Digital Omnibus on AI, évolutions et perspectives

Le premier ayant fait l'objet d'un précédent  article [3], c'est maintenant un décryptage du second qui est proposé.

Pour mémoire, le règlement sur l'IA adopté le 13 juin 2024 ("AI Act") a pour objectif de “faire de l'UE un continent de l'IA” et de “promouvoir l'adoption d'une IA centrée sur l'humain et digne de confiance”. Il prévoit une application progressive entre le 2 février 2025 jusqu’au 2 août 2027. Les interdictions concernant les pratiques d’IA à risque inacceptable, et les obligations sur la maîtrise de l'IA et sur les modèles d’IA à usage général sont déjà entrées en application, mais la plupart des dispositions sur les systèmes d’IA ("SIA") à haut risque ne s’appliqueront qu’à partir d'août 2026 ou 2027, selon les SIA à haut risque.

Des mesures de simplification réglementaire…à affiner

Une série de consultations publiques, visant notamment à identifier les défis potentiels liés à la mise en œuvre des dispositions de l'AI Act, ont été organisées par la Commission et ont révélé des difficultés de mise en œuvre susceptibles de compromettre l'entrée en vigueur effective des dispositions clés du règlement sur l'IA.

Ces difficultés résultent en particulier des retards dans la désignation des autorités nationales compétentes et des organismes d'évaluation de la conformité, ainsi que de l'absence de normes harmonisées pour les exigences, les orientations et les outils de conformité à haut risque de la loi sur l'IA. Ces retards risquent d'augmenter considérablement les coûts de mise en conformité pour les entreprises et les autorités publiques et de ralentir l'innovation.

Pour compenser ou palier à ces retards, la Commission propose des mesures de simplification ciblées afin de garantir une mise en œuvre rapide, harmonieuse et proportionnée de certaines dispositions de l'AI Act.

Néanmoins, le projet souffre d'incohérences entre ses différentes parties, avec notamment des objectifs figurant dans la partie "Motifs et objectifs" repris ni dans les considérants, ni dans les articles. Ce faisant, il y a tout lieu de penser que le texte évoluera assez largement avant son adoption, sans quoi il risquerait de créer de nouvelles incertitudes susceptibles de compromettre, à tout le moins partiellement, ses ambitions de simplification et clarification des conditions de mise en œuvre de l'AI Act.

Des mesures phares du projet d'Omnibus IA

L’entrée en application des règles relatives aux SIA à haut risque sera liée à la disponibilité de normes harmonisées et autres "outils de soutien", avec une période transitoire adaptée. Cette flexibilité vise à garantir une entrée en vigueur effective et proportionnée, sans compromettre la sécurité ni les droits fondamentaux. Ainsi, la date d'entrée en application des dispositions de l'AI Act relatives aux SIA à haut risque serait reportée à 6 ou 12 mois après l'adoption de la décision de la Commission en fonction de la catégorie de système à haut risque. Le projet consacre toutefois des dates butoirs en énonçant que "cette flexibilité ne devrait être prolongée que jusqu’au 2 décembre 2027 [pour les systèmes d'IA à haut risque listés à l'annexe III] et jusqu'au 2 août 2028 [pour les systèmes d'IA à haut risque couverts par l'annexe I).

Les simplifications accordées aux PME sont étendues aux ETI, notamment en matière de documentation technique et de prise en compte dans l’application des sanctions. Les microentreprises, PME et ETI pourront ainsi bénéficier de procédures allégées, adaptées à leur taille et à leurs capacités.

La Commission et les États membres sont tenus, ensemble, individuellement et avec les parties prenantes, de promouvoir la culture de l'IA plutôt que d'imposer des obligations non précisées aux fournisseurs et aux déployeurs de systèmes d'IA à cet égard, sans préjudice néanmoins des obligations de formation pour les déployeurs de systèmes d'IA à haut risque.

L’obligation de mise en œuvre d'un plan harmonisé de surveillance après la mise sur le marché des SIA à haut risque est supprimée -et ce afin de réduire la charge administrative et favoriser l’innovation- sans suppression pour autant de la surveillance après commercialisation.

Le Bureau de l’IA devient l’autorité centrale pour la supervision des systèmes d’IA basés sur des modèles à usage général ou intégrés dans de très grandes plateformes en ligne et moteurs de recherche. Cette centralisation permet d’éviter la fragmentation réglementaire et d’assurer une cohérence dans l’application des règles.

Le projet confirme la possibilité pour les fournisseurs et déployeurs - à titre exceptionnel et sous garanties strictes - de traiter des catégories particulières de données à caractère personnel -notamment des données de santé - afin de détecter et corriger les biais dans les systèmes d’IA. Cette mesure vise à prévenir les discriminations, sans préjudice du RGPD, tel qu'il serait néanmoins modifié par le projet de Digital Omnibus et plus particulièrement la nouvelle exception à l'interdiction de traitement "aux fins du développement et de l'exploitation d'un système ou d'un modèle d'IA".

Le texte encourage l’expérimentation en conditions réelles, avec la création d’un bac à sable européen pour l’IA à partir de 2028, accessible en priorité aux PME. Ces dispositifs permettront de tester et valider des systèmes innovants dans un cadre sécurisé et supervisé.

Enfin, le projet de règlement Omnibus IA propose des modifications ciblées afin de clarifier l'interaction entre l'AI Act et d'autres législations de l'UE, et d'ajuster les procédures de l'AI Act, afin d'améliorer sa mise en œuvre et son articulation avec le RGPD et d'autres textes européens.

Des orientations et lignes directrices pratiques pour favoriser la bonne application et clarifier les interactions entre les différentes réglementations

Le projet prévoit également des mesures supplémentaires pour faciliter le respect de l'AI Act, axées sur la fourniture d'instructions claires et pratiques via des lignes directrices "claires et pratiques" En particulier sur les SIA à haut risque.

Ainsi, des lignes directrices seront prises sur la classification à haut risque, l'application pratique des exigences de transparence pour les SIA à usage général, la notification des incidents graves par les fournisseurs de SIA à haut risque, l'application pratique des exigences relatives aux SIA à haut risque, sur l'application pratique des obligations incombant aux fournisseurs et aux déployeurs de SIA à haut risque, sur l'analyse d'impact sur les droits fondamentaux des SIA à haut risque avec fourniture d'un modèle, sur l'application pratique des règles relatives aux responsabilités tout au long de la chaîne de valeur de l'IA, sur l'application pratique des dispositions relatives aux modifications substantielles des IA à haut risque, sur la surveillance après commercialisation des systèmes d'IA à haut risque, sur les éléments du système de gestion de la qualité simplifié, sur l'interaction entre la loi sur l'IA et d'autres législations de l'Union notamment le RGPD, NIS 2, le règlement sur les machines, sur les compétences et la procédure de désignation des organismes d'évaluation de la conformité.

Des "orientations" sont également envisagées sur l'application pratique des exemptions portant sur les (i) systèmes d’IA ou aux modèles d’IA spécifiquement développés et mis en service uniquement à des fins de recherche et développement scientifiques, et à leurs sorties, et (ii) aux activités de recherche, d’essai et de développement relatives aux systèmes d’IA ou modèles d’IA avant leur mise sur le marché ou leur mise en service, y compris sur leur application dans des contextes sectoriels tels que la recherche préclinique et le développement de produits dans le domaine des médicaments ou des dispositifs médicaux, sur lesquels la Commission travaillera en priorité.

Enfin, différentes dispositions visent à stimuler l'innovation en matière d'IA au niveau européen, notamment, à nouveau, au travers de bacs à sable au niveau européen et national, notamment pour les SIA à haut risque.

Si le projet a vocation à évoluer, notamment à des fins de clarification et cohérence, gageons que ces mesures de simplification ciblées permettront une mise en œuvre rapide, harmonieuse et proportionnée des dispositions du RIA, favorisant l'innovation et permettant à l'Europe de renforcer sa position en matière d'IA, tout en garantissant l'adoption d'une IA centrée sur l'humain et digne de confiance !