3 minutes read
L'AI Act
Dans le cadre de l’AI Act, les États membres de l’Union européenne devaient avoir désigné, au plus tard le 2 août 2025, leurs autorités compétentes et notifié ces informations à la Commission. Au Luxembourg, le projet de loi n°8476 prévoit de confier ce rôle central à la CNPD, appelée à devenir l’autorité nationale de référence.
L’AI Act, premier cadre réglementaire européen sur l’intelligence artificielle, entre en vigueur par étapes: interdiction des pratiques jugées inacceptables dès février 2025 (par exemple la notation sociale), obligations spécifiques pour les modèles d’IA à usage général (GPAI) dès août 2025, puis application complète en août 2026 pour les systèmes à haut risque (à titre illustratif, ceux utilisés dans l’emploi, l’éducation, la gestion des infrastructures critiques ou la justice).
Ce sont d’abord les fournisseurs de GPAI qui seront directement concernés. Dès août 2025, ils doivent publier un résumé des données d’entraînement, documenter le fonctionnement de leurs modèles, partager certaines informations avec les développeurs, définir une politique de respect du droit d’auteur et, pour les entités sans établissement dans l’Union européenne, désigner un représentant légal.
Un niveau supplémentaire de vigilance est prévu pour les modèles à risque systémique, c’est-à-dire suffisamment puissants pour générer des dommages à grande échelle. Leurs fournisseurs devront effectuer des évaluations régulières, suivre les incidents graves et renforcer la cybersécurité. L’objectif est de limiter les dérives liées aux modèles les plus avancés, souvent développés par un nombre restreint d’acteurs internationaux.
Ces obligations ne concernent pas uniquement les fournisseurs. Les entreprises qui utilisent un système d’IA à haut risque devront aussi démontrer une maîtrise effective de leurs pratiques. Cela inclut le contrôle des données d’entrée, le respect des consignes du fournisseur, la supervision humaine par une personne compétente et l’information des salariés ou personnes concernées. Elles devront également conserver les journaux d’événements générés par le système, surveiller et signaler tout incident, et coopérer avec les autorités en cas de demande.
Enfin, les sanctions sont dissuasives: jusqu’à 7% du chiffre d’affaires mondial en cas de manquement grave.
Dans ce contexte, l’AI Act et le Data Act imposent aux entreprises une mise en conformité continue.
La régulation numérique n’est plus un horizon lointain: elle structure dès aujourd’hui la gouvernance et les pratiques opérationnelles.
Le Data Act
Entré en vigueur le 12 septembre 2025, le Data Act, aux côtés de l’AI Act, constitue l’un des piliers de la nouvelle gouvernance numérique européenne. Il vise principalement à encadrer l’accès, l’utilisation et le partage des données générées par les utilisateurs et les objets connectés, dans une logique de transparence, de sécurité et d’équité.
Au Luxembourg, en l’absence de projet de loi national à ce jour, aucune autorité compétente n’a été officiellement désignée pour assurer la mise en œuvre du règlement. Toutefois, la CNPD devrait être impliquée, celle-ci ayant déjà reconnu que son mandat serait élargi afin de tenir compte de l’évolution du cadre juridique européen.
Parmi les obligations clés du Data Act, les fabricants d’objets connectés sont désormais tenus de concevoir leurs produits de manière à permettre aux utilisateurs (consommateurs ou entreprises), d’accéder facilement aux données générées et de les partager avec des tiers, sur demande. Toutefois, un «gatekeeper» au sens du Digital Markets Act, c’est-à-dire une plateforme numérique dominante sur le marché, telles que Google, Amazon, Apple ou Meta n'est pas un tiers éligible pour recevoir les données générées par les utilisateurs.
Les prestataires de services numériques, notamment les fournisseurs de services cloud, sont également soumis à des obligations renforcées en matière de portabilité des données. Ils doivent faciliter le transfert des données, supprimer les frais associés et garantir l’interopérabilité entre les différents services.
Le règlement encadre les contrats de partage de données, en prohibant les clauses abusives susceptibles de restreindre l’accès ou la réutilisation des données. Il impose une transparence accrue quant à la nature des données collectées, leur fréquence de mise à jour, ainsi que la mise en place de procédures internes permettant de répondre aux demandes d’accès ou de partage.
Enfin, chaque État membre devra établir un régime de sanctions. Ces sanctions pourront inclure des amendes administratives et des actions civiles et devront être efficaces, proportionnées et dissuasives. Afin de se conformer, les entreprises devront ainsi adapter la conception de leurs produits, revoir leurs contrats, cartographier leurs flux de données et former leurs équipes aux nouvelles exigences.
En définitive, le Data Act s’inscrit dans une logique complémentaire à celle du RGPD visant à optimiser la valeur économique de la donnée et à assurer une gouvernance responsable et équitable.
L’AI Act et le Data Act instaurent ainsi un socle de gouvernance numérique fondé sur la transparence et la traçabilité.
En conclusion, au Luxembourg, la CNPD sera en première ligne. Pour les entreprises, la conformité devient un processus continu, qui est essentiel pour limiter les risques et assurer la sécurité de leurs activités.
Cet article a été publié pour la première fois par Paperjam.
