Publié le 5 novembre 2024 à 20h25. Les entreprises américaines se retrouvent de plus en plus confrontées à un défi de taille : naviguer dans le labyrinthe des réglementations européennes sur les données et l’intelligence artificielle, soulevant des questions sur la souveraineté numérique et les futures relations commerciales transatlantiques.
- Le Règlement général sur la protection des données (RGPD) et la nouvelle loi européenne sur l’intelligence artificielle (IA) s’appliquent potentiellement aux entreprises américaines, même sans présence physique en Europe.
- Ces réglementations imposent des obligations de conformité complexes et des sanctions financières potentiellement lourdes, allant jusqu’à 7 % du chiffre d’affaires annuel mondial.
- Des recours juridiques existent pour contester la portée extraterritoriale de ces réglementations, notamment via la Cour de justice de l’Union européenne (CJUE).
La tension monte entre Bruxelles et Washington concernant la régulation du numérique. Récemment, le député britannique Nigel Farage a plaidé devant un comité du Congrès américain pour que les États-Unis défendent leurs valeurs de liberté d’expression face à ce qu’il perçoit comme un empiètement européen. Il a exhorté le gouvernement américain à utiliser « la diplomatie et le commerce » pour protéger ses intérêts.
Au cœur du débat se trouve la question de la compétence réglementaire. L’Union européenne, avec le RGPD entré en vigueur le 25 mai 2018 et la loi sur l’IA récemment adoptée, étend son influence au-delà de ses frontières. Le RGPD, en particulier, est remarquable par sa portée géographique. L’article 3 de ce règlement stipule qu’il s’applique au traitement des données personnelles effectué dans le cadre des activités d’un établissement situé dans l’UE, même si le traitement a lieu en dehors de l’UE. Mais il va plus loin : il s’applique également aux entreprises non européennes qui proposent des biens ou des services aux résidents de l’UE ou qui surveillent leur comportement au sein de l’Union.
Pour les entreprises américaines, les conséquences pratiques sont significatives. L’article 27 du RGPD exige qu’elles désignent un représentant dans l’UE, ce qui engendre des coûts et des contraintes logistiques. De plus, elles doivent se conformer aux règles strictes en matière de transfert de données transfrontalier, en mettant en place des mécanismes de transfert licites et en effectuant des évaluations des risques, comme l’exige la jurisprudence de la CJUE, notamment l’arrêt Schrems II. Cela implique d’analyser les lois américaines en matière de surveillance pour garantir un niveau de protection équivalent à celui offert par l’UE.
La loi européenne sur l’IA, quant à elle, s’applique aux fournisseurs qui mettent sur le marché ou mettent en service des systèmes d’IA dans l’UE, quel que soit leur lieu d’établissement. Un éditeur de logiciels texan vendant un outil de sélection de CV basé sur l’IA à une entreprise française pourrait ainsi être tenu de classer son système selon les niveaux de risque définis par la loi européenne, de mener des évaluations de conformité et de mettre en œuvre une surveillance humaine.
Si les partisans de ces réglementations soulignent la nécessité d’une protection uniforme des données et de l’IA, indépendamment des frontières nationales, les entreprises américaines craignent une ingérence excessive dans leur écosystème commercial et technologique. Le fardeau de la conformité, en particulier pour les petites et moyennes entreprises, pourrait les dissuader d’investir en Europe. Les fonds de capital-risque intègrent désormais des provisions pour couvrir les coûts liés à la représentation dans l’UE, au personnel dédié à la protection des données et aux conseils juridiques.
Face à cette situation, les entreprises américaines disposent de plusieurs options juridiques pour contester la portée extraterritoriale des réglementations européennes. La procédure de question préjudicielle, qui permet aux tribunaux nationaux de soumettre des questions à la CJUE, est l’une d’entre elles. Elles peuvent également contester les mesures coercitives nationales prises à leur encontre ou demander une exemption à l’application de la loi européenne. Enfin, elles peuvent invoquer une exception d’illégalité lors d’un recours contre un acte délégué ou d’exécution de l’UE.
La gouvernance à plusieurs niveaux de l’Union européenne offre ainsi des points d’entrée pour contester les réglementations jugées trop contraignantes. Une stratégie juridique prudente et une formulation précise des revendications, en s’appuyant sur les principes constitutionnels de l’UE, pourraient permettre de faire valoir les intérêts des entreprises américaines dans ce contexte en évolution.
Sur le même sujet
