Juridique

Les législateurs européens trouvent un accord provisoire sur l'AI Act Omnibus

L'AI Act omnibus supprime les chevauchements entre le règlement et les législations sectorielles pour les industriels. (photo Pixabay/NakNakNak)

Le Parlement européen et le Conseil européen s'accordent sur une version AI Act Omnibus repensée, quelques mois avant l'entrée en vigueur prévue des dernières règles relatives aux systèmes IA à haut risque. Au programme, reports d'application d'au moins 18 mois et suppression des chevauchements législatifs pour les industriels.

PublicitéComme annoncé en novembre dernier, l'Union européenne repousse les échéances les plus strictes du Règlement européen sur l'IA (AI Act) dans le cadre d'une directive omnibus. L'accord provisoire conclu entre les négociateurs du Parlement et du Conseil européens reporte ainsi l'application des exigences imposées aux systèmes d'IA à haut risque prévue le 2 août prochain, au 2 décembre 2027 pour les systèmes autonomes et au 2 août 2028 pour l'IA utilisée dans les produits couverts par les règles de sécurité sectorielles de l'UE, comme l'indique un communiqué de l'institution. Les États membres se voient également attribuer un délai de 12 mois supplémentaires jusqu'au 2 août 2027 pour mettre en place au moins un bac à sable réglementaire pour l'IA.

L'accord doit encore être adopté officiellement par les deux colégislateurs avant d'entrer en vigueur. Ils espèrent y arriver avant le 2 août, car, en attendant cette adoption, les délais prévus dans le texte initial continuent de s'appliquer. « L'accord conclu aujourd'hui sur le règlement sur l'IA apporte un soutien significatif à nos entreprises en réduisant les coûts administratifs récurrents », a déclaré Marilena Raouna, vice-ministre chypriote chargée des affaires européennes, dans un communiqué du Conseil de l'Europe, composé de représentants de chacun des 27 États membres de l'UE. Chypre assure jusqu'au 30 juin prochain la présidence tournante de l'Union, qui négocie au nom des États membres. Cette annonce intervient neuf jours après l'échec des discussions précédentes.

Allongement des délais et diminution des restrictions

Cet accord provisoire supprime par ailleurs les chevauchements existants entre les différentes règles relatives à l'IA dans les systèmes industriels, indique le Parlement. Tous les industriels seront désormais soumis uniquement aux règles de sécurité sectorielles, assorties de garanties visant à assurer un niveau équivalent de protection en matière de santé et de sécurité. L'accord provisoire restreint également la définition de ce qui est considéré comme un « composant de sécurité » au sens de l'AI Act. Les fonctions d'IA qui se contentent d'assister les utilisateurs ou d'améliorer les performances ne seront ainsi pas automatiquement considérées comme présentant un risque élevé, tant qu'une défaillance n'entraîne pas de risques pour la santé ou la sécurité. Pour des secteurs plus importants (médical, transport...) les colégislateurs se sont également mis d'accord sur un mécanisme qui évite là encore les chevauchements entre le règlement et les législations sectorielles existantes. La date limite de mise en place par les États membres a été repoussée d'un an, au 2 août 2027. C'est en particulier cette négociation sur l'application de l'AI Act aux industriels qui a failli faire échouer l'accord la semaine dernière, puisque le Parlement souhaitait entre autres, exempter complètement les industriels réglementés (jouets, objets connectés, etc.).

PublicitéL'accord valide par ailleurs l'extension à toutes les IA et à toutes les entreprises en amont et en aval, de la possibilité d'utiliser des données personnelles pour détecter et corriger les biais de l'IA. Une disposition adoptée malgré les inquiétudes soulevées et la limitation qui existe dans le RGPD pour ce type d'usage. En revanche, les obligations d'intégration de filigrane numérique dans les contenus générés par l'IA s'appliqueront plus tôt que ne l'avait proposé la Commission, soit à partir du 2 décembre 2026 et non du 2 février 2027.

Les ETI au même régime que les PME

Les entreprises de taille intermédiaire bénéficient, elles, désormais des mêmes exemptions qui étaient réservées aux PME. L'accord précise aussi que le Bureau de l'IA de l'UE assurera la supervision centralisée des systèmes IA à usage général, tandis que les autorités nationales conserveront leur compétence dans des domaines tels que l'application de la loi, la gestion des frontières, les autorités judiciaires et les institutions financières. « Avec cet accord, nous montrons que la politique peut évoluer aussi rapidement que la technologie », estime Arba Kokalari, corapporteure du Parlement au sein de la commission du marché intérieur et de la protection des consommateurs. « Nous rendons désormais les règles relatives à l'IA plus applicables dans la pratique, supprimons les chevauchements et suspendons les exigences à haut risque. »

Le Parlement et le Conseil ont également convenu d'interdire les IA créant du contenu pédopornographique ou intégrant des visages dans des contenus explicites, leur mise sur le marché de l'UE, sans mesures de sécurité visant à prévenir les abus et leur utilisation pour créer ce type de contenu. Les entreprises ont jusqu'au 2 décembre 2026 pour se conformer à ces dispositions. Les applications de déshabillage par IA de personnes sont également interdites dans ce cadre.

Les obligations de transparence inchangées

Plusieurs volets de la loi sur l'IA suivent cependant toujours le calendrier initial. Les interdictions relatives à l'IA présentant un risque inacceptable s'appliquent déjà depuis février 2025 et celles concernant un usage général depuis août 2025. Les obligations de transparence prévues à l'article 50, y compris la divulgation des interactions avec les chatbots, doivent par ailleurs s'appliquer à partir du 2 août 2026.