L’«AI Omnibus» de l’UE est enfin là, mais certains dénoncent son manque d’ambition. Alors que le texte doit encore être approuvé, l’attention se tourne vers le «Digital Omnibus», clé pour l’IA et les données.
Jeudi à 4 heures du matin, le Parlement européen et le Conseil sont parvenus à un accord (source en anglais) provisoire sur l’AI Omnibus, une initiative de l’UE destinée à simplifier les règles applicables à l’IA.
PUBLICITÉ
PUBLICITÉ
Le processus de simplification a toutefois été tout sauf simple. Les discussions ont été marquées par de vifs débats sur un manque d’ambition, des propositions de dernière minute pour des exemptions concernant les machines, des contestations juridiques visant la simplification elle-même, ainsi que par la crainte, chez certains, que l’AI Omnibus ne vienne saper le règlement européen sur l’IA (AI Act) d’origine.
Même si les négociations ont été difficiles et que les principaux négociateurs se félicitent naturellement du résultat, des doutes subsistent. Certains estiment que les législateurs européens auraient pu faire davantage pour aider les entreprises du continent à se repérer dans des règles complexes, pour lesquelles peu d’acteurs semblent prêts, malgré les investissements de l’UE dans des guichets de services liés à l’IA, les déclarations ambitieuses sur la simplification ou les projets de bacs à sable réglementaires pour l’IA.
Accords sur l’AI Omnibus : ni franchement bons, ni franchement mauvais
Le sujet le plus brûlant à Bruxelles ces dernières semaines concernait les exemptions envisagées pour les dispositifs médicaux, les jouets, les ascenseurs, les machines et les embarcations nautiques, certains États membres accusant l’Allemagne de ne pas avoir coopéré à temps, ce qui aurait abouti à un résultat imparfait. À l’issue de la nuit de négociation d’hier, le résultat (source en anglais) est que les dispositions de l’AI Act qui se chevauchent avec des règles sectorielles ne seront supprimées que pour les produits de machinerie. C’est un résultat bien plus modeste qu’escompté, tandis que les chevauchements concernant les dispositifs médicaux, les jouets, les ascenseurs et les embarcations nautiques devraient être résolus au moyen d’actes d’exécution, qui arrivent souvent bien après l’apparition des problèmes qu’ils sont censés corriger.
Par ailleurs, les négociateurs se sont entendus pour restreindre la définition de « composant de sécurité » et autoriser le traitement de données à caractère personnel afin de détecter et corriger les biais dans les systèmes à haut risque comme dans ceux qui ne sont pas classés à haut risque.
Autre évolution positive : l’accord visant à étendre les exemptions prévues pour les petites et moyennes entreprises (PME) aux small et mid caps (entreprises jusqu’à 200 millions d’euros de chiffre d’affaires), une mesure qui peut soutenir très concrètement la montée en puissance des scale-up technologiques européennes.
À la suite d’incidents récents liés à des contenus de dénudation générés par IA, des règles plus strictes s’appliqueront aux systèmes d’IA pouvant être utilisés pour créer du matériel pédopornographique ou des contenus de nudité et à caractère sexuel explicites, générés sans consentement. Ces systèmes auront jusqu’au 2 décembre 2026 pour se mettre en conformité.
S’agissant des échéances, l’application des règles sur les systèmes à haut risque a été repoussée au 2 décembre 2027 (pour les systèmes d’IA à haut risque autonomes) et au 2 août 2028 (pour les systèmes d’IA à haut risque intégrés dans des produits). La période de transition pour le marquage (filigranage) des contenus générés par l’IA a en revanche été raccourcie, passant du 2 février 2027 au 2 décembre.
La date limite pourla mise en place des bacs à sable réglementaires pour l’IA a également été repoussée**,** probablement en raison de retards plus larges dans l’application du cadre. Initialement prévue (source en anglais) pour le 2 août 2026, la nouvelle échéance est désormais fixée au 2 août 2027. Le dispositif des bacs à sable IA est critiqué à la fois pour les limites importantes posées par les lignes directrices de la Commission européenne et pour un accent jugé excessif sur des mesures non contraignantes.
Cap désormais sur le Digital Omnibus : revenir sur un compromis édulcoré
Si le Conseil de l’UE et le Parlement européen doivent encore approuver formellement l’AI Omnibus, l’attention se tourne désormais vers le deuxième pilier des efforts de simplification de l’UE : le paquet Digital Omnibus (source en anglais), centré sur le développement de l’IA et les données.
La Central European AI Chamber (source en anglais), aux côtés de 15 autres associations (dont notre organisation mère, le Consumer Choice Center Europe), a publié (source en anglais) une lettre ouverte exhortant les États membres de l’UE à rectifier le tir face à des propositions de Digital Omnibus jugées trop édulcorées. Le texte appelle à un meilleur équilibre entre la protection des données et les grands objectifs stratégiques de l’UE, tels que l’innovation et la croissance économique, estimant que les textes de compromis vont dans la direction inverse.
Parmi les principaux points de friction du Digital Omnibus figure la définition de la manière dont les données peuvent être utilisées pour le développement de l’IA et la recherche scientifique. L’échiquier politique européen est divisé : tandis que l’industrie et les scale-up soutiennent que, sans accès aux données, les ambitions de l’UE en matière de compétitivité dans l’IA sont vaines, d’autres défendent le statu quo, craignant que même des propositions modestes ne menacent le socle même du cadre européen de protection des données. À ce stade, le statu quo semble l’emporter ; nous avions déjà expliqué (source en anglais) que la proposition initiale de la Commission visant à concilier ces deux mondes – protection des données d’une part, croissance économique et innovation de l’autre – avait été fortement édulcorée au Conseil.
Nous pensons que les principaux débats des prochains mois porteront sur : a) la définition des données à caractère personnel (ou la définition de ce qui ne constitue plus une donnée personnelle une fois suffisamment pseudonymisée) ; b) les exemptions de traitement liées à l’IA sur le fondement de l’intérêt légitime (article 88c) ; c) le traitement incident de données sensibles (article 9, paragraphe 5).
Les signataires de la lettre de l’AI Chamber soulignent que les propositions initiales de la Commission sur la pseudonymisation et les exemptions liées à l’IA fondées sur l’intérêt légitime étaient pragmatiques, alors que le projet actuel revient en arrière et rétablit le statu quo. Faute de distinctions claires, les entreprises et les chercheurs restent exposés à des interprétations fragmentées selon les États membres, contraints de s’en remettre aux lignes directrices du Comité européen de la protection des données (CEPD), qui se concentrent sur la protection des données mais ne sont, par conception, pas destinées à promouvoir la croissance économique et l’innovation.
Les propositions actuelles concernant le champ des données scientifiques pouvant être utilisées pour le développement de l’IA laissent entendre que la définition est en train d’être resserrée, ce qui, dans le fond, contredit l’ambition de l’UE de combler le fossé entre la solidité de sa recherche et la faiblesse de sa capacité de commercialisation. La lettre réclame une définition large, claire et contraignante afin de garantir des règles prévisibles pour la R&D des secteurs public et privé.
Enfin, dans le cadre des propositions du Digital Omnibus, la fameuse « fatigue liée aux cookies » pourrait être remplacée par un nouveau mécanisme (article 88b) qui risque de créer un chaos supplémentaire en matière de consentement, d’aggraver l’expérience des consommateurs et de ne pas répondre aux exigences du RGPD en matière de consentement spécifique et éclairé.
Cet article a été publié à l’origine sur EU Tech Loop et est reproduit sur Euronews dans le cadre d’un accord. Les opinions exprimées dans cet article sont celles de l’auteur et ne reflètent en aucune manière la position éditoriale d’Euronews.