Le monde est rentré dans une période schumpétérienne, le numérique et l’IA transforme profondément les structures que nous connaissons. L’économiste Joseph Schumpeter parlait de « destruction créatrice », détruire le monde d’avant pour construire celui d’après (Capitalisme, socialisme et démocratie, 1942). Le phénomène est mondial et irréversible. Dans ce cadre, comment conjuguer innovation technologique et régulation politique ? Pour répondre à cette question, l’Europe a choisi une voie singulière, celle du droit comme outil de régulation. Après avoir façonné, avec le RGPD, un modèle de protection des données personnelles, elle entend désormais encadrer l’IA avec l’IA Act. De quoi s’agit-il ? Et comment les professionnels doivent faire pour respecter le droit qui s’installe tout en investissant dans l’innovation ? Quelles sont les limites ? Et plus particulièrement dans le monde de la formation, quelles sont les nouvelles pratiques que l’IA Act doit faire naître pour être dans la conformité avec le droit ?
1, Petite histoire de l’IA Act
L’Europe a choisi la donnée comme matrice de régulation. Le Règlement Général sur la Protection des Données, RGPD, adopté en 2016 et entré en vigueur en 2018, propose le droit fondamental à la protection des données personnelles. « Le RGPD a redéfini la gouvernance mondiale des données personnelles, obligeant des entreprises comme Google ou Facebook à adapter leur pratique à l’échelle planétaire » (Anu Bradford, The Brussels effect, how the European Union rules the world, 2019). On parle du « Brussels effect » qui a été un marqueur mondial, influençant les pratiques hors des frontières européennes comme par exemple le California Consumer Act. Ce principe de protection des données servira de fondement à toutes les réglementations ultérieures de l’Europe.
L’émergence de la seconde couche de réglementation européenne se fera en 2022 avec le Digital Market Act, DMA, et du Digital Service Act, DSA. Le DMA a vocation à réguler les « gatekeepers », les grandes plateformes comme Google, Apple, Amazon, Meta ou Microsoft, en interdisant le self-preferencing, favoriser ses propres produits dans leur moteur de recherche ou sur leur boutique en ligne. Le DMA consiste à garantir une concurrence loyale entre les grands acteurs et les plus modestes. Il oblige par exemple une interopérabilité des messageries. L’idée centrale est que les plateformes ne sont pas des services publics, mais considérées comme des infrastructures quasi-publique. Le DSA quant à lui impose des obligations de transparence et de lutte contre les contenus illicites. Le DMA et le DSA constituent deux volets pour encadrer les pratiques des Big Tech. La Commission se dote d’un pouvoir de sanction pouvant atteindre jusqu’à 10 % du chiffre d’affaires mondial pour le DSA et 6 % pour le DSA.
L’IA Act s’inscrit dans cette continuité, il est entré en vigueur au 1er août 2024. « L’AI Act vise à favoriser une IA digne de confiance en Europe, en établissant des règles claires pour les développeurs et les diffuseurs » (Commission Européenne, 2024). Elle régule non pas la technique, mais les usages. Elle définit 4 niveaux de risques : ceux qui sont « inacceptables » et donc interdit comme la manipulation cognitive, la notation sociale, l’exploitation de la vulnérabilité des enfants ; ceux qui sont « élevés » comme la santé, l’éducation, la justice ou la sécurité, strictement encadrée ; ceux qui sont « limités » comme les chabots ou l’IA générative qui ont des obligations d’information, et ceux qui sont « minimaux » comme le divertissement. L’Europe construit la confiance par la réglementation.
2, Quelles sont les analyses critiques ?
La première critique est celle de Douglass North avec ses travaux sur les institutions et le développement économique qui souligne que les droits ont un rôle majeur dans le développement économique. « Les droits de propriété, lorsqu’ils sont bien définis, réduisent l’incertitude et encouragent l’investissement, mais des régulations trop rigides peuvent décourager les innovateurs » (Institutions, institutional change and economic performance, 1990). Le principe historique met en lumière un arbitrage délicat entre liberté et régulation. Prenons un exemple, les algorithmes de reconnaissance faciale, interdits par l’IA Act, pose le problème de la compétitivité. L’international poursuit ces investissements avec des résultats de plus en plus efficacité qui fait prendre un retard à l’Europe si elle devait un jour pratiquer. En sacrifiant sa performance économique, l’Europe espère le « Brussel effect », un effet d’entraînement mondial, c’est un pari.
La deuxième critique est plus technique, il s’agit de l’articulation entre l’IA Act, le RGPD, le DSA et le DMA. Si le RGPD protège les données personnelles, l’IA parle de risques, les deux textes se recoupent. La CNIL même reconnaît, dans son « Rapport et avis sur l’IA et le RGPD » (2021-2025) que « cette articulation est théoriquement cohérente, mais elle alourdit les obligations pour les entreprises ». Le risque bureaucratique existe. Prenons l’exemple des publicités ciblées interdites dans le RGPD en matière de profilage sensible comme sur l’origine, l’opinion politique, la santé, la religion, les orientations sexuelles… l’IA Act reprend cette position en exigeant que les algorithmes puissent avoir une option « sans profilage » et des normes de transparence sur leurs modalités de recommandation. Les coûts de conformité deviennent particulièrement lourd pour des petites structures. La réglementation européenne contrairement à leur affichage favorise la Big Tech.
La troisième conséquence de l’IA Act est que les normes de conformité nécessitent des compétences techniques et interdisciplinaires de plus en plus fortes. L’état s’est doté d’un Pôle d’Expertise de la Régulation Numérique, le PEReN, en 2020 pour comprendre techniquement l’application de la réglementation dans la tech, comme par exemple les biais algorithmiques dans les recrutements. Si l’Etat s’est doté de compétence pour réguler, les entreprises doivent aussi upgrader leurs compétences pour être sûr d’être en conformité. Les professionnels juridiques ont besoin de se former pour informer leurs clients. La Commission européenne a lancé les « usines d’IA » ou des « bacs à sable réglementaires » pour permettre aux PME d’entraîner leurs modèles d’IA pour voir leur conformité, à charge pour elles de faire les adaptations. La même question se pose alors comment arbitrer entre la légèreté de l’innovation et la lourdeur réglementaire ?
3, Qu’est-ce que cela change pour la formation ?
Le premier changement est sans doute pour les plateformes d’e-learning qui utilise des IA pour la personnalisation des parcours d’apprentissage. La pratique débute, mais devrait se généraliser très rapidement tant l’expérience apprenante fait la différence. Ces systèmes peuvent être classés comme des systèmes à haut risque selon l’IA Act, car ils traitent des données sensibles comme les performances des apprenants, leur profil comportemental. L’IA qui recommande des modules spécifiques à un apprenant en fonction de ses résultats à des quiz ou au temps passé sur certaines activités sont soumis aux exigences RGPD et potentiellement à l’IA Act. L’IA Act exige des audits rigoureux, une transparence sur les algorithmes et une analyse d’impact sur les droits fondamentaux.
Qu’est-ce que cela veut dire concrètement ? La plateforme doit informer les apprenants sur le fonctionnement de l’algorithme avec par exemple les critères de recommandations pour assurer une transparence pour l’usager. Elle doit permettre des audits indépendants pour vérifier l’absence de biais discriminatoires qui pourraient favoriser certains profils aux détriments d’autres. Une plateforme qui sous-représente certains groupes dans l’entraînement de ses algorithmes pourrait être condamnée pour discrimination abusive par l’IA Act et par le RGPD. L’éducation et la formation étant considérées à haut risque toutes les entreprises même les TPE doivent appliquer les contraintes de l’IA Act.
Les organismes de formation qui sont des TPE majoritairement doivent tenir compte de l’IA Act. On peut noter que l’IA Act impose à chaque état membre de mettre en place au moins un bac à sac réglementaire d’ici à août 2026 (article 57) avec un accès prioritaire et gratuit pour les TPE et PME. Elles ont dont un espace pour tester leurs outils de e-learning. Le risque est fort pour les petites structures de ne pas pouvoir suivre l’investissement nécessaire. Une autre problématique pour les 128 000 organismes en France (chiffre de ceux qui transmettent leur bilan pédagogue et financier) est de pouvoir les adresser, ils seront donc difficiles à mobiliser, s’ils ne connaissent pas la loi. Avec l’IA Act, l’Europe a choisi de réglementer les usages pour les consommateurs au détriment des producteurs, ce n’est pas un hasard si l’Europe n’a pas de GAFAM.
Ce qui se joue avec la réglementation européenne, c’est une question de philosophie politique. Faute de créer de l’activité économique dans l’IA, l’Europe tente de réguler les ambitions chinoises et américaines en voulant renouveler le Brussel effect. Son levier est ses 450 millions de membres qui représentent 450 millions de consommateurs avec un pouvoir d’achat élevé, on peut rappeler que les Etats-Unis n’ont que 350 millions d’habitants. Il s’agit d’un pari. Le risque est celui de sa souveraineté, lorsque l’on sait que les Américains critiques de plus en plus son arsenal réglementaire. Peut-on être fort quand on est dépendant de la puissance américaine et que l’Amérique s’est dotée d’une extraterritorialité dans la tech et dans l’IA ? L’Europe fait un pari, l’avenir dira si le pari peut être gagné dans le rapport de force actuel.
Fait à Paris, le 30 septembre 2025
@StephaneDIEB pour vos commentaires sur X
