DIGITAL OMNIBUS DÉDIÉ À L’IA : PRENDRE LE TRAIN EN MARCHE

La Commission européenne a présenté, le 19 novembre, une proposition de règlement baptisée « Digital Omnibus ». Le texte se décline en deux volets : un premier consacré au Digital Acquis – dont notre analyse se trouve ici – et un second dédié à l’Intelligence Artificielle, objet du présent article.

Cette initiative de Digital Omnibus s’inscrit dans une dynamique bien plus vaste menée par la Commission européenne depuis février dernier concernant tous les secteurs d’activité : la volonté d’amender, au moyen de textes dits « omnibus », les règles qui créent des charges inutiles pour les entreprises de l’UE.

Si le texte n’est encore qu’au stade de proposition, il convient de ne pas attendre et de prendre en marche le Digital Omnibus dédié à l’IA. En route !

Ce Digital Omnibus dédié à l’IA entend modifier plusieurs dispositions structurantes du règlement AI Act (ci-après « RIA ») entré en vigueur le 1^er août 2024 et entré en application depuis le 2 février 2025 et ce de manière progressive ; toutes les dispositions n’étant pas encore à ce jour entrées en application.

Depuis son entrée en vigueur, le RIA fait l’objet de critiques récurrentes : une mise en œuvre réelle repoussée à 2026, des normes harmonisées encore attendues et des exigences procédurales jugées difficiles à appliquer.

Pour répondre à ces alertes, la Commission a lancé au printemps 2025 trois consultations publiques et plusieurs analyses internes. Il en ressort un même constat : le cadre, tel qu’adopté, apparaît trop complexe et insuffisamment outillé pour être pleinement opérationnel.

Le Digital Omnibus se positionne comme une réponse à ces fragilités, en réajustant plusieurs mécanismes du règlement. Simplifier, oui, mais dans quelle direction ?

Parmi les ajustements notables du Digital Omnibus figure la suppression de l’obligation d’ « AI literacy » initialement prévue à l’article 4 du RIA . Le texte imposait aux fournisseurs et déployeurs de garantir un niveau minimal de compétence interne pour comprendre et superviser les systèmes d’IA (ci-après « SIA ») utilisés.

Le Digital Omnibus juge cette exigence trop vague et trop lourde à mettre en place.

Après l’adoption du projet, l’article 4 du RIA se limiterait à encourager les fournisseurs et utilisateurs à prendre des mesures pour assurer le développement des compétences en vue de comprendre comment utiliser l’IA, connaître ses risques, ses limites, ses biais et savoir évaluer de manière critique ses résultats.

Si cette simplification répond à une préoccupation pratique, elle soulève toutefois une question de fond : comment assurer une gouvernance efficace de l’IA sans un socle minimal de compréhension chez ceux qui la déploient ou l’exploitent ? En allégeant ce pilier qui, on le rappelle, est entré en application depuis le 2 février 2025, la Commission européenne prend le risque d’affaiblir l’un des leviers les plus essentiels de l’IA : la maîtrise humaine.

La Commission européenne estime que la détection et la correction des biais algorithmiques devraient être reconnues comme un objectif d’intérêt public, dès lors que tout SIA, même non classé à haut risque, peut produire des résultats discriminatoires.

Pour y répondre, elle propose d’assouplir le cadre actuel, qui ne permet aujourd’hui qu’aux fournisseurs de SIA à haut risque de traiter, à titre exceptionnel, des données particulières telles que les données de santé pour identifier un biais (article 10 §5 du RIA).

Pour rappel, en effet le RGPD pose en son article 9 un principe clair : le traitement de ces données sensibles est en principe interdit, sauf exceptions strictement encadrées. Le RIA lui, ne prévoyait jusqu’ici qu’une seule dérogation à ce principe ; celui prévu à l’article 10 §5 du RIA limité aux fournisseurs de SIA à haut risque dans le cadre de la correction des biais.

Le Digital Omnibus viendrait donc élargir cette possibilité via un nouvel article 4a, qui autoriserait à traiter des données sensibles dans le cadre de la correction des biais, également :

• les déployeurs des SIA à haut risque,
• les fournisseurs d’autres SIA (pas seulement les SIA à haut risque)
• et les fournisseurs de modèles d’IA.

Sur le sujet du traitement des données sensibles pour le développement des SIA, iI convient également de rappeler que le RIA exclut de son champ d’application les activités de recherche, d’essai et de développement concernant les SIA avant leur mise sur le marché ou leur mise en service ; activités encadrées dès lors uniquement par le RGPD pour lequel le Digital Omnibus on Digital Acquis ajoute ainsi deux nouvelles exceptions au principe d’interdiction de traiter des données sensibles et détaillées dans notre article sur le sujet.

Le Digital Omnibus pourrait également introduire une nouvelle couche d’harmonisation en permettant la création, au niveau européen, par l’AI Office (ou bureau de l’IA en français), d’un bac à sable européen dédié aux expérimentations en conditions réelles.

Cette structure, offrirait un cadre commun aux tests de SIA, là où les initiatives sont aujourd’hui essentiellement nationales. Les autorités nationales sont également appelées à soutenir la création et l’exploitation conjointes de bacs à sable réglementaires pour l’IA, y compris dans différents secteurs.

Par ailleurs, la Commission souhaiterait élargir l’accès aux tests en conditions réelles aux SIA à haut risque relevant de l’Annexe I section A (produits réglementés dont les DM et DMDIV) et section B (qui fait l’objet d’un article nouveau 60a), alors que l’AI Act limite pour l’instant ce dispositif aux seuls SIA à haut risque de l’Annexe III.

Le Digital Omnibus proposerait de faire de l’AI Office le véritable pivot du contrôle européen de l’intelligence artificielle. Initialement défini par l’article 75 du RIA, cet organe verrait son champ de compétence nettement renforcé : Il deviendrait l’autorité exclusive chargée de superviser les SIA reposant sur un modèle d’IA à usage général (GPAI) développé par le même fournisseur, ainsi que les SIA intégrés dans les Very Large Online Platforms (VLOPs) et les Very Large Online Search Engines (VLOSEs). Ces deux catégories, déjà au cœur du DSA, désignent respectivement les très grandes plateformes comme les réseaux sociaux ou les marketplaces dépassant 45 millions d’utilisateurs mensuels, et les très grands moteurs de recherche soumis au même seuil.

À l’inverse, l’AI Office n’interviendrait pas directement pour les IA dont les obligations relèvent exclusivement du DSA ou pour celles intégrées dans les produits de l’Annexe I, qui demeureraient encadrées par leurs régimes sectoriels.

La Commission souhaiterait doter l’AI Office de prérogatives équivalentes à celles d’une véritable autorité de surveillance du marché : enquêtes, demandes d’informations, mesures correctrices, voire sanctions administratives. Ces pouvoirs opérationnels seraient définis dans des actes d’exécution, ouvrant la voie à une centralisation inédite du contrôle.

Une telle évolution, si elle se confirmait, marquerait un tournant dans la gouvernance européenne de l’IA. Reste une question essentielle : jusqu’où doit aller cette centralisation ? Si l’objectif d’harmonisation répond à de réels besoins, éviter des divergences nationales, garantir un contrôle cohérent des grands modèles, elle pourrait aussi créer un risque inverse, celui d’une autorité unique surchargée, éloignée des réalités sectorielles et dépourvue de l’ancrage technique aujourd’hui assuré par les autorités nationales. Entre efficacité et perte de granularité, l’équilibre semble loin d’être trouvé.

Le Digital Omnibus proposerait également d’ajuster le calendrier d’application du RIA.

Le texte introduit un ajustement ciblé pour les fournisseurs de systèmes générant du contenu artificiel (vidéos, images…). Pour tous ces systèmes déjà mis sur le marché avant le 2 août 2026, leurs fournisseurs devront ajouter, d’ici le 2 février 2027, un marquage permettant de signaler clairement qu’il s’agit d’un contenu généré par l’IA.

Le Digital Omnibus précise également le statut des articles 102 à 110, qui rassemblent les dispositions transversales relatives à la gouvernance, à la coopération des autorités, à la surveillance, aux échanges d’informations et au régime de sanctions. Le projet prévoit qu’ils entrent en application immédiatement, à la date d’application du règlement Omnibus lui-même, sans délai supplémentaire.

Autrement dit, si le calendrier technique des obligations est étalé, l’architecture institutionnelle chargée de les superviser devient opérationnelle d’emblée.

En effet, plusieurs obligations relatives aux exigences en matière de SIA à haut risque (sections 1, 2 et 3 du chapitre III) ne deviendraient applicables qu’après une période transitoire suivant la publication de la décision de la Commission européenne confirmant la disponibilité des normes adéquates nécessaires, afin de laisser aux fournisseurs le temps d’adapter leurs systèmes d’IA : 6 mois pour les SIA à haut risque relevant de l’Annexe III et 12 mois pour les SIA à haut risque relevant de l’Annexe I.

Pour éviter toute incertitude excessive, le texte fixerait toutefois des dates butoirs : 2 décembre 2027 pour les SIA à haut risque relevant de l’Annexe III et 2 août 2028 pour les SIA à haut risque relevant de l’Annexe I, même si les normes tardaient encore à être finalisées.

Si cette flexibilité répond à une contrainte technique réelle, elle interroge néanmoins la cohérence globale du calendrier : comment garantir une protection effective si l’application des obligations dépend à ce point des retards normatifs ? Cet étalement se veut pragmatique, mais il révèle surtout qu’une grande partie du cadre opérationnel de l’IA reste encore à construire.

Le Digital Omnibus précise et étend plusieurs mécanismes de proportionnalité déjà prévus par le RIA afin de tenir compte des contraintes spécifiques des moyennes structures innovantes. Si les petites et moyennes entreprises (SMEs) bénéficiaient déjà de ces allègements, le texte en étend désormais explicitement le bénéfice aux small mid-caps (SMCs), en réponse aux difficultés mises en évidence lors des consultations de la Commission.

• La possibilité de fournir une documentation technique simplifiée, dont les modalités peuvent être adaptées à la taille et aux ressources de l’entreprise (article 11 du RIA).
• Une application proportionnée du système de gestion de la qualité (article 17 du RIA), avec des modalités simplifiées pour les SMEs et les SMCs
• Une prise en compte explicite de la taille de l’entreprise dans l’application des sanctions administratives, sur le fondement de l’article 99, qui impose aux autorités de veiller à ce que les amendes soient effectives, proportionnées et dissuasives, tout en tenant compte de la capacité économique des opérateurs concernés.

Au-delà de ces allègements procéduraux, le Digital Omnibus invite également la Commission et les autorités nationales à renforcer leurs actions de soutien, d’orientation et d’accompagnement à destination des SMEs et des SMCs, afin de sécuriser leur montée en conformité sans alourdir leur charge administrative.

Un Digital Omnibus sur l’IA en route vers la simplification certes mais sans arrêt « sécurité juridique ».

Réviser des textes à peine entrés en vigueur fragilise inévitablement la sécurité juridique et désoriente les acteurs qui viennent tout juste de s’approprier le RIA et d’entamer leur conformité. À force de retouches successives, le droit perd en lisibilité, en cohérence et en prévisibilité. La véritable question demeure : peut-on réellement parler de simplification lorsque la norme elle-même devient mouvante?