies, appliquer de règles trop contraignantes (“sur-réguler”) des
et de nouveaux usages comme l’IA générative (ChatGPT, technologies émergentes, au risque de brider l’innovation
Mid Journey, …) représente un défi pour le régulateur. La et le développement de champions européens.
DATA ET IA : LES NOUVELLES RÈGLES DU JEU EN EUROPE

Parlons technique : LLM et modèles de fondation

Un modèle de fondation est un modèle d’intelligence demande des investissements très conséquents - de
artificielle entraîné sur de très grands volumes de l’ordre de 500 millions de dollars selon des estimations
données et qui peut être adapté à un large éventail de indépendantes(8), et est très consommateur d’énergie. La
tâches, comme la production de texte, d’images ou plupart des grands acteurs de l’économie numérique ont
de contenu audio. Dans le domaine du traitement du développé leurs propres LLM (comme LLaMA pour Meta,
langage, les modèles de fondation sont dénommés des la maison-mère de Facebook). Mais il est aussi possible
LLM (large modele langage), ou modèles de langage de d’entraîner (ou de ré-entraîner) un LLM sur un corpus de
grande taille, comme GPT-3 et GPT-4 développés par données plus restreintes et pour un usage plus spécialisé,
OpenAI. Mais il existe aussi des modèles de fondation par exemple pour écrire du code informatique, préparer
capables de traiter et générer des images, comme des délibérations ou encore dessiner un nouvel épisode de
DALL-E, Stable Diffusion ou celui utilisé par Mid Journey. Tintin !
Entraîner un modèle de fondation comme GPT-4

9
 La régulation des modèles de fondation a bien failli ainsi les modèles à risque systémique (10) (par exemple
faire capoter l’accord politique obtenu en trilogue. En les futures versions de GPT d’OpenAI) et les modèles de
particulier, la France s’est fermement opposée à la base. Dans les deux cas, les développeurs devront publier
Commission, au Parlement et à la majorité des autres un résumé détaillé des jeux de données et respecter la
États-membres sur ce point. Fait inhabituel, le Président de directive européenne sur le copyright. Les modèles à
la République a ainsi publiquement critiqué l’accord obtenu risque systémique (c’est-à-dire les plus puissants) sont
en trilogue, en indiquant son désaccord sur la régulation soumis à des obligations renforcées en partie similaires
des modèles de fondation. De nombreux observateurs, en à celles des applications à haut-risque mais aussi
France et en Europe, ont souligné que la position de la spécifiques, notamment en matière de cybersécurité et
France visait avant tout à défendre son champion national, de consommation d’énergie. Les modèles open source,
la société Mistral AI (9), en arguant notamment de la qu’ils soient systémiques ou non, voient leurs obligations
souveraineté technologique européenne. allégées par rapport à des modèles propriétaires. Enfin,
point important, le texte prévoit que la Commission puisse
L’accord finalement obtenu prévoit plusieurs cas de figure,
identifier de nouveaux critères, qualitatifs, pour déterminer
selon la puissance du modèle de fondation (mesurée par
les modèles qui présentent des risques systémiques (et
la puissance de calcul utilisée pour l’entraînement) et le
seront donc soumis à des obligations renforcées).
caractère open source (ou non) du modèle. Il distingue

L’usage de la biométrie (dont la reconnaissance faciale) dans l’espace public

Le second “sujet chaud” de la discussion autour du publiques (risque de biais discriminatoires et de faux
règlement sur l’intelligence artificielle porte sur positifs, réduction de la liberté de circulation, mais aussi
l’usage de la biométrie dans l’espace public, de la liberté de manifester sur la voie publique). Par
notamment par les forces de police. La biométrie s’est essence, un visage est un identifiant unique que chaque
beaucoup développée ces dernières années dans individu garde tout au long de sa vie et qu’on ne peut pas
l’espace public, notamment avec l’émergence de changer. Le règlement européen encadre ainsi certains
systèmes de reconnaissance faciale et de caméras dites usages de la biométrie dans les espaces publics par les
intelligentes. Ces technologies présentent des risques forces de police. Sont en particulier concernés les
importants en matière de libertés individuelles et systèmes d’identification à distance en temps réel.

Parlons technique : la biométrie et ses usages

Les systèmes biométriques, c’est comme les Dans le second cas, le visage est comparé à plusieurs
champignons : certains sont comestibles sans danger, autres profils présents dans une base de données. Les
d’autres non. On distingue ainsi deux types d’usages : la usages de la biométrie pour la vérification sont beaucoup
vérification et l’identification. moins invasifs en termes de vie privée (ils ne demandent
pas la constitution d’une base centralisée de profils et
Dans le premier cas, il s’agit de vérifier si un visage
restent la plupart du temps en local, sous le contrôle de
(ou l’iris d’un œil, une empreinte palmaire ou tout autre
l’utilisateur). A l’inverse, les usages pour l’identification
élément biométrique) correspond bien à un profil déjà
nécessitent la constitution d’une base de données
enregistré, par exemple pour déverrouiller un smartphone
centrales, et le plus souvent le transfert à distance de ces
(FaceID sur iPhone).
données biométriques (11).
DATA ET IA : LES NOUVELLES RÈGLES DU JEU EN EUROPE

Le règlement pour l’intelligence artificielle interdit Dans ces cas-là, les forces de police devront, avant
l’usage de systèmes d’identification à distance en temps tout déploiement, réaliser une étude de l’impact sur les
réel par les forces de police (law enforcement), mais droits fondamentaux et enregistrer leur système dans un
de nombreuses exceptions à cette interdiction ont été registre européen. Une autorisation devra être obtenue
introduites par les États-membres (et leurs ministères auprès de la justice ou d’une autorité administrative
de l’Intérieur). Ainsi, il sera possible de déployer de tels indépendante. Cependant, exception dans l’exception,
systèmes pour rechercher des personnes disparues, il sera possible de déployer de tels systèmes dans des
prévenir une menace imminente et substantielle, situations d’urgence, à condition de faire une demande
identifier des suspects de crimes sérieux. d’autorisation sous 24 heures.

(9) Mistral AI, start up fondée par d’anciens de Deepmind (une filiale de Google spécialisée dans l’IA), est aujourd’hui valorisée à plus de 2 milliards d’euros.
Elle compte notamment à son capital l’ancien secrétaire d’Etat au numérique Cédric O.
(10) Sont dits à risques systémiques les modèles ayant une incidence significative sur le marché de l’Union en raison de leur portée ou d’effets négatifs réels ou
raisonnablement prévisibles sur la santé publique, la sûreté, la sécurité publique, les droits fondamentaux ou la société dans son ensemble, pouvant être propagé à
grande échelle tout au long de la chaîne de valeur (AI Act).
(11) Pour en savoir plus, voir notamment “Remote biometric identification: a technical & legal guide”, EDRi, janvier 2023.

10
QUIZ
Selon vous, quel niveau de risques pour les applications
suivantes de l’IA dans une collectivité ?
(réponses en dernière page)

Risque Applique à Application à

Application à
inacceptable risque limité risque minime Ça dépend !
haut-risque
(interdiction) ou faible ou nul

1 ) Un système de tri automatique des

CVs pour des candidats à un poste de
catégorie A

2 ) Un système de notation des

habitants en fonction de leur
comportement de bons citoyens en
matière de collecte et recyclage des
déchets

3 ) La création d’une image de

synthèse pour illustrer le magazine de
la ville

4) Un système de comptage de
nombre de piétons utilisant des
caméras de vidéosurveillance

5) Un chatbot aidant les administrés

dans leurs démarches administratives
sur le site Internet de la Mairie

6) Un outil d’aide à la rédaction de

délibérations pour les agents des
collectivités

7) Un système analysant des images

satellites pour repérer des décharges
DATA ET IA : LES NOUVELLES RÈGLES DU JEU EN EUROPE

sauvages

8) Un système vidéo IA permettant à la

police municipale de repérer dans une
foule les individus n’ayant pas payé la
cantine scolaire

11
 Règlement sur l’intelligence artificielle : beaucoup de bruit pour rien ? Quel impact pour les collectivités ?

De l’aveu même de ses concepteurs, l’AI Act ne De là cependant à considérer que, finalement, ce règlement
concerne qu’une minorité des applications de ne change rien pour les collectivités (“beaucoup de bruit
l’intelligence artificielle : “Seulement 10 à 15% des pour rien”), il y a un pas qu’il ne faut pas franchir, au moins
systèmes d’intelligence artificielle seront soumis à pour deux raisons. Tout d’abord il ne faut pas sous-estimer
des obligations au titre du règlement sur l’intelligence le lien existant entre régulation et acceptabilité sociale.
artificielle” indique le cabinet du rapporteur du texte au L’exemple du RGPD nous montre que, au-delà même des
Parlement européen(12). obligations nouvelles, l’existence de ce règlement a eu un
impact fort sur la sensibilisation du public aux enjeux de
De prime abord, on peut considérer que l’impact de
vie privée. Parallèlement, les nombreux exemples de fuite
cette nouvelle régulation sur les usages de l’IA par les
de données à caractère personnel et de détournement
collectivités sera relativement limité. En effet, la vaste
d’usage ont alimenté une demande plus forte de protection
majorité des cas d’usages aujourd’hui identifiés(13) relèvent
de la part des individus. Il est tout à fait possible qu’il en soit
a priori de la catégorie à risque limité, voire nul. De plus, la
de même pour l’intelligence artificielle.
plupart des obligations incombent à ceux qui développent
et importent des solutions d’IA sur le territoire européen, et Cela implique des efforts, de la part des collectivités,
pas directement sur les utilisateurs. non seulement pour bien appliquer le corpus juridique
existant (le règlement sur l’IA n’annule pas le RGPD, bien
En clair : si une collectivité achète une solution qui intègre
au contraire !) mais aussi pour s’assurer de l’acceptabilité
une intelligence artificielle, c’est bien la société qui lui vend
sociale des solutions déployées, quand bien même celles-
le système qui sera responsable de la mise en conformité
ci présenteraient un risque minime ou nul au sens du
avec le règlement, pas la collectivité utilisatrice (sauf
règlement IA.
cas spécifiques mentionnés). Si la collectivité développe
elle-même des applications d’intelligence artificielle, Ensuite, il faut bien comprendre que le règlement sur
par exemple en utilisant des modèles de fondation de l’intelligence artificielle ne règle pas tout. Il y a de la place
type LLM, alors elle sera elle-aussi soumise à certaines pour des engagements propres (la doctrine internet de la
obligations, en particulier si cette application relève des collectivité en matière d’IA et de données, les engagements
domaines à haut-risque (emploi, éducation, accès aux de type chartes) mais aussi pour les législations nationales
services publics). Les administrations publiques seront (comme l’obligation de transparence et d’information sur
notamment tenues de réaliser une étude d’impact sur les les traitements algorithmiques par les acteurs publics,
droits fondamentaux(14). obligation introduite par la Loi pour une République
numérique).
DATA ET IA : LES NOUVELLES RÈGLES DU JEU EN EUROPE

(12) Source : rencontre entre la délégation d’élus de France Urbaine et Dan Nechita, directeur de cabinet du député européen Dragos Tudorache, Bruxelles, 21 mars 2024.
(13) Par exemple par l’Observatoire Data Publica dans le cadre de son enquête annuelle auprès des collectivités et de la note de conjoncture La Poste et Banque des
Territoires.
(14) Pour en savoir plus : article 27 : l’évaluation de l’impact sur les droits fondamentaux des systèmes d’IA à haut-risque

12
 RÉGULER L’ÉCONOMIE DES DONNÉES :
LE DATA ACT ET LE DATA
GOVERNANCE ACT
La commission Von der Leyen a été particulièrement active en matière de données, notamment avec la
publication de la stratégie européenne pour la donnée (2020). L’ambition est de créer un marché unique
européen en matière de données, en facilitant le partage et l’usage des données. En pratique, il s’agit de
d’assurer une nouvelle liberté de circulation - celles des données - en complément de la libre circulation
des individus, des biens et services et des capitaux déjà garanties par l’Union européenne. La stratégie
européenne a été déclinée dans deux textes majeurs : le règlement sur la gouvernance des données (Data
Governance Act, 2022) et le règlement sur les données (Data Act, 2023). Par ailleurs, la directive sur l’Open
Data (Open Data Directive, 2019) est venue préciser le cadre existant en matière d’ouverture des données
publiques.

Une clé de lecture : gagner la bataille des données non-personnelles et industrielles

L’objectif de la stratégie est clairement affiché : “L’UE tête. Ces deux blocs géopolitiques - et en premier lieu
devrait mettre en place un environnement attrayant pour les américains - concentrent la majorité de la création
parvenir à ce que, d’ici à 2030, la part de l’Union dans de valeur par l’usage intensif des données personnelles,
l’économie fondée sur les données corresponde au moins notamment celles des Européens. Mais, pour nombre
à son poids économique, non par le fruit du hasard, mais d’observateurs, la prochaine bataille est celle des données
par choix(15).” Pour comprendre l’enjeu, il faut partir d’un non-personnelles, industrielles et, plus globalement, celle
constat : la bataille des données à caractère personnel de l’Internet des objets (IoT). Le Data Governance Act et le
est, dans une large mesure, en passe d’être gagnée par Data Act s’inscrivent parfaitement dans cette ambition.
des acteurs non-européens, états-uniens et chinois en

Enfin une définition officielle des données !

Le premier mérite du Data Governance Act est de proposer

une définition officielle des données. Aussi curieux que cela Donnée
puisse paraître, au regard des nombreux textes adoptés
ces dernières années (notamment la directive sur l’open “Toute représentation numérique d’actes, de faits ou
DATA ET IA : LES NOUVELLES RÈGLES DU JEU EN EUROPE

data), c’est la première fois que la définition des données d’informations et toute compilation de ces actes, faits ou
est clarifiée au niveau européen. On notera que la définition informations, notamment sous la forme d’enregistrements
proposée est assez large, et qu’elle va donc plus loin que sonores, visuels ou audiovisuels”
celle des données tabulaires gérées dans un logiciel (Data Governance Act, 2022).
comme Excel ou Open Office.

(15) Stratégie européenne sur les données, Commission européenne, 2020.

13
 Faciliter la circulation et la réutilisation des données de l’Internet des objets

Un nombre croissant de produits et services génèrent des d’entretien au garagiste de son choix, ou encore qu’une
données liées à leur utilisation. On estime par exemple collectivité puisse faire analyser, par la startup de son
qu’un véhicule électrique de la marque Tesla génère choix, les données de consommation énergétique de ses
plusieurs téraoctets de données par jour (une grande bâtiments publics.
partie de ce volume n’est pas transférée à distance, mais
Mais trop souvent, selon la Commission européenne,
certaines données - et non des moindres - le sont)(16).
l’accès et la réutilisation de ces données de l’Internet des
Grâce au développement des réseaux de communication
objets est rendu difficile, parfois par les fabricants eux-
(5G, LoRA et autres), il est maintenant courant que de tels
mêmes de ces objets connectés.
objets transmettent des données.
Le Data Act vise à lever les obstacles en :
Les cas d’usages sont multiples, tant dans le secteur
public (télérelève de compteurs d’eau, suivi à distance 1 ) obligeant les fabricants à développer des outils pour
de la consommation énergétique des bâtiments publics, accéder aux données générées dans le cadre de l’utilisation
remontée des places de stationnement disponibles, de l’objet,
accompagnement post-opératoire des patients à 2) en ouvrant la possibilité, pour les utilisateurs, d’accéder
domicile, …) que privé (maintenance préventive des aux données et de les partager avec des tiers, sous leur
moteurs d’avion, suivi de flotte de véhicules de livraison et contrôle (le droit à la portabilité, l’un des principes du
dispatching en temps réel, suivi des machines agricoles, …). RGPD, est étendu aux données non-personnelles), par
Le potentiel de réutilisation de ces données est exemple pour accéder à des services après-vente ou des
considérable : on pourrait imaginer par exemple qu’un services fondés sur les données.
propriétaire de véhicule puisse transférer les données

Des espaces communs de données

Le Data Governance Act et le Data Act accompagnent aussi comme par exemple le Climate Data Hub de la Région Centre
le développement de nouveaux modèles de partage et de Val de Loire, Rennes Urban Data Interface (RUDI), le Data
gouvernance des données, comme les espaces communs space territorial multi-sectoriel (Ekitia) ou encore Intelligent
de données. Il s’agit en fait d’offrir, aux acteurs publics Data Exchange (Pays-Bas), une plateforme d’échanges de
et privés, une diversité d’options de partage et de sortir données sur les travaux routiers et de voirie (croisement
de l’alternative ouvert / fermé(17). Les espaces communs de données sur les travaux prévus et les données de
de données sont le plus souvent sectoriels, comme par trafic temps réel via les opérateurs mobiles). Le Data
exemple en France Agdatahub qui regroupe les acteurs de la Governance Act fournit un cadre juridique pour sécuriser
filière agricole, ou au niveau européen, Dates et DSFT pour la mise en place de tels espaces communs de données,
les acteurs du tourisme. notamment en indiquant les obligations qui incombent aux
intermédiaires de données(18), qui devront faire preuve de
Mais les collectivités, en France et en Europe, mettent en
transparence, s’enregistrer auprès de l’UE et fournir des
place, voire exploitent déjà ce qui ressemble fortement à
garanties en matière d’usages des données(19).
des espaces communs de données voire s’en revendique,
DATA ET IA : LES NOUVELLES RÈGLES DU JEU EN EUROPE

(16) Voir à ce sujet l’enquête en 3 parties publiées par le Magazine IEEE Spectrum : “The radical scope of Tesla’s data hoard”, août 2022. Lecture déconseillé aux
propriétaires de Tesla qui auraient le cœur sensible.
(17) Attention, cela ne signifie pas que l’obligation d’open data par défaut est caduque pour les données publiques, dans les conditions définies dans le Code des
relations entre le public et l’administration.
(18) Présentation des règles concernant les intermédiaires de données en vidéo : “La stratégie européenne sur les données, épisode 3” (Simon Chignard, 2022).
(19) Les collectivités peuvent-elles prétendre au statut d’intermédiaires de données, au sens de l’UE ? A ce stade la réponse n’est pas entièrement tranchée.

14
L’accès aux données du secteur privé à des fins d’intérêt général

Certaines données produites par le secteur privé (ou caisses issues de la grande distribution, pour calculer une
associatif) pourraient être utiles pour concevoir, mettre partie de l’indice des prix (la mesure officielle de l’inflation).
en œuvre des politiques publiques et plus généralement,
Il ne fait guère de doutes que des données, produites hors
contribuer à l’intérêt général. Lors de la pandémie de
cadre de missions de service public, pourraient être très
Covid-19, des données d’opérateurs de téléphonie mobile
utiles aux acteurs publics ; mais sous quelles conditions ?
ont été utilisées, en France et ailleurs en Europe, pour
suivre les déplacements de population à l’annonce des La Commission européenne a proposé un mécanisme
périodes de confinement. De même, depuis quelques d’accès et de réutilisation de ces données, sous le terme de
années, l’institut national de la statistique et des études partage de données business-to-government (B2G Data
économiques (INSEE) utilise des données anonymisées de Sharing).

Faut-il obliger les entreprises à mettre à disposition leurs données à des fins d’intérêt général ?
Cette mise à disposition doit-elle être gratuite certaines entreprises, à l’image d’Orange ou Telefonica,
ou payante ? Les modalités pratiques du partage commercialisent auprès des acteurs publics et privés
de données B2G ont constitué l’un des principaux des solutions basées sur les données anonymisées(20).
sujets chauds du débat. Les représentants d’intérêt A l’inverse, plusieurs associations (dont Open Future,
des entreprises - et en premier lieu des opérateurs the Center for European Policy Studies et Eurocities,
de téléphonie mobile et de l’industrie automobile représentant les collectivités locales) ont pris
- souhaitaient limiter l’accès à quelques situations publiquement position en faveur d’un cadre plus favorable
particulières, et laisser les mécanismes de marché aux acteurs publics.
s’appliquer dans la majorité des cas. Il faut dire que

Les cas d’accès gratuit aux données pour les acteurs publics
Le Data Act, adopté en décembre 2023, encadre Concrètement, on peut imaginer qu’une collectivité
les conditions du partage de données B2G. En accède à des données de flux autoroutier pour
pratique, les conditions d’accès aux données varient dimensionner un plan d’évacuation d’une ville. Pour ce
selon le contexte et la situation. Le seul cas où l’accès est cas de figure, les détenteurs de données sont en droit de
gratuit correspond à des situations exceptionnelles de réclamer une compensation financière. Enfin, le Data Act
réponses à des urgences publiques. prévoit aussi des mécanismes quand les données sont
jugées nécessaires à l’exercice d’une mission de service
En clair : utiliser des données pour répondre à une
public - on peut penser par exemple à des données sur les
situation telle qu’une catastrophe naturelle, une
montants des loyers pratiqués dans un quartier, dans le
inondation, un séisme ou un incendie. Dans ce cas-là, les
cadre d’une politique d’encadrement des dits loyers. Dans
acteurs publics pourront demander et obtenir un accès
ce dernier cas de figure, ce sont les règles du marché qui
gratuit aux données (à condition de ne pas les partager
s’appliquent.
avec des tiers, ce n’est pas de l’open data !). Le second
cas de figure correspond à la prévention des situations
d’urgence.
DATA ET IA : LES NOUVELLES RÈGLES DU JEU EN EUROPE

15
 L’altruisme des données : le partage volontaire au service de l’intérêt général

Le Data Governance Act entend faciliter l’altruisme des des données qu’elles collectent. L’une des premières
données, défini comme la mise à disposition volontaire, organisations reconnues est la plateforme DataLog qui
par des individus ou des organisations, de données propose aux habitants de Barcelone de partager leurs
(personnelles ou non-personnelles) à des fins d’intérêt données de consommation énergétique.
général. Les cas d’usage pour les collectivités sont
La directive sur l’open data (Open data Directive, 2019)
multiples, comme l’illustre l’initiative Bike Data Projet dans
vise à mettre à jour la directive de 2003 centrée sur les
la région de Bruxelles : les individus qui le souhaitent sont
informations du secteur public (Public Sector Information
invités à connecter leur application Strava, qui enregistre
Directive, 2003). En pratique, depuis l’adoption de la Loi
leurs déplacements à vélo, avec la plateforme. Les données
pour une République numérique, la plupart des principes
ainsi collectées sont anonymisées, puis mises à disposition
posés par cette révision existaient déjà dans le droit
des acteurs du territoire - par exemple pour l’aménagement
français. L’une des principales nouveautés concerne
des voies cyclables, ou une meilleure compréhension des
les ensembles de données de forte valeur (high-value
pratiques.
datasets). Similaire, dans l’esprit, aux données de
L’altruisme des données met clairement l’accent sur une référence de la Loi pour une République numérique,
démarche proactive de la part des individus. En ce sens, ces données relèvent des six thématiques suivantes :
il constitue un signal positif pour un rééquilibrage des données géospatiales, observations de la Terre et de
relations entre les individus et ceux qui exploitent leurs l’environnement, météorologie, statistiques, entreprises et
données. propriétés d’entreprises, mobilité(21). Les administrations et
organisations publiques qui produisent de telles données
Le Data Governance Act propose aux organisations qui
seront tenues de les mettre à disposition librement et
mettent en place l’altruisme de données de s’enregistrer et
gratuitement par le biais d’interfaces de programmation
de se faire connaître au niveau européen. Elles s’engagent
(API).
alors à respecter des règles en matière de transparence
sur leur financement, leur fonctionnement et l’usage
DATA ET IA : LES NOUVELLES RÈGLES DU JEU EN EUROPE

(21) La Commission a publié en 2022 une liste détaillée des données à forte valeur.

16
 LES AUTRES TEXTES ADOPTÉS
CES 5 DERNIÈRES ANNÉES
EN MATIÈRE DE NUMÉRIQUE
La présente note s’est concentrée sur les principaux textes en rapport direct avec les données et l’intelligence
artificielle. Mais la commission Von der Leyen a imprimé sa marque sur d’autres textes majeurs en matière de
numérique. En voici un bref résumé, ainsi qu’une sélection de liens pour en savoir plus.

La directive NIS 2
L’Union européenne a adopté une révision de la directive pour définir le périmètre exact des entités concernées par
NIS (Network and Information Security directive) afin NIS 2 (la directive européenne laissant une certaine marge
de faire face à l’augmentation de la menace cyber et de manœuvre aux États-membres) mais aussi le mode de
la multiplication des attaques contre les systèmes collaboration entre ces entités et l’ANSSI. En l’état actuel
d’information des entreprises et des administrations. des discussions, il est fort probable que la transposition
NIS 2 est qualifié de changement de paradigme, dans la de NIS 2 étende très sensiblement le nombre d’opérateurs
mesure où elle étend le périmètre des acteurs concernés concernés par ces nouvelles obligations en matière de
et les obligations pesant sur les acteurs. Le texte doit faire cybersécurité - de quelques centaines à quelques, voire
l’objet d’une transposition dans le cadre d’un projet de loi plusieurs, milliers. Les grandes villes, les agglomérations et
attendu pour 2024. L’Agence nationale de sécurité des les métropoles devraient, selon toute vraisemblance, faire
systèmes d’information (ANSSI) a entrepris une démarche partie des “entités essentielles” au sens de la directive (22).
de concertation, notamment avec les associations d’élus,

Le Digital Services Act (DSA)

“Ce qui est illégal hors-ligne l’est aussi en-ligne” : c’est en en relation, mais ils constituent aussi le terrain privilégié
ces termes que le commissaire européen Thierry Breton des dérives individuelles et collectives. Le DSA est l’un
présente la philosophie du règlement sur les services des premiers textes européens à adopter une nouvelle
numériques (DSA). approche de la régulation numérique. Le règlement vise
tout particulièrement les mécanismes algorithmiques
Les enjeux sont multiples : multiplication de la haine en
d’éditorialisation et d’amplification de contenus, et les
ligne - y compris contre des candidats et des élus - , de
moyens que les fournisseurs de ces services mettent en
la désinformation, manipulation et ingérence étrangère,
œuvre pour assurer la modération des contenus. Il définit
contrefaçon de produits et services, … Les services en ligne,
DATA ET IA : LES NOUVELLES RÈGLES DU JEU EN EUROPE

en outre des obligations supplémentaires pour les très

et en premier lieu les grandes plateformes numériques
grandes plateformes (VLOPs - very large online platforms)
et leurs services (Meta, Google, Amazon, Microsoft, …)
qui ont plus de 45 millions d’utilisateurs par mois en
sont de formidables outils de communication et de mise
Europe (23).

(22) Pour en savoir plus sur la directive NIS 2 et ses impacts pour les collectivités territoriales : “La directive NIS 2”, ANSSI, 2023.
(23) Pour en savoir plus sur le DSA et les obligations qui pèsent sur plateformes en ligne : “DSA : le règlement européen sur les services numériques vise une
responsabilisation des plateformes”, Vie publique, août 2023.

17
 Parlons technique : l’éditorialisation algorithmique

Depuis au moins une vingtaine d’années, le débat autour manifestement illicites et, le cas échéant, de les signaler
des plateformes en ligne tourne autour du statut juridique à la justice.
applicable à ces plateformes.
Cette distinction entre éditeur et hébergeur est par
Il existe dans le droit français deux principaux statuts : exemple au cœur de la LCEN - loi pour la confiance dans
l’économie numérique de 2004. Le DSA part d’un constat :
•d
 ’un côté le statut d’éditeur, qui s’applique
les grandes plateformes ne sont ni tout à fait des éditeurs
notamment à la presse et aux médias. L’éditeur est
de presse (car les contenus ne sont pas nécessairement
responsable juridiquement du contenu publié, car il
produits par la plateforme mais plutôt par les utilisateurs,
prend notamment des décisions éditoriales (c’est-à-
ni de simples hébergeurs. En effet, toutes les plateformes
dire qu’il décide de ce qui sera publié ou non). En cas
ont mis en œuvre une éditorialisation algorithmique.
de conflit (par exemple un procès en diffamation), la
En moyenne, un utilisateur de Facebook, X-Twitter ou
responsabilité de l’éditeur peut-être engagée ;
LinkedIn ne voit que 10 à 15% des contenus publiés par
•d
 e l’autre côté le statut d’hébergeur, qui s’appliquait ceux qu’il suit en ligne ! Des algorithmes interviennent
traditionnellement à la plupart des plateformes pour rendre visibles certains contenus et en invisibiliser
en ligne. Comme son nom l’indique, un hébergeur d’autres. Dès lors, le DSA propose de s’intéresser au
héberge du contenu produit par des tiers (par exemple “cœur du réacteur”, c’est-à-dire le fonctionnement de
les internautes eux-mêmes). A ce titre son niveau ces mécanismes algorithmiques et non aux contenus
de responsabilité est différent, il est “juste” tenu de eux-mêmes.
supprimer dans un délai raisonnable les contenus

Le Digital Market Act (DMA)

L’ambition du Digital Market Act est tout d’abord en direct, mais elle a surtout une fonction de place de
économique et part du constat que si plus de 10 000 plate- marché (marketplace) qui offre une présence en ligne et
formes en ligne opèrent en Europe (dont 90% sont gérées un accès au marché à de très nombreux commerçants en
par des petites et moyennes entreprises), les grandes ligne. Or le risque est grand qu’Amazon utilise cette position
plateformes (dites “systémiques”) captent l’essentiel de “garde-barrière” (gatekeeper) ou “contrôleur d’accès”
de la valeur créée. Le DMA vise à adresser ce manque de pour restreindre la concurrence, ou encore qu’elle utilise les
concurrence entre les acteurs, et à lutter contre la position données de vente des produits pour développer sa propre
dominante des grands opérateurs, au profit des petites et offre concurrente (car Amazon fabrique aussi ses propres
moyennes entreprises. produits, sous la marque Amazon Basics).
Pour comprendre l’enjeu, on peut partir d’un exemple, celui Le DMA introduit des règles pour lutter, à priori (ex-ante),
joué par la plateforme Amazon, qui concentre à elle seule contre les pratiques anti-concurrentielles des grandes
plus de 20% du marché du commerce en ligne en France plateformes (24). En pratique, les impacts du DMA sur les
(c’est le double en Allemagne). Contrairement à une idée collectivités sont a priori assez limités.
répandue dans le grand public, Amazon vend des produits
DATA ET IA : LES NOUVELLES RÈGLES DU JEU EN EUROPE

L’Interopérable Europe Act

Le règlement pour une Europe interopérable (25) coopération entre les administrations nationales et locales
(Interoperable Europe Act) vise à créer un nouveau en Europe, et prévoit la mise en place d’un catalogue
cadre de coopération pour les administrations publiques de solutions d’interopérabilité. Le texte est encore
au niveau européen, en facilitant l’interopérabilité susceptible d’évoluer - l’accord provisoire entre le Conseil,
des solutions déployées en matière d’administrations la Commission et le Parlement datant de la fin 2023. En
numériques dans les différents pays. Le règlement fixe des pratique, l’Interoperable Europe Act intéressera en premier
obligations applicables aux “services publics numériques lieu les collectivités transfrontalières, qui pourrait y trouver
transeuropéens” (notamment concernant l’évaluation de nouveaux leviers et moyens d’actions. Pour les autres
obligatoire d’interopérabilité), crée des mécanismes de collectivités, les enjeux apparaissent moins immédiats.

(24) Pour en savoir plus sur le Digital Market Act : “DMA : le règlement sur les marchés numériques veut mettre fin à la domination des géants du Net”, Vie publique,
septembre 2023.
(25) Pour en savoir plus sur l’Interoperable Europe Act “Règlement pour une Europe interopérable: le Conseil et le Parlement parviennent à un accord pour des services
publics numériques plus efficaces dans l’ensemble de l’UE”, Conseil de l’UE, novembre 2023.

18
 LES PRIORITÉS DES
5 PROCHAINES ANNÉES
La période 2019-2024 a été très riche en matière de régulation du numérique. Jamais l’Europe n’avait
adopté autant de textes en matière de données, de plateformes et d’intelligence artificielle. La présente
note se concentre sur les principaux textes, mais le sujet du numérique est aussi présent dans bien d’autres
réglementations adoptées depuis 2019, à l’image de l’accord récent sur les droits des travailleurs des
plateformes.

A quoi faut-il s’attendre pour les cinq prochaines années ? Quelles sont les priorités ?

Une partie de la réponse tient bien sûr dans les résultats des élections européennes de juin 2024. Une poussée
électorale des partis populistes, telle qu’elle est annoncée dans les sondages, pourrait entraîner un retour en
arrière (backlash) sur un certain nombre de textes déjà adoptés, en premier lieu le Pacte vert. Mais, au-delà même
des incertitudes du prochain scrutin, la plupart des observateurs s’accordent sur un point : pour la régulation du
numérique, les années 2019-2024 étaient sans aucun doute une parenthèse, une période relativement unique et qui
ne devrait pas se reproduire. La prochaine mandature aura avant tout pour mission de mettre en œuvre les textes
adoptés au cours de ces cinq dernières années, et non d’en proposer de nouveaux.

La priorité : mettre en œuvre ces nouvelles règles

Interrogés sur les priorités des cinq prochaines années, L’implémentation, c’est le passage de l’idée à l’action.
l’ensemble des interlocuteurs rencontrés par la délégation C’est le moment où les textes qui ont été patiemment
d’élus de France Urbaine - Les Interconnectés (26) (tant au imaginés, discutés, négociés, vont devenir une réalité.
niveau de la Commission européenne que du Parlement C’est le moment aussi où l’on espère pouvoir en voir
européen) ont répondu par le même mot : implémentation. concrètement les premiers effets. Comme l’a montré le
La priorité des cinq prochaines années c’est d’abord de retour d’expériences du RGPD (cf. page 4) la mise en œuvre
“finir le travail”. Car, contrairement à une idée répandue, la n’est jamais simple. C’est un jeu complexe qui mobilise
publication officielle d’un texte comme le règlement sur les États-membres, les autorités de régulation de chaque
l’intelligence artificielle ne marque pas la fin de l’histoire, pays mais aussi, de manière croissante, la Commission
mais son début. européenne elle-même à travers par exemple l’AI Office.

DATA ET IA : LES NOUVELLES RÈGLES DU JEU EN EUROPE

(26) Délégation d’élus de France Urbaine - Les Interconnectés à Bruxelles, les 21 et 22 mars 2024.

19
 CONCLUSION :
L’EUROPE, UNE OPPORTUNITÉ
POUR LES COLLECTIVITÉS FRANÇAISES

60% à 70% de la réglementation européenne a un impact direct au niveau local et régional. Il y a plusieurs
manières de lire cette statistique.

La première lecture est de voir la réglementation européenne comme une source supplémentaire de normes
et de contraintes, qui plus est en provenance d’un échelon (l’Union européenne) qui semble parfois trop
éloigné. Pour nombre de collectivités, cela semble compliqué d’influer sur l’agenda européen. C’est sans doute
vrai au niveau individuel de chaque collectivité. Mais, collectivement, les collectivités peuvent faire entendre
leur voix si elles sont capables de s’appuyer sur des réseaux nationaux (France Urbaine, Les Interconnectés)
et, à fortiori, européens (Eurocities, Conseil des Communes et des Régions d’Europe).

Une autre lecture est possible : les échelons locaux sont les premiers terrains d’application des nouvelles
règles. En ce sens, la réglementation n’est pas seulement une contrainte, c’est aussi une opportunité car elle
donne un cadre d’action pour les acteurs locaux.

Prenons trois exemples concrets d’opportunités à saisir dans les prochains mois :

Le règlement IA prévoit que les administrations publiques devront réaliser dans

1 E
 n matière certains cas une étude d’impact sur les droits fondamentaux (cf. page 15).
d’intelligence Le bureau pour l’intelligence artificielle (AI Office) est chargé d’aider à la mise en
œuvre de cette obligation. Nul doute que les collectivités françaises pourraient
artificielle…
légitimement apporter un point de vue et un retour d’expérience pour aider ce
nouveau service de la Commission européenne dans cette tâche.

Le Data Governance Act introduit le concept d’altruisme de données, que l’on

2 En matière peut définir comme le partage volontaire de données à des fins d’intérêt général
de données… (cf. page 20 et suivante). Les collectivités françaises pourraient se saisir de ce
nouveau cadre par exemple dans le domaine de la lutte contre le changement
DATA ET IA : LES NOUVELLES RÈGLES DU JEU EN EUROPE

climatique, de la santé ou des mobilités.

Le Digital Services Act introduit de nouveaux mécanismes pour mieux lutter

3 En matière contre la haine en ligne (cf. page 20 et suivante). La haine en ligne est un
de plateformes… problème mondial, mais l’échelon local n’est pas épargné, et les élus sont
parfois aussi les cibles de la haine en ligne. Les collectivités locales peuvent
se rapprocher du régulateur national (en l’occurrence, l’ARCOM) pour agir
ensemble.

20
BIBLIOGRAPHIE
Rapports et documents “Mise en conformité AI Act : les clés pour comprendre et appliquer la loi sur l’IA”
France Digitale - Wavestone, février 2024
“The EU AI Act : a summary of its significance and scope”, Ada Lovelace Institute,
avril 2022
Les 4 règles d’or de la régulation numérique Sébastien Soriano, 1er février 2024
“Intelligence artificielle et action publique : construire la confiance, servir la
performance”, Conseil d’État, août 2022

Articles de presse “The radical scope of Tesla’s Data Hoard”, IEEE Spectrum, 3 août 2022
“Entre amende record et bataille en coulisses, le RGPD fête ses cinq ans sur un bilan
contrasté”, L’Usine digitale, 25 mai 2023
“La loi européenne obligeant les géants d’Internet à réguler leurs contenus est entrée
en vigueur”, Le Monde, août 2023 (sur abonnement)
“La France accepte de valider l’AI Act après sept mois d’opposition”, Le Monde, 2
février 2024 (sur abonnement)
“Les coulisses de l’opposition de la France à la réglementation des modèles d’IA”,
Euractiv, 29 novembre 2023
“Kit de survie pour humains sur l’intelligence artificielle”, Contexte, 13 avril 2023
(sur abonnement)
“Ces collectivités qui prennent le train de l’IA”, dossier d’actualités La Gazette des
Communes, février 2024 (sur abonnement)
“Régulation du numérique : il était une fois dans l’Ouest (de l’Europe)”, Simon
Chignard, La Gazette des Communes, avril 2024 (sur abonnement).

Vidéos “La stratégie européenne pour la donnée en 3 épisodes” : l’altruisme des

données, le partage de données B2G, les intermédiaires de données, Simon
Chignard, 2022
“Présentation de la directive NIS 2” : épisode 1 et épisode 2, ANSSI, 2023
“Les maîtres du monde, l’Europe face aux géants du numérique”, documentaire de
la RTBF, 93 minutes, 2024.
DATA ET IA : LES NOUVELLES RÈGLES DU JEU EN EUROPE

Podcasts “ChatGPT dans le texte”, Le code a changé, France Inter, 9 juin 2023
“Black box: the collision”, The Guardian, mars 2024

21
 RÉPONSE AU QUIZ
Selon vous, quel niveau de risques pour les applications
suivantes de l’IA dans une collectivité ?

Risque Applique à Application à

Application à
inacceptable risque limité risque minime Ça dépend !
haut-risque
(interdiction) ou faible ou nul

√
1 ) Un système de tri automatique des
CVs pour des candidats à un poste de
catégorie A

2 ) Un système de notation des

√
habitants en fonction de leur
comportement de bons citoyens en
matière de collecte et recyclage des
déchets

√
3 ) La création d’une image de
synthèse pour illustrer le magazine de
la ville

√
4) Un système de comptage de
nombre de piétons utilisant des
caméras de vidéosurveillance

√
5) Un chatbot aidant les administrés
dans leurs démarches administratives
sur le site Internet de la Mairie

√
6) Un outil d’aide à la rédaction de
délibérations pour les agents des
collectivités
DATA ET IA : LES NOUVELLES RÈGLES DU JEU EN EUROPE

√
7) Un système analysant des images
satellites pour repérer des décharges
sauvages

8) Un système vidéo IA permettant à la

√
police municipale de repérer dans une
foule les individus n’ayant pas payé la
cantine scolaire

22
DATA ET IA
LES NOUVELLES
RÈGLES DU JEU
EN EUROPE

REMERCIEMENTS ET CONTEXTE
La présente note a été rédigée par Simon Chignard à la demande, et pour le
compte des Interconnectés. Elle a pour ambition d’offrir un regard critique sur les
principaux textes relatifs à la donnée et l’intelligence artificielle adoptés au cours
de la mandature 2019-2024 de la Commission européenne dirigée par Ursula Von
der Leyen.
Le propos s’adresse en premier lieu aux collectivités et à leurs élus en charge
du numérique. Ils y trouveront, outre la présentation des textes (AI Act, Data
Governance Act, Data Act, …) des clés de lecture pour comprendre l’intention
du législateur, identifier les points qui font débat, mais aussi s’emparer des
opportunités que ces nouvelles règles du jeu représentent pour les acteurs publics
locaux.
L’auteur remercie Anthéa Serafin pour sa relecture du document.