On parle beaucoup de l’IA Act, mais avant même son entrée en vigueur, d’important ajustements du texte semblent être envisagés – qui ne sont qu’au stade de projet pour le moment. Revenons rapidement sur la genèse réglementaire.
Un projet Digital Omnibus afin d’harmoniser les exigences réglementaires mais qui marquerait un retour en arrière sur certains principes fondamentaux du RGPD.
L’objectif affiché du projet Digital Omnibus est de simplifier et d’harmoniser le cadre numérique européen et les obligations réglementaires liées, mais également clarifier leur application au sein des entreprises, tout en soutenant l’innovation. Le périmètre réglementaire visé est assez large : on parle ici du RGPD, de l’AI Act mais également de la directive ePrivacy, du Data Act…
Un des points qui pose question, c’est qu’en en introduisant des modifications susceptibles de réduire ou d’assouplir certaines exigences réglementaires existantes et leur application, on revient en partie sur des notions fondamentales du RGPD :
- une définition de « données personnelles » qui serait plus relative et ne s’appliquerait donc pas de façon uniforme
- de nouvelles exceptions qui autoriseraient plus largement l’utilisation des données sensibles – notamment dans l’optimisation des modèles d’IA mais pas uniquement
- la mise en œuvre de cookies sans consentement explicite de l’utilisateur si l’usage est jugé à faible risque ou fondé sur l’intérêt légitime
- l’exclusion des données dites « pseudonymisées » du champ d’application du RGPD
- la clarification de la notion de droit d’accès des personnes à leurs données personnelles
Dans la même lancée, un projet Omnibus IA destiné à promouvoir l’innovation, allégeant certaines obligations réglementaires liées à la mise en œuvre de systèmes d’IA au sein des entreprises
La proposition de la Commission Européenne, dite Omnibus IA s’ajoute à l’Omnibus numérique et s’inscrit dans la même lancée : harmoniser le cadre réglementaire autour des usages de l’IA afin de favoriser l’innovation. Au-delà du report envisagé du calendrier de mise en application de l’IA Act fixé initialement au 2 août 2026 pour certaines exigences, plusieurs éléments visant à sa simplification ont été mis sur la table :
- La possible utilisation des données à caractère personnel dites « sensibles » (ex. données de santé, origine ethnique) dans le cadre du développement, de l’entrainement et du fonctionnement des systèmes d’IA par ex. afin de détecter et corriger les biais dans les modèles – faisait ici notamment appel à la notion « d’’intérêt légitime »
- L’exemption d’enregistrement des systèmes d’IA qui ne présentent pas de haut risque
- Le report des exigences de formation des fournisseurs/déployeurs de modèles d’IA sur le régulateur ayant ici la charge d’inciter à l’acquisition de connaissances en matière d’IA
Ce qui revient en partie sur les grands principes d’encadrement des systèmes d’IA avant même l’entrée en application effective de l’IA Act…
Le Comité européen de la protection des données et le Contrôleur européen de la protection des données ont d’ailleurs émis un avis mitigé sur la proposition de la Commission européenne, évoquant entre autres choses la question de la protection des droits fondamentaux des personnes.
A ce stade, les projets Digital Omnibus ainsi que Omnibus IA ne sont pas encore actés, mais marquent une volonté claire qui vise d’une part à alléger le RGPD, d’autre part à ajuster l’IA Act pour promouvoir l’innovation.
Un devoir de vigilance et une prise de recul nécessaire
La vigilance et la veille réglementaire reste de mise sur ces sujets, afin d’intégrer au mieux les nouvelles obligations tout en assurant le respect des principes fondamentaux des personnes dans le cadre des activités. Car on ne parle pas uniquement ici de technologie et d’IA, mais bien de personnes.
Les prochaines semaines devraient nous éclairer sur ces sujets.
Affaire à suivre…
–
