Par Pr Nathalie DEVILLIER Docteur en Droit International
DeepSeek, un acteur chinois émergent de l’intelligence artificielle générative, se trouve au cœur de controverses réglementaires dans plusieurs pays. Les décisions récentes prises par les autorités de protection des données en Italie, au Japon, en Corée du Sud et en Inde illustrent les tensions croissantes entre l’innovation technologique et la conformité aux cadres réglementaires nationaux et internationaux.
Ces mesures démontrent que les autorités de régulation, les citoyens et les organisations de défense des libertés numériques sont de plus en plus intransigeants sur les droits fondamentaux et la vie privée. Le moindre manquement en matière de transparence et de conformité peut entraîner des restrictions sévères, compromettant l’accès aux marchés et affectant durablement la réputation des acteurs du secteur.
Italie : un bannissement aux allures de signal fort
L’Italie a pris une décision sans équivoque en interdisant aux opérateurs de DeepSeek de traiter des données sur son territoire (Source). Cette interdiction, émise par l’autorité italienne de protection des données, s’inscrit dans le droit fil de l’approche italienne qui avait déjà ordonné une suspension temporaire de ChatGPT en 2023 en raison d’une collecte de données jugée non conforme au Règlement général sur la protection des données (RGPD). Dans le cas de DeepSeek, les autorités italiennes invoquent des manquements graves aux principes fondamentaux du RGPD, notamment en matière de transparence et de consentement des utilisateurs.
Le Japon annonce que la question sera traitée en collaboration avec d’autres pays
Au Japon, la Commission pour la protection des informations personnelles a émis une mise en garde officielle concernant les pratiques de DeepSeek en matière de collecte de données. Cette alerte survient dans un contexte où le Japon cherche à renforcer ses normes de protection des données afin de se conformer aux exigences de ses partenaires commerciaux, notamment l’Union européenne. Le principal reproche adressé à DeepSeek concerne l’opacité de son traitement des données et l’absence de mécanismes clairs permettant aux utilisateurs d’exercer leurs droits en matière de vie privée. Les autorités japonaises insistent sur la nécessité d’une plus grande transparence et d’une meilleure accessibilité aux informations sur la manière dont les données sont utilisées, stockées et partagées.
Jeudi passé, le secrétaire général du Cabinet japonais, Yoshimasa Hayashi a indiqué que le gouvernement japonais « traitera (la question) de manière appropriée, tout en collaborant avec les autorités de protection des données d’autres pays » (Source).
Corée du Sud : enquête sur la gestion des données
En Corée du Sud, la Commission de protection des informations personnelles a annoncé son intention de demander des informations détaillées sur la gestion des données personnelles par DeepSeek. L’objectif est d’évaluer si l’entreprise respecte les principes fondamentaux du Personal Information Protection Act (PIPA), qui constitue l’un des cadres de protection des données les plus rigoureux en Asie. Cette initiative s’inscrit dans une dynamique plus large visant à garantir que les entreprises technologiques étrangères opérant sur le territoire sud-coréen respectent des standards élevés en matière de protection des données. La Corée du Sud a récemment renforcé son cadre législatif en réponse aux préoccupations croissantes concernant la cybersécurité et l’utilisation abusive des données personnelles reposant sur une posture offensive (Source).
Inde : une tentative de compromis ?
L’Inde, quant à elle, adopte une approche différente en cherchant à trouver un compromis entre la protection des données et l’innovation technologique. Le gouvernement indien propose d’héberger localement DeepSeek afin d’atténuer les préoccupations relatives à la souveraineté des données (Source). Cette solution viserait à garantir que les informations des utilisateurs indiens restent sous le contrôle des autorités locales, réduisant ainsi les risques liés à leur exploitation par des entités étrangères. Cette proposition consistant à imposer un stockage local des données est déjà en place en Chine et en Russie.
La liste des enquêtes ouvertes contre DeepSeek dans le monde ne s’arrête pas là : Australie, Belgique, Croatie, France, Irlande, Luxembourg, Taiwan…
note2map
L’ensemble des procédures est visible ici note2map publié par le juriste australien spécialiste des nouvelles technologies Raymond SUN.
Le sujet dépasse la protection des données avec la décoverte de chercheurs en cybersécurité d’un code informatique caché dans la version web de Deepseek, qui le relie aux systèmes informatiques de China Mobile, opérateur de téléphonie chinois proche de l’armée chinoise (Source).
A ce jour, seule la NASA a bloqué DeepSeek pour des « raisons de sécurité et de confidentialité » (Source).
Un modèle global à réinventer
L’ensemble de ces décisions met en exergue les défis croissants auxquels les entreprises d’intelligence artificielle sont confrontées en matière de conformité réglementaire. La coexistence de cadres juridiques nationaux variés et parfois contradictoires représente un obstacle pour les entreprises cherchant à opérer à l’échelle mondiale.
Il en est de même concernant l’IA. Le règlement européen sur l’intelligence artificielle ((EU) 2024/1689) a introduit une classification des systèmes d’intelligence artificielle en fonction de leur niveau de risque plaçant l’Union européenne à l’avant-garde de la régulation de l’IA. À l’inverse, la Chine cherche à encadrer l’utilisation de l’intelligence artificielle dans une perspective sécuritaire et de contrôle des données à caractère personnel pendant que l’Inde soutient une approche « pro-innovation » de la réglementation de l’IA tout en tenant compte des risques anticipés.
L’affaire DeepSeek illustre ainsi l’impact de la fragmentation des législations nationales pour les entreprises opérant dans différentes juridictions. Certaines entreprises tentent de répondre à ces défis en adoptant des politiques de conformité différenciées selon les régions. La multiplication des réglementations et des contrôles impose aux acteurs du secteur de repenser leurs modèles de collecte et de traitement des données.
La tendance actuelle montre que les entreprises qui ne s’adaptent pas aux exigences croissantes en matière de protection des données risquent de voir leur accès à certains marchés restreint ou même totalement interdit.
DeepSeek, confronté à des interdictions en Italie, à des avertissements au Japon et en Corée du Sud, ainsi qu’à une proposition de stockage local en Inde, représente un cas d’école des tensions existant entre innovation technologique et conformité réglementaire.
La question de la confiance des utilisateurs est également cruciale. La capacité des entreprises d’intelligence artificielle à garantir la protection des données et à respecter les droits fondamentaux conditionne leur acceptabilité sociale et leur succès à long terme. Les récentes décisions prises à l’encontre de DeepSeek illustrent l’importance croissante accordée à ces enjeux par les autorités de régulation, mais aussi par les citoyens et les organisations de défense des droits numériques.
L’évolution de ces réglementations et leur mise en œuvre dans les années à venir auront un impact déterminant sur le développement de l’intelligence artificielle générative. Il est probable que les entreprises du secteur devront non seulement investir davantage dans la mise en conformité de leurs pratiques, mais aussi anticiper une harmonisation des règles à l’échelle internationale qui apparaît comme une nécessité pour éviter une fragmentation excessive du marché. Cependant, les différences d’approche entre les grandes puissances économiques suggèrent que cette harmonisation restera un défi de taille pour les années à venir.