L’AI Omnibus de l’UE est enfin là, mais certains lui reprochent son manque d’ambition. Même si l’UE doit encore approuver formellement l’AI Omnibus, l’attention se porte désormais sur la deuxième étape des efforts de simplification numérique de l’UE : le paquet Digital Omnibus, qui est crucial pour le développement et les données de l’IA.
Jeudi à 4 heures du matin, le Parlement européen et le Conseil sont parvenus à un accord provisoire sur l’AI Omnibus, un effort de l’UE visant à simplifier les règles de l’IA.
Le processus de simplification était tout sauf simple. Les discussions ont été marquées par des débats houleux sur le manque d’ambition, les propositions de dernière minute d’exemptions sur les machines, les contestations juridiques des efforts de simplification eux-mêmes et les craintes de certains que l’AI Omnibus ne sape la loi originale sur l’IA.
Même si les négociations ont été difficiles et que les principaux négociateurs se réjouissent naturellement du résultat, certains doutes demeurent. Certains affirment que les législateurs européens auraient pu faire davantage pour aider les entreprises européennes à s’adapter à des règles complexes auxquelles peu de personnes semblent prêtes, malgré les investissements de l’UE dans les services d’IA, les déclarations ambitieuses en matière de simplification ou les projets de bacs à sable réglementaires pour l’IA.
Accords AI Omnibus : ni géniaux, ni terribles
Le sujet le plus brûlant dans l’UE ces dernières semaines a été les exemptions proposées pour les dispositifs médicaux, les jouets, les ascenseurs, les machines et les embarcations. Certains États membres ont affirmé que l’Allemagne n’avait pas collaboré en temps opportun, ce qui avait abouti à un résultat imparfait. Le résultat des négociations d’hier qui ont duré toute la nuit est que les dispositions de la loi sur l’IA qui chevauchent les règles sectorielles ne seront supprimées que pour les produits mécaniques. Il s’agit d’un résultat bien plus modeste que prévu, alors que les chevauchements dans le domaine des dispositifs médicaux, des jouets, des ascenseurs et des bateaux seront tentés d’être résolus au moyen d’actes d’exécution, qui arrivent souvent longtemps après les problèmes qu’ils sont censés résoudre.
En outre, les négociateurs ont convenu de restreindre la définition de « élément de sécurité » et d’autoriser le traitement des données personnelles à détecter et à corriger les biais dans les systèmes à risque élevé et non élevé.
Une évolution bienvenue est l’accord visant à étendre les exemptions aux petites et moyennes entreprises (PME) aux petites et moyennes capitalisations (entreprises dont le chiffre d’affaires ne dépasse pas 200 millions d’euros), une mesure qui peut concrètement soutenir les scale-ups technologiques de l’UE.
Grâce aux récents incidents sur le contenu de nudification généré par l’IA, des règles plus strictes s’appliqueront aux systèmes d’IA qui peuvent être utilisés pour créer du matériel d’abus sexuel sur des enfants ou de la nudité deepfake non consensuelle et du contenu sexuellement explicite. Ces systèmes auront jusqu’au 2 décembre 2026 pour s’y conformer.
En ce qui concerne les délais, l’application des règles à haut risque a été repoussée au 2 décembre 2027 (pour les systèmes d’IA autonomes à haut risque) et au 2 août 2028 (pour les systèmes d’IA à haut risque intégrés dans les produits). Le délai de grâce pour le tatouage du contenu généré par l’IA a en fait été raccourci, passant du 2 février 2027 au 2 décembre.
La date limite pour les bacs à sable réglementaires de l’IA a également été repoussée**, probablement en raison de retards plus importants dans l’application des règles. Initialement prévue pour le 2 août 2026, la nouvelle date limite est désormais fixée au 2 août 2027. Le cadre AI Sandbox est critiqué à la fois pour ses limitations importantes en vertu des lignes directrices de la CE et pour l’accent excessif mis sur des mesures douces.
L’accent est désormais mis sur l’Omnibus numérique : inverser une trajectoire édulcorée
Alors que le Conseil de l’UE et le Parlement européen doivent encore approuver formellement l’IA Omnibus, l’attention se porte désormais sur la deuxième étape des efforts de simplification de l’UE : le paquet Digital Omnibus centré sur le développement et les données de l’IA.
La Chambre d’IA d’Europe centrale, aux côtés de 15 autres associations (dont notre organisation mère Consumer Choice Center Europe), a partagé une lettre ouverte exhortant les États membres de l’UE à rectifier le tir face aux propositions édulcorées du Digital Omnibus. La lettre appelle à un meilleur équilibre entre la protection des données et les objectifs stratégiques plus larges de l’UE, tels que l’innovation et la croissance économique, les textes de compromis allant dans la direction opposée.
L’un des principaux points sensibles du Digital Omnibus sera de définir comment et de quelle manière les données peuvent être utilisées pour le développement de l’IA et la recherche scientifique. L’éventail politique de l’UE est divisé : tandis que l’industrie et les entreprises de grande taille affirment que sans accès aux données, les plans européens de compétitivité en matière d’IA sont inutiles, d’autres défendent le statu quo, craignant que des propositions, même modestes, ne menacent le concept même du cadre européen de protection des données. Jusqu’à présent, il semble que le statu quo l’emporte – nous avons déjà écrit que la proposition initiale de la Commission visant à équilibrer les deux mondes – la protection des données et la croissance économique et l’innovation – a été considérablement édulcorée au Conseil.
Nous soupçonnons que les débats clés des mois à venir porteront sur : a) la définition des données personnelles (ou la définition de ce qui ne constitue pas une donnée personnelle une fois qu’elle a été suffisamment pseudonymisée) ; b) exemptions de traitement liées à l’IA sur la base d’un intérêt légitime (article 88c) ; c) le traitement accessoire de données sensibles (article 9, paragraphe 5).
Les signataires de la lettre d’AI Chamber soulignent que les propositions initiales de la Commission sur la pseudonymisation et les exemptions et intérêts légitimes liés à l’IA étaient pragmatiques, alors que le projet actuel inverse le processus et le ramène au statu quo. Sans distinctions claires, les entreprises et les chercheurs restent exposés à des interprétations fragmentées entre les États membres, contraints de s’appuyer sur les lignes directrices du Comité européen de la protection des données (EDPB), qui se concentrent sur la protection des données mais, de par leur conception, ne sont pas conçues pour promouvoir la croissance économique et l’innovation.
Les propositions actuelles concernant la portée des données scientifiques pour le développement de l’IA suggèrent que la définition est en train d’être restreinte, ce qui, en substance, contredit l’ambition de l’UE de combler le fossé entre sa forte recherche et sa faiblesse en matière de commercialisation. La lettre appelle à une définition large, claire et contraignante afin de garantir des règles prévisibles pour la R&D des secteurs public et privé.
Enfin, dans le cadre des propositions Digital Omnibus, la fameuse « fatigue des cookies » pourrait être remplacée par un nouveau mécanisme (article 88b) qui risque de créer un chaos supplémentaire en matière de consentement, de détériorer l’expérience du consommateur et de ne pas répondre aux exigences du RGPD en matière de consentement spécifique et éclairé.
Cette histoire a été initialement publiée sur EU Tech Loop et a été partagée sur L’Observatoire de l’Europe dans le cadre d’un accord. Les opinions exprimées dans cet article sont celles de l’auteur et ne représentent en aucun cas la position éditoriale d’L’Observatoire de l’Europe.
