Fusion de X et xAI : quels enjeux pour la souveraineté numérique et la conformité au RGPD et à l’AI Act ?

Concentration des données et de l’IA : une opération stratégique à 113 milliards de dollars

Le 28 mars 2025, Elon Musk a annoncé la fusion de X (ex-Twitter) avec xAI, son entreprise dédiée à l’intelligence artificielle, dans le cadre d’un rachat par échange d’actions. Cette opération valorise X à 33 milliards de dollars, auxquels s’ajoutent 12 milliards de dette, tandis que xAI atteint les 80 milliards de dollars.

Elon Musk justifie cette fusion par une stratégie d’intégration verticale : « Les avenirs de X et xAI sont interdépendants », affirme-t-il. Son objectif : mutualiser les données de X, la puissance de calcul, les talents et les canaux de diffusion pour accélérer le développement de Grok, son propre chatbot concurrent de ChatGPT. Dans cette logique, la base utilisateurs mondiale de X devient un réservoir de données et un terrain d’expérimentation à grande échelle.

Objectifs financiers et synergies technologiques

Le montage de l’opération, via un all-stock deal, permet à Elon Musk de :

  • Réduire la dette héritée du rachat de Twitter en 2022,
  • Valoriser les actifs de X en les intégrant à une entreprise plus dynamique,
  • Donner une issue favorable à ses co-investisseurs initiaux,
  • Et surtout, faire de X une plateforme de lancement pour les services IA de xAI.

Pour les investisseurs — notamment des acteurs étatiques comme le prince saoudien Al-Waleed bin Talal — cette fusion est perçue comme un levier de valorisation.

Quelles conséquences pour les données personnelles des utilisateurs européens ?

L’utilisation des données de X pour entraîner le modèle Grok soulève de vives préoccupations juridiques en matière de protection des données personnelles, transparence algorithmique et respect des droits fondamentaux.

Non-conformité actuelle au RGPD : traitement sans base légale claire

Le traitement des données personnelles issues de X par xAI présente plusieurs points de non-conformité avec le RGPD :

  • Absence de base légale valable : ni consentement explicite, ni intérêt légitime démontré ;
  • Défaut de transparence initiale vis-à-vis des utilisateurs ;
  • Utilisation des données à des fins d’IA non prévues initialement (violation du principe de limitation des finalités).

En 2024, sous pression des autorités européennes, l'entraînement de Grok sur les données issues de l’UE a été suspendu. Des correctifs (politique de confidentialité modifiée, mécanisme d’opt-out) ont été mis en place a posteriori, mais restent insuffisants pour une conformité complète, en particulier au regard :

  • du droit à l’effacement,
  • de la portabilité des données,
  • et de la protection des contenus déjà ingérés dans le modèle.

Vers une pression réglementaire renforcée avec l’entrée en vigueur de l’AI Act en 2025

À partir de 2025, l’AI Act, récemment adopté, imposera de nouvelles obligations aux modèles de fondation comme Grok, notamment :

  • Documentation technique complète du modèle,
  • Traçabilité des données d'entraînement,
  • Mécanismes d’étiquetage et d'information des utilisateurs,
  • Évaluation des risques et obligations de transparence pour tout modèle déployé dans l’UE.

Aujourd’hui, xAI n’a pas encore démontré sa capacité à se conformer à ces exigences, malgré quelques efforts initiaux (ex. : filtres de contenu, début de documentation).

Sans adaptation, le déploiement de Grok sur le marché européen serait exposé à des sanctions, en particulier :

  • en l’absence de représentation légale en Europe,
  • sans accès public à la documentation du modèle,
  • et sans mécanisme clair pour l’exercice des droits des utilisateurs.

Souveraineté numérique et enjeux géopolitiques : l’Europe en position d’arbitre

Au-delà des problématiques juridiques, cette fusion soulève des enjeux majeurs de souveraineté numérique :

  • Concentration des données stratégiques au sein d’une entité privée et extra-européenne,
  • Risque d’extraterritorialité dans l’application du droit américain ou d’ingérence étrangère (notamment via des investisseurs saoudiens),
  • Utilisation de plateformes sociales comme terrains d'entraînement pour des IA génératives opaques.

En l’état, l’UE reste l’un des seuls régulateurs capables de poser des limites à ces pratiques, via le RGPD et l’AI Act. Toutefois, la réactivité des autorités de contrôle, leur capacité à mener des enquêtes transfrontalières, et la mobilisation des acteurs du numérique européen seront décisives pour garantir un équilibre entre innovation technologique et respect des libertés fondamentales.

Conclusion : quelles obligations pour opérer légalement en Europe ?

Pour exploiter légalement Grok (xAI) via X en Europe à partir de 2025, plusieurs ajustements structurels sont indispensables :

  • Adopter une base légale solide pour le traitement des données (consentement explicite ou exclusion),
  • Fournir une documentation transparente et accessible sur les modèles et les données,
  • Intégrer des mécanismes de contrôle des risques liés à l’IA générative,
  • Et instaurer une coopération active avec les autorités de protection des données.

L’heure est venue pour les acteurs mondiaux de l’IA de s’aligner avec les exigences européennes. La conformité RGPD et la conformité AI Act ne sont plus de simples cases à cocher, mais deviennent des critères de légitimité et de durabilité dans un monde numérique en pleine reconfiguration.

ProDPO

Le logiciel RGPD du DPO

Les DPO internes, vous disposez de documentations et d’outils intuitifs, permettant la collaboration avec vos équipes.

Les DPO mutualisés et externes (consultants freelance, cabinets d'avocats ou de conseil, institutions publiques), en plus de disposer des mémes fonctionnalités que les DPO internes pour tous vos clients, vous gérez ensemble sur une seule plateforme.

En savoir plus

Pour partager cet article sur les réseaux sociaux

Je souhaite réserver un appel !