retour

Digital Omnibus sur l’IA

Article IT et données personnelles | 19/12/25 | 21 min. | Marc Mossé Eden Gall Benjamin Fontani

Le principe européen de Smart Regulation bénéficiera-t-il un jour de l’intelligence artificielle ? Espérons-le. En effet, alors que le règlement (UE) 2024/1689 du 13 juin 2024, établissant le premier cadre juridique horizontal relatif à l’intelligence artificielle (« Règlement IA ») est encore en phase d’entrée en application progressive, la Commission européenne propose d’en adapter et d’en simplifier la mise en œuvre. Pour ce faire, elle présente un ensemble d’amendements ciblés rassemblés dans un règlement appelé « Omnibus ». L’enjeu annoncé est d’assurer une application plus cohérente, proportionnée et opérationnelle du nouveau régime.

Cette initiative s’inscrit dans la continuité du rapport Draghi (2024), lequel attribuait une partie du déficit de compétitivité de l’UE à la complexité réglementaire et aux coûts de conformité excessifs. En réponse, la Commission s’est engagée, pour la durée du mandat 2024-2029, à conduire un vaste programme de simplification législative destiné à corriger ces déséquilibres. La Commission estime ainsi que ces simplifications pourraient générer jusqu’à cinq milliards d’euros d’économies administratives d’ici 2029.

Parmi les principales évolutions envisagées figurent :

  • l’adaptation du calendrier d’application des règles relatives aux systèmes d’IA à haut risque ;
  • l’extension aux entreprises de taille intermédiaire des simplifications documentaires et procédurales prévues pour les PME ;
  • un assouplissement du régime de suivi post-commercialisation ;
  • la centralisation de la supervision de certains systèmes au sein du Bureau de l’IA ;
  • la possibilité de traiter certaines données sensibles afin de détecter et corriger les biais potentiels ;
  • l’élargissement du recours aux bacs à sable réglementaires et au test en conditions réelles.

 

1. Le Digital Package

Dans sa proposition d’Omnibus relatif au paquet numérique (Digital Package) visant à rationaliser et simplifier plusieurs pans de la législation européenne applicable au numérique, la Commission souhaite modifier le droit applicable en matière d’intelligence artificielle, de cybersécurité et de données.

Deux autres initiatives complètent le paquet, l’une consacrée à la mise en œuvre de la stratégie pour l’Union des données, destinée notamment à faciliter l’accès à des données de haute qualité pour l’IA, l’autre à la création de portefeuilles d’affaires européens destinés aux entreprises.

L’objectif poursuivi par la Commission est d’alléger la charge administrative pesant sur les opérateurs économiques, en particulier dans le secteur numérique, afin de renforcer la compétitivité européenne, tout en préservant un niveau élevé de protection des droits fondamentaux, de la sécurité et de la transparence. Il s’agit ainsi de permettre aux entreprises européennes de rediriger davantage de ressources vers l’innovation et moins vers les démarches administratives.

Dès 2025, la Commission a engagé une vaste concertation concernant la mise en œuvre du Règlement IA afin d’identifier d’éventuelles difficultés de mise en œuvre. Ainsi, trois consultations publiques ont été menées au printemps, complétées par un appel à contributions spécifiquement dédié au paquet numérique, permettant aux acteurs de terrain de faire remonter les obstacles rencontrés. Un panel de PME a également été mobilisé pour appréhender les besoins propres aux structures de petite et moyenne taille.

C’est dans ce contexte que la Commission a présenté, le 19 novembre 2025, le Digital Omnibus package comprend trois propositions de règlements et une communication :

  • un règlement « Digital Omnibus » couvrant les règles relatives aux données, à la cybersécurité et à la protection de la vie privée (proposition de règlement 2025/0360 (COD) COM(2025) 837 final) ;
  • un règlement « Digital Omnibus » sur l’IA (proposition de règlement 2025/0359 (COD) COM(2025) 836 final) ;
  • un Règlement sur l’établissement de Portefeuilles électroniques européens (European business wallets) ;
  • Une Communication présentant la nouvelle stratégie européenne des données.

 

2. Le Digital Omnibus sur l’IA

Au cœur de ce paquet, le Digital Omnibus sur l’IA propose des amendements ciblés du Règlement IA pour en faciliter la mise en œuvre, dans un cadre adapté et proportionné. Ce volet IA du Digital Omnibus prend la forme de la proposition de règlement 2025/0359 (COD) (COM (2025) 836 final), qui modifie le Règlement IA et le règlement (UE) 2018/1139 relatif à la sécurité aérienne.
Les consultations conduites en 2025 ont mis en évidence plusieurs difficultés susceptibles de compromettre l'entrée en vigueur effective et l’application efficace des dispositions clés du Règlement IA : il s'agit notamment des retards dans la désignation des autorités nationales compétentes et des organismes d'évaluation de la conformité ainsi que, point important, de l'absence de normes harmonisées pour les exigences, les orientations et les outils de conformité relatifs aux systèmes d’IA à haut risque.

Dès lors que le Règlement IA doit entrer en application de manière progressive jusqu’à l’été 2027, ces insuffisances font peser, d’une part, un risque d’augmentation substantielle des coûts de conformité pour les entreprises et les autorités publiques et, d’autre part, un risque de frein à l’innovation, faute d’un cadre opérationnel suffisamment clair, prévisible et outillé pour permettre l’application effective du Règlement IA aux échéances initialement prévues.

La proposition de modification du Règlement IA vise ainsi à en simplifier la mise en œuvre et réduire significativement les charges administratives pour les parties prenantes. La Commission accompagne d’ailleurs son texte d’une évaluation détaillée des économies potentielles résultant de l’adoption de ces ajustements.

 

  1. Entrée en application des obligations applicables aux systèmes d’IA à haut risque

Constatant la difficulté pour les États membres et les entreprises à se conformer dans les délais initiaux aux obligations relatives aux systèmes d’IA à haut risque[1], dont l’entrée en application est prévue pour les mois d’août 2026[2] ou d’août 2027[3], la Commission propose de conditionner l’entrée en application de ces obligations à la disponibilité effective des instruments nécessaires à la mise en conformité des acteurs et notamment les normes harmonisées, spécifications communes, lignes directrices et procédures d’évaluation. Dans le cadre de l’AI Act, le respect des normes harmonisées, développées par les organismes européens de normalisation, notamment le CEN et le CENELEC, est un moyen pour les fournisseurs de démontrer leur conformité avec les exigences du Règlement. De fait, en l’absence de telles normes harmonisées avant l’entrée en vigueur des obligations de l’AI Act, concernant les systèmes d’IA à haut risque, il devient particulièrement difficile pour les opérateurs de démontrer leur conformité et de mettre en œuvre les mesures requises dans les délais impératifs fixés par le texte.

Le Digital Omnibus sur l’IA prévoit ainsi que les exigences concernant les systèmes d’IA à haut risque prévues au chapitre III du Règlement IA n’entreront en application qu’après que la Commission aura formellement constaté la disponibilité des outils nécessaires à la mise en conformité des acteurs. Ces obligations prendront ensuite effet :

  • 6 mois après l’adoption de la décision de la Commission concernant les systèmes d’IA à haut risque visés à l’article 6(2) et à l’annexe III ;
  • 12 mois après l’adoption de la décision concernant les systèmes d’IA à haut risque visés à l’annexe I.

Toutefois, en l’absence de décision de la Commission, les dispositions des sections 1,2 et 3 du chapitre III, relatives aux systèmes d’IA à haut risques et aux exigences et obligations applicables aux fournisseurs et déployeurs de tels systèmes, entreraient pour leur part en application au plus tard :

  • le 2 décembre 2027 pour les systèmes d’IA à haut risque visés à l’article 6(2) et à l’annexe III ;
  • le 2 août 2028 pour les systèmes d’IA à haut risque visés à l’annexe I.

L’introduction de ce mécanisme permettrait de retarder l’application contraignante du régime applicable aux systèmes d’IA à haut risque dans un contexte où les outils de conformité sont encore lacunaires, tout en préservant une date butoir impérative pour assurer la pleine effectivité du cadre réglementaire.

Ce potentiel décalage du calendrier d’application de ces obligations est cependant subordonné à l’adoption du Digital omnibus par le législateur européen. A la différence de la directive dite « Stop the clock » qui avait été adoptée au préalable de l’examen du Règlement Omnibus modifiant les directives CSRD (informations de durabilité) et CS3D (devoir de vigilance) afin de modifier les dates d’application de ces nouvelles obligations pour les entreprises, la Commission a fait le choix de ne pas proposer de texte distinct pour ce qui concerne la matière numérique. Autrement dit, une adoption tardive de la proposition au-delà des nouvelles échéances suggérées, ou de façon trop proche, n’aurait aucun effet, ou très peu, sur le calendrier. On peut imaginer que la Commission a opté pour cette solution pour faire pression, même indirectement, sur le législateur pour qu’il adopte au plus vite le texte sans le modifier substantiellement. Il en va de même pour la période transitoire ci-dessous.

 

  1. Période transitoire complémentaire pour certains systèmes d’IA déjà mis sur le marché ou mis en service et les modèles d’IA à usage général déjà mis sur le marché

Par ailleurs, le Digital Omnibus sur l’IA instaure une période transitoire supplémentaire de 6 mois, jusqu’au 2 février 2027, pour les fournisseurs de systèmes d’IA déjà commercialisés qui doivent intégrer rétroactivement des solutions techniques dans leurs systèmes d'IA générative, conformément aux obligations de transparence prévues à l’article 50(2).  Ces obligations portent notamment sur l’intégration d’éléments permettant de rendre les contenus lisibles par machine et détectables comme étant générés ou manipulés artificiellement.  
 

  1. Extension du régime favorable aux entreprises de taille intermédiaire

Le Digital Omnibus élargit le champ des mesures de simplification prévues pour les PME aux entreprises de taille intermédiaire. Celles-ci bénéficieraient désormais notamment des régimes allégés de documentation technique, de système de gestion de la qualité proportionné, de la prise en compte de leurs intérêts dans l’établissement des codes de conduite et lignes directrices ainsi que de plafonds d’amendes adaptés.

Le texte introduit également des définitions de PME et ETI, qui devraient correspondre aux définitions figurant à l'annexe de la recommandation 2003/361/CE de la Commission et à l'annexe de la recommandation 2025/3500/CE de la Commission.

Cette extension, inspirée du paquet Omnibus IV, répond à un objectif d’équité économique afin de soutenir la compétitivité des acteurs innovants qui, sans être de grandes entreprises, supportaient des coûts de conformité disproportionnés au regard de leurs ressources.

 

  1. Maîtrise de l’IA (AI Literacy)

L’article 4 du Règlement IA impose aujourd’hui aux fournisseurs et déployeurs de systèmes d’IA de veiller à ce que leur personnel dispose d’une « maîtrise de l’IA » suffisante. Dans la pratique, cette obligation, très large et peu détaillée, apparaît difficile à mettre en œuvre.

La Commission constate que cette approche uniforme de la « maîtrise de l’IA » ne convient pas à tous les types d’acteurs et risque de ne pas atteindre son objectif. La proposition prévoit donc une obligation mise à la charge de la Commission et des États membres, qui devront encourager la montée en compétences et la sensibilisation à l’IA du personnel des fournisseurs et déployeurs.

Cet allègement ne doit cependant pas faire oublier que l’obligation de s’assurer du contrôle humain sur les systèmes d’IA demeure et que la logique de formation et de mise à niveau y concourt. Les entreprises ne devraient pas négliger cette dimension dans leur plan de mise en conformité.

 

  1. Bureau de l’IA (AI Office)

Le Digital Omnibus sur l’IA renforce les pouvoirs du Bureau de l’IA. A ce titre, celui-ci se voit ainsi confier une compétence de supervision exclusive pour :

  • les systèmes d’IA basés sur des modèles d’IA à usage général, lorsque le système et le modèle sont fournis par le même acteur, à l’exception des systèmes liés à des produits relevant des législations sectorielles de l’annexe I du Règlement IA. Les autorités sectorielles restent responsables de la supervision des systèmes d'IA liés aux produits couverts par cette législation d'harmonisation de l'Union ; et
  • les systèmes d’IA intégrés dans, ou constituant, une très grande plateforme en ligne ou un très grand moteur de recherche[4] au sens du Règlement (EU) 2022/2065 (Digital Services Act). S’agissant des TGPL et TGML, la question est étroitement liée à celle de l’évaluation et de la remédiation des risques systémiques. En effet, l’utilisation de l’IA par ces acteurs peut accroitre de façon significative leur impact sur la société et notamment du point de vue des droits fondamentaux et de la dissémination de la désinformation.

Pour exercer ces missions, la Commission devra adopter un acte d’exécution définissant précisément les pouvoirs et les procédures applicables au Bureau de l’IA, y compris sa capacité à imposer des amendes et autres sanctions administratives.

Le texte consacre parallèlement explicitement plusieurs garanties procédurales des opérateurs économiques notamment concernant la motivation détaillée des décisions, l’information sur les voies de recours, et le droit d’être entendu dans un délai maximal de dix jours.

Par ailleurs, la proposition de règlement prévoit, à l’horizon 2028, la création d’un bac à sable réglementaire européen administré par le Bureau de l’IA. Ce dispositif viendra compléter les bacs à sable nationaux déjà prévus par le Règlement IA, afin de permettre le test de systèmes d’IA innovants dans un cadre transfrontalier coordonné.

Pour assumer ces nouvelles tâches, la Commission estime les besoins en ressources supplémentaires du Bureau de l’IA à 53 employés équivalents temps plein, dont une partie pourrait être couverte par un redéploiement interne. En parallèle, les États membres verraient leur charge diminuer notamment car certains systèmes seraient désormais supervisés directement au niveau européen.

 

  1. Codes de bonnes pratiques

La proposition de Digital Omnibus sur l’IA modifie les articles 50(7) et 56(6) du Règlement IA afin de supprimer la possibilité d’approbation par la Commission des codes de bonnes pratiques par acte d’exécution destiné à leur conférer une portée générale dans l’Union. En revanche, la Commission conserve la possibilité d’adopter un acte d’exécution définissant des règles communes pour l’application de certaines obligations lorsque les codes de bonnes pratiques existants sont jugés insuffisants.

La Commission souhaite donc passer d’une logique de validation ex ante à une logique de rattrapage ciblé lorsque l’autorégulation sectorielle ne suffit pas.

 

  1. Base légale de traitement des données

La proposition de règlement introduit un nouvel article 4a au sein du Règlement IA, remplaçant notamment l'article 10(5). Cette disposition crée une base juridique permettant aux fournisseurs et déployeurs de systèmes ou de modèles d’IA, et non plus aux seuls systèmes d’IA à haut risque, de traiter, à titre exceptionnel, des catégories particulières de données à caractère personnel dans le but de garantir la détection et la correction des biais des systèmes d’IA dans certaines conditions.

 

  1. Mesures de simplification supplémentaires

La proposition de la Commission contient diverses autres dispositions de simplification :

  • Surveillance post-commercialisation : La Commission supprime également l’obligation pour les fournisseurs d’utiliser un modèle harmonisé de plan de surveillance post-commercialisation, afin de laisser aux opérateurs la latitude d’adapter leurs dispositifs de suivi aux spécificités sectorielles. Cette suppression vise à éviter la rigidité d’un modèle unique et à encourager des approches proportionnées, sans remettre en cause l’exigence générale de vigilance continue.
  • Registre européen des systèmes d’IA à haut risque : les systèmes d’IA qui, bien qu’appartenant à un domaine figurant à l’annexe III, sont exemptés de la qualification de système d’IA à haut risque au titre de l’article 6(3) du Règlement IA, ne seront plus soumis à l’obligation d’enregistrement.
  • Demande de conformité unique : Le texte prévoit la possibilité, pour les organismes d’évaluation de la conformité, de présenter une demande unique et de se soumettre à une seule procédure d’évaluation lorsqu’ils interviennent à la fois au titre du Règlement IA et d’une législation d’harmonisation sectorielle listée à l’annexe I.
  • Test dans des conditions réelles : La proposition ouvre également la voie à la conclusion d’accords écrits entre la Commission et les États membres permettant de tester, en conditions réelles, certains systèmes d’IA à haut risque, notamment ceux de la section B de l’annexe I, en dehors des bacs à sable réglementaires, sous la supervision des États membres et de la Commission. Cette possibilité ne vaut toutefois pas pour les systèmes d’IA interdits au titre du Règlement IA.

De plus, plusieurs ajustements techniques sont prévus pour préciser que, dans certains cas, c’est la procédure d’évaluation sectorielle qui doit être suivie lorsque le système d’IA est intégré dans un produit déjà couvert par une législation d’harmonisation de l’Union, et améliorer la cohérence avec le règlement (UE) 2018/1139 dans le domaine aéronautique.

Enfin, de nombreuses lignes directrices sont attendues afin d’assurer une lisibilité et une sécurité juridiques aux parties prenantes (à savoir les lignes directrices concernant la qualification des systèmes à haut risque, l’application des obligations de transparence, des précisions sur l’application de l’exemption concernant la recherche, etc.).

 

3. Procédure

La proposition de règlement 2025/0359 (COD) s’inscrit dans le cadre de la procédure législative ordinaire, impliquant conjointement le Parlement européen et le Conseil. À l’issue de sa présentation par la Commission, le texte a été transmis aux deux colégislateurs, qui doivent désormais entamer l’examen formel et substantiel des amendements proposés au Règlement IA et au règlement (UE) 2018/1139 avant, une fois que leurs positions respectives auront été adoptées, d’engager la phase de trilogue afin de trouver un accord politique rendant possible un vote définitif.

Compte tenu du calendrier d’entrée en application progressive du Règlement IA, les colégislateurs devraient s’attacher à conduire les négociations rapidement, afin de tenter de voter le texte avant l’été 2026 et éviter que certaines dispositions ne soient adoptées trop tardivement pour être efficaces et notamment celles relatives aux délais.

La Commission poursuivra en parallèle ses travaux d’accompagnement (élaboration de lignes directrices, préparation des actes d’exécution, etc.) afin d’assurer une mise en œuvre homogène, opérationnelle et proportionnée du cadre européen de l’IA.

Malgré l’adoption de plusieurs mandats de normalisation par la Commission, aucune norme harmonisée essentielle n’est encore disponible à l’approche des premières échéances d’application.

À cette difficulté s’ajoute le retard dans la publication des nombreuses lignes directrices que la Commission devait élaborer notamment concernant la classification des systèmes à haut risque.

Ces retards sont au centre des difficultés identifiées par la Commission et placent les opérateurs économiques dans une situation d’incertitude juridique.

 

[1] Comprenant la gestion des risques, qualité et gouvernance des données, journalisation et traçabilité, documentation technique, transparence, supervision humaine, précision, robustesse et cybersécurité.

[2] Entrée en application des dispositions relatives aux systèmes d’IA à haut risque de l’Annexe III de l’AI Act.

[3] Entrée en application des dispositions relatives aux systèmes d’IA à haut risque de l’Annexe I de l’AI Act.

 

[4] Article 33 du DSA.

Explorez notre collection de documents PDF et enrichissez vos connaissances dès maintenant !
[[ typeof errors.company === 'string' ? errors.company : errors.company[0] ]]
[[ typeof errors.email === 'string' ? errors.email : errors.email[0] ]]
L'email a été ajouté correctement