Le Digital Omnibus de l’UE propose de repousser les délais pour la mise en conformité dans le domaine de l’IA

La Commission européenne vient de publier deux propositions majeures qui pourraient changer la façon dont les organisations qui opèrent dans l’UE gèrent la gouvernance de l’IA, la protection des données, le signalement des incidents de cybersécurité et le consentement aux cookies. Ces modifications, appelées projet de loi omnibus sur le numérique et projet de loi omnibus numérique sur l’IA, visent à simplifier le règlement numérique européen tout en renforçant les protections pour les utilisateurs et la confiance du marché.

Ces propositions introduisent de réels changements qui méritent d’être suivis. Cet article se penche sur ce qui s’est passé, sur ce qui va suivre et sur les implications pour votre entreprise et vos clients.

Changements proposés par le Digital Omnibus de la Commission européenne

La Commission européenne propose des modifications de la législation dans cinq domaines clés :

• les exigences du règlement de l’UE sur l’IA (AI Act) sur les systèmes à risque élevé
• les droits des personnes concernées
• les analyses d’impact sur la protection des données (AIPD)
• le signalement des cyber-incidents
• les règles de consentement aux cookies

L’UE propose officiellement de retarder la mise en application des exigences en matière d’IA à risque élevé, en reportant les échéances majeures de 2026 à 2027.

Pour une analyse plus approfondie de la portée complète de la loi omnibus sur l’IA, consultez DataGuidance.

Ce changement ne vise pas à affaiblir le règlement de l’UE sur l’IA. Il s’agit plutôt pour la Commission de restructurer son déploiement pour l’aligner sur le niveau de préparation réel de l’écosystème en termes de normes, d’autorités de contrôle, de directives et d'outils, pour que le calendrier de mise en conformité soit plus réaliste pour les organisations.

Raisons pour lesquelles l’UE propose de décaler le calendrier de son règlement sur l’IA

Initialement, les obligations imposées par le règlement de l’UE sur l’IA sur les systèmes à haut risque prévoyaient une mise en oeuvre progressive d’ici le 2 août 2026, avec une application complète au 2 août 2027. Mais l’infrastructure nécessaire pour assurer la conformité n’est pas arrivée à temps.

Les principaux écarts incluent :

• pas de norme technique harmonisée
• pas de spécifications communes ni d’outils communs pour la conformité
• de nombreux États membres n’ont toujours pas d’autorités de contrôle opérationnelles
• les entreprises n’ont indiqué aucun moyen concret pour respecter les obligations de 2026
• les premiers volontaires à avoir adopté le pacte sur l’IA ont confirmé que les lignes directrices et les moyens d’évaluation étaient insuffisants

L’écosystème de conformité dans l’UE en matière d’IA n’est pas prêt : il n’est donc pas envisageable de maintenir les échéances de 2026. La loi omnibus numérique (Digital Omnibus) propose la prolongation des périodes de transition et une mise en application à condition que les normes et les directives officielles soient disponibles.

Le nouveau calendrier va-t-il affaiblir le règlement sur l’IA ?

Plutôt que des reports généralisés, la Commission introduit des extensions structurées et juridiquement encadrées. Ces mécanismes repoussent collectivement la mise en application sur les systèmes à haut risque à 2027, tout en maintenant les protections fondamentales du règlement sur l’IA.

1. Application associée aux normes et aux directives

Les obligations sur les systèmes à risque élevé ne seront pas applicables tant que des outils de conformité essentiels tels que des normes harmonisées et des directives provenant de la Commission ne seront pas disponibles. Ainsi, les organisations n’ont pas à se baser sur des conjectures pour travailler sur leur conformité.

2. Temps supplémentaire pour les catégories complexes à haut risque

Les systèmes à risque élevé définis à l’article 6(1) et à l’annexe I bénéficient de fenêtres de transition plus longues, pour prendre en compte leur dépendance aux normes retardées.

3. Extension de six mois pour le marquage des contenus générés par IA

L’obligation de mettre en place une détection lisible par machine des contenus générés par l’IA (article 50(2) du règlement sur l’IA) est désormais repoussée à février 2027 pour les systèmes déjà sur le marché.

4. Obligations simplifiées pour les PME et les petites mid caps

La documentation, les systèmes de gestion de la qualité, la surveillance après commercialisation et les attentes en matière de contrôle humain sont adaptés de manière appropriée, pour permettre aux petites entreprises de se mettre en conformité.

Les entreprises concernées sont réparties en :

• petites entreprises : moins de 50 employés et moins de 10 millions d’euros de chiffre d’affaires annuel
• moyennes entreprises : moins de 250 employés et moins de 50 millions d’euros de chiffre d’affaires annuel
• petites mid caps : moins de 750 employés et moins de 150 millions d’euros de chiffre d’affaires annuel

L’UE propose également de supprimer l’obligation pour les fournisseurs et les déployeurs de garantir la maîtrise de l’IA par leur personnel, en confiant cette responsabilité à la Commission et aux États membres. Un nouvel amendement au RGPD permettrait que l’intérêt légitime soit invoqué comme base légale pour entraîner les modèles d’IA, sous certaines conditions. Combinées, ces modifications entraînent un retard d’un an de facto dans la mise en application.

Impact dans d’autres domaines

Signalement des incidents 

En ce qui concerne le signalement des incidents, les nombreuses règles NIS2, DORA, eIDAS, CRA et RGPD créent de la complexité. La loi omnibus numérique propose une simplification majeure en :

• étant un point d’entrée unique pour signaler les incidents dans le cadre des principales lois numériques
• exigeant la notification des violations de données dans le cadre du RGPD uniquement lorsque la probabilité qu’un risque élevé se produise est élevée
• faisant passer les délais de notification de 72 à 96 heures
• proposant un modèle standard unique dans toute l’UE pour notifier les violations de données

Les organisations devront aussi utiliser le même point d’entrée pour faire les notifications exigées par le RGPD.

Règles de consentement aux cookies

Pour lutter contre la lassitude provoquée par la multiplication des bandeaux de cookies, les règles relatives aux cookies seront imposées par le RGPD, plutôt que par la directive ePrivacy.

Les principales modifications comprennent :

• une liste des scénarios autorisés où le consentement n’est pas nécessaire
• une option en un seul clic pour refuser tous les cookies
• aucune nouvelle demande de consentement pendant au moins six mois après un refus
• un cadre de référence pour les signaux de confidentialité lisibles par machine au niveau du navigateur que les sites Web doivent respecter une fois que les normes existent

La façon dont les fournisseurs collectent les données d’analyse, mesurent l’engagement et conçoivent l’UX de consentement va être sensiblement modifiée.

Droits des personnes concernées

Les responsables du traitement peuvent désormais refuser ou facturer des frais pour les demandes qui sont :

• manifestement infondées
• excessives
• répétées
• abusives
• utilisées de façon abusive à des fins non liées à la protection des données (notamment par l’instrumentalisation abusive des demandes d’accès)

La charge administrative et les abus sur les demandes d'exercice de droit devraient ainsi être réduits.

Analyses d’impact sur la protection des données (AIPD)

La loi omnibus propose de remplacer les 27 listes nationales d’AIPD différentes par une liste unique pour l’ensemble de l’UE. Les critères seraient unifiés et la complexité de la conformité transfrontalière réduite.

Cheminement de la Commission pour aboutir à cette proposition

En rassemblant toutes les préoccupations, trois thèmes majeurs ont émergé :

1. L’incertitude est devenue un obstacle

Sans normes et sans autorités nationales, les organisations se trouvaient dans l’incapacité de planifier de manière réaliste.

2. Les entreprises préférent des décalages ciblés, plutôt qu’un remaniement du règlement

Un remaniement du règlement de l’UE sur l’IA risquait de nuire à la stabilité juridique. Une extension ciblée est considérée comme plus sûre.

3. La disparité est maintenant un sujet de préoccupation

Les niveaux de préparation disparates entre les États membres de l’UE menacent de créer des inégalités dans l’application et d’aller à l’encontre de l’objectif d’un marché unifié du règlement sur l’IA.

Et après ?

Les propositions doivent être validées par le Conseil européen, le Parlement et la Commission, ce qui signifie que les modifications finales convenues pourraient encore sensiblement évoluer. En l’état actuel, elles introduisent une stratégie de mise en application plus souple :

• Les obligations concernant l’IA à haut risque ne seront pas appliquée en 2026
• La plupart des obligations ont été repoussées à 2027, en lien avec les étapes intermédiaires de préparation
• La mise en application pourrait se faire de la façon suivante :
  • 6 mois après l’approbation des normes concernées de l’annexe III
  • 12 mois après l’approbation des normes de l’annexe I
• Si les étapes intermédiaires prennent du retard, des dates fixes s’appliquent :
  • 2 décembre 2027 pour les systèmes de l’annexe III
  • 2 août 2028 pour les systèmes de l’annexe I

L’UE propose également de supprimer l’obligation pour les fournisseurs et les déployeurs de garantir la maîtrise de l’IA par leur personnel, en confiant cette responsabilité à la Commission et aux États membres.

Un nouvel amendement au RGPD permettrait que l’intérêt légitime soit invoqué comme base légale pour entraîner les modèles d’IA, sous certaines conditions.

Suite aux injonctions provenant tant de l’intérieur de l’UE que de l’étranger, la Commission prend conscience de l’incertitude et du manque de préparation dans le contexte de la législation actuelle. Les réglementations ne peuvent être appliquées que lorsque l’écosystème est capable de soutenir la conformité de manière réaliste. Le projet de réforme n’est pas un recul, mais plutôt un réétalonnage structurel.

Pour en savoir plus sur la loi omnibus numérique et ce qu'elle signifie pour votre entreprise, inscrivez-vous à ce webinaire.