aiact

AIact: l’UE veut assouplir ses règles, débat ouvert

ParThibault Sillard Heures le

Aiact: l’UE veut assouplir ses règles, ce que ça change

La Commission européenne a proposé d’assouplir le règlement européen sur l’intelligence artificielle (AI Act, abrégé « aiact »), en retardant certaines obligations et en allégeant des garde-fous. Pour les directions générales, cela rebat les cartes de la conformité, des contrats et des dates de mise sur le marché.

Dans les faits, l’exécutif européen pousse une révision via un « Digital Omnibus »: délais supplémentaires jusqu’à fin 2027 pour des systèmes dits « à haut risque », exemptions plus faciles, et relecture du règlement général sur la protection des données (RGPD/GDPR). L’angle business est clair: moins de friction à court terme, mais plus d’incertitude juridique et de réputation si l’équilibre droits/innovation bascule.

Pourquoi l’annonce pèse sur les feuilles de route

Le cadre européen a été conçu par niveaux de risques, avec des interdictions ciblées, des obligations fortes pour les cas « à haut risque », et des règles de transparence pour le reste. Le cœur opérationnel devait s’appliquer progressivement jusqu’en 2026–2027. La Commission propose désormais de décaler jusqu’à seize mois les obligations « haut risque », potentiellement jusqu’au 31 décembre 2027, au lieu du 2 août 2026.

En pratique, ces délais deviendraient conditionnels: si les normes techniques et outils d’accompagnement arrivent plus tôt, des obligations pourraient tomber avec seulement six à douze mois d’anticipation. Pour un éditeur d’IA, cela complique la planification: les équipes de produit, de sécurité et de juridique doivent budgéter des scénarios multiples et des fenêtres d’audit mouvantes.

Ce que propose la Commission, noir sur blanc

  • Reporter l’application des exigences « haut risque » jusqu’à seize mois, avec un déclenchement conditionné à la disponibilité des standards et guides.
  • Supprimer l’obligation d’enregistrer publiquement les auto-exemptions pour des systèmes listés comme « haut risque », rendant ces décisions moins visibles.
  • Instaurer des périodes de grâce: délais avant sanctions pour manquements de transparence (par exemple, l’étiquetage de contenus générés) jusqu’en 2027.
  • Étendre et simplifier certaines modalités pour les petites et moyennes entreprises (PME) et certaines entreprises de taille intermédiaire.
  • Centraliser davantage les contrôles au sein de l’Office européen de l’IA.
  • Amender le RGPD pour créer une base « intérêt légitime » dédiée à l’entraînement des systèmes d’IA et revisiter des définitions de « données personnelles » et de « données sensibles ».

Côté justification officielle, l’argumentaire met en avant la compétitivité et le coût administratif pour les entreprises. « Nos entreprises, notamment les startups et PME, sont souvent freinées par des couches de règles rigides », a déclaré Henna Virkkunen, commissaire européenne chargée du numérique, à l’appui de ce paquet de simplification.

Des garde-fous rognés: données personnelles et transparence

Le volet données est le plus controversé. La nouvelle base « intérêt légitime » pour l’entraînement de modèles permettrait le traitement de données personnelles, potentiellement y compris des données sensibles, sans consentement explicite, sous conditions. Des instituts de recherche et ONG, comme l’ Ada Lovelace Institute , estiment que cela abaisserait substantiellement la barre pratique pour l’aspiration de données à grande échelle.

Autre point chaud: la réécriture des définitions en matière de données personnelles et sensibles. Des juristes, notamment sur Verfassungsblog , alertent que restreindre la notion de donnée sensible à ce qui « révèle directement » un attribut, ou considérer qu’une donnée n’est « personnelle » que pour l’acteur capable de ré-identifier, diluerait l’architecture de responsabilité.

Sur la transparence des systèmes « haut risque », la suppression du registre public des auto-exemptions inquiète les défenseurs des droits numériques, car elle limite la possibilité de contrôle par la société civile et les clients. « L’opt-out ne fonctionne pas en pratique: les utilisateurs ignorent qui entraîne ses modèles sur leurs données et ne peuvent pas matériellement s’opposer », souligne Max Schrems, président de noyb, à propos du basculement vers l’« intérêt légitime » pour l’entraînement.

Qui pousse, qui résiste: lobbying et politique

Le virage intervient après une montée en puissance du lobbying des grandes plateformes et d’associations sectorielles à Bruxelles. Selon des travaux du Corporate Europe Observatory , les dépenses annuelles de lobbying tech atteindraient des niveaux inédits, avec une multiplication des appels à « simplifier » les règles numériques.

Le contexte géopolitique ajoute de la pression: des menaces de représailles commerciales américaines et un discours pro-compétitivité ont nourri la ligne « accélérer d’abord, réguler plus tard ». À l’inverse, des eurodéputés et ONG jugent la méthode trop brutale. « Centraliser peut aider face aux géants, mais cela réduit l’indépendance et retarde l’effectivité des garde-fous », prévient Alexandra Geese, députée européenne (Groupe des Verts/ALE), au sujet du rôle accru de l’Office de l’IA et des délais supplémentaires.

Ce que l’assouplissement de l’aiact changerait pour une entreprise

Concrètement, la trajectoire de conformité évolue au moins sur quatre axes:

  • Obligations légales et contrats: l’extension des délais modifie l’échéancier d’audit, de documentation et de reporting d’incidents. Si l’auto-exemption devient moins visible, la pression de transparence viendra davantage des clients et des autorités sectorielles. Les contrats clients/fournisseurs devront intégrer des clauses modulaires, capables de basculer si les délais se resserrent ou si l’exemption n’est pas acceptée par un acheteur prudent.
  • Roadmap produit/marketing en Europe: des lancements pourraient être accélérés en 2026–2027, en profitant de périodes de grâce. Mais l’incertitude liée aux standards et au préavis de 6–12 mois exige des jalons de « feature freeze » et des plans de remédiation rapides pour franchir des contrôles de conformité quand ils tomberont.
  • Réputation et gouvernance: l’affaiblissement des garde-fous perçus accroît le risque éthique. Les comités de direction devront expliciter la tolérance au risque en matière d’équité algorithmique, de sécurité et de traçabilité, et accepter un contrôle accru de parties prenantes (clients grands comptes, régulateurs sectoriels, syndicats) qui peuvent imposer des exigences plus strictes que le minimum légal transitoire.
  • Lobbying et affaires publiques: les acteurs dont l’offre dépend du cloud et des grands modèles d’IA (intelligence artificielle) ont intérêt à coordonner une position lisible auprès des États membres et du Parlement européen, car le texte doit encore être négocié et pourra évoluer.

Pour les équipes, la difficulté est de gérer une double vérité: des règles plus souples à court terme, mais une exigence finale qui demeure élevée pour tout système utilisé dans des cas d’usage sensibles (recrutement, crédit, éducation, santé, sécurité des infrastructures). Les directions devront donc éviter le « debt de conformité »: ce qui n’est pas exigé demain matin devra l’être une fois les standards publiés.

Détails à garder en tête dans l’exécution

Les systèmes d’« intelligence artificielle à usage général (GPAI/General Purpose AI) » restent encadrés, notamment sur la transparence relative aux données d’entraînement et aux droits d’auteur. Les modèles dépassant certains seuils de calcul — mesurés en opérations en virgule flottante (FLOP/floating-point operations) — demeurent exposés à des obligations de gestion des risques « systémiques ».

Les obligations « haut risque » portent toujours sur la qualité des données, l’explicabilité, la supervision humaine, la robustesse et la cybersécurité, ainsi que sur la surveillance post-marché et le signalement des incidents graves. Le report ne supprime pas ces pans: il les décale et change leur calendrier d’audit.

Point d’attention: la centralisation accrue au sein de l’Office de l’IA peut accélérer des décisions pour les très grands acteurs, mais crée aussi un goulot d’étranglement s’il manque des ressources. Or plusieurs États membres n’ont pas encore pleinement doté leurs autorités compétentes, ce qui a déjà ralenti la mise en place du dispositif.

Ce qu’il faut surveiller maintenant

Trois variables piloteront la suite. D’abord, la position du Parlement européen et des États membres: plusieurs groupes ont déjà indiqué qu’ils refuseraient un démantèlement des protections clés, en particulier sur les systèmes « haut risque ». Ensuite, la cadence de normalisation: plus les standards arriveront vite, plus la fenêtre de dérégulation pratique se refermera. Enfin, la jurisprudence et l’interprétation du RGPD revisité: si l’« intérêt légitime » pour l’entraînement d’IA est consacré, des contentieux sur la proportionnalité et la sécurité des données pourraient monter en flèche.

Dans ce contexte, les entreprises ont intérêt à viser une conformité « par défaut » robuste plutôt que d’exploiter les failles temporaires. C’est une question de préparation, mais aussi de réputation: clients, talents et investisseurs arbitrent désormais en fonction de la confiance.

Sources: analyses et positions publiques citées (Ada Lovelace Institute, European Digital Rights, Verfassungsblog, Corporate Europe Observatory) et éléments de contexte institutionnel sur le paquet « Digital Omnibus » discuté au sein des institutions européennes. Les chiffres et délais mentionnés renvoient aux débats décrits par ces organisations et aux communications de la Commission.

Logo carre - BGTconsult.AI

Avatar photo
Thibault Sillard

Thibault Sillard, graphiste 3D de formation, s'est imposé en 2023 comme directeur de l'innovation chez BGT, animé par une passion ardente pour l'IA, la génération d'images et de vidéos. Il aspire à mettre son expertise au service des entreprises, redéfinissant ainsi la créativité grâce à l'intelligence artificielle.

Publications similaires