Éclairage sur les "frictions" entre le Règlement sur l'IA et les différentes régulations numériques européennes

Alors que deux projets de règlements ont été publiés (le 19 novembre 2025) par la Commission européenne - visant respectivement à "optimiser l’application du corpus réglementaire numérique"[1] ("Digital Omnibus of the digital acquis")[2] et à "garantir une mise en œuvre rapide, harmonieuse et proportionnée de certaines dispositions de la législation sur l’IA"[3] ("Digital Omnibus on AI")[4] - une étude du Parlement européen avait été publiée quelques semaines auparavant sur la "cohérence et la capacité d'innovation de l'écosystème européen de l'IA".

Cette étude est intéressante en ce qu'elle précède et éclaire ces projets Omnibus, et met l'accent sur d'autres sujets d'interaction entre les règlements européens, rencontrés en pratique.

L'étude[5] analyse les interactions entre l'AI Act et les autres règlements européens en matière numérique, notamment le RGPD, le Data Act, le Data Governance Act, le Digital Services Act, le Digital Market Act, le règlement sur la cybersécurité ("CSA"), le règlement sur la cyberrésilience ("CRA"), la directive NIS 2, et le nouveau cadre législatif ("NLF").

Sur la base de cette analyse, trois types de recommandations ont été formulées :

(i) Les "recommandations à court terme" pouvant être mises en œuvre sans modification de l'AI Act ou des autres législations de l'UE, qui visent à "optimiser" l'application de l'AI Act par rapport aux autres législations "dans le cadre existants"

(ii) Les "recommandations à moyen terme" visant à identifier les "modifications législatives mineures" qui seraient envisageables, sans "nécessiter des changements fondamentaux dans la philosophie ou l'approche générale de la législation".

(iii) Les "recommandations à plus long terme" tendant à faire table rase des réglementations actuelles, visant à la mise en œuvre d'un "cadre réglementaire numérique européen plus idéal" ne tenant pas compte de "l'héritage" des règlementations existantes.

1.  Recommandations à court terme

L'étude relève qu'il serait utile de (i) renforcer "l'interaction et la coordination entre les régulateurs en dehors de l'écosystème de surveillance de la conformité des produits" (autorités de protection des données, organismes compétents en vertu des réglementations sur les données) et (ii) "mieux exploiter les possibilités d'interaction entre les différents cadres juridiques" afin de simplifier les obligations applicables aux acteurs concernés.

S'agissant de l'exploitation des interactions entre l'AI Act et le RGPD aux fins de simplification, l'étude suggère que des "orientations opérationnelles communes" soient publiées par le CEPD et le Bureau de l'IA. L'étude vise notamment les "chevauchements" entre l'analyse d'impact relative à la protection des données ("AIPD") et l'analyse d’impact des systèmes d’IA à haut risque sur les droits fondamentaux ("AIDF"), préconisant "des modèles standardisés pour réduire les doublons".

L'AI Act prévoit pourtant que l'obligation de réaliser une AIDF pourrait être "déjà remplie au moyen de l’analyse d’impact relative à la protection des données réalisée en application de l’article 35 du [RGPD]", auquel cas "l’analyse d’impact sur les droits fondamentaux complète ladite analyse d’impact relative à la protection des données" (Art. 27.4 de l'AI Act). Ainsi, s'il n'y a pas de chevauchement des textes stricto sensu, l'ambition serait de davantage guider les acteurs dans leur mise en œuvre afin de rationaliser leurs efforts.

Dans l'étude, le Parlement relève que le recours à la base légale de l'intérêt légitime (article 6.1.f du RGPD) devrait être apprécié en considérant que les obligations prévues par l'AI Act "recalibrent" la proportionnalité au titre de cette base légale. A ce titre, il y a lieu de relever que plusieurs autorités de protection en Europe, telles que la CNIL, ont confirmé la pertinence du recours à cette base légale, de même que le CEPD dans un avis du 18 décembre 2024.

L'étude relève divers autres sujets d'interférences entre l'AI Act et les réglementations numériques, proposant par exemple que les obligations de transparence et de documentation prévues par le DSA et le CRA soient alignées sur celles de l'AI Act en "publiant des orientations communes sur la manière dont les deux exigences légales pourraient être satisfaites dans un modèle unique".

Sur l'exploitation de ces interactions entre les différents cadres juridiques, il convient de noter que la récente proposition Digital Omnibus on AI prévoit qu'"au-delà des mesures législatives, la Commission prend des mesures supplémentaires pour faciliter le respect de la loi sur l'IA et répondre aux préoccupations soulevées par les parties prenantes". Parmi ces mesures, on relèvera de futures "lignes directrices conjointes de la Commission et du Comité européen de la protection des données sur l'interaction entre la loi sur l'IA et la législation de l'UE en matière de protection des données, les lignes directrices sur l'interaction entre la loi sur l'IA et la loi sur la cyber-résilience".

2. Recommandations à moyen terme

L'étude formule différentes recommandations - supposant des modifications législatives de l'AI Act et des autres réglementations interagissant avec ce texte - non retenues par les propositions de Digital Omnibus of the digital acquis et Digital Omnibus on AI (ensemble "Paquet de simplification des réglementations numériques").

L'étude préconise en effet notamment "de simplifier et de généraliser" le cadre permettant d'évaluer ce qui constitue un système d'IA à haut risque en réponse au fait que les "deux critères d'évaluation distincts", chacun étant liés à deux annexes différentes, constitueraient un cadre "très complexe". Sur ce point, le Digital Omnibus on AI n'envisage pas une modification profonde des critères, mais traite du sujet de la classification des IA à haut risque uniquement via la possibilité pour la Commission de prendre "des lignes directrices sur l'application pratique de la classification à haut risque".

A cet égard, il faut noter qu'a été lancée, en juin 2025, une consultation publique sur la mise en œuvre des règles de la législation sur l’IA relatives aux systèmes d’IA à haut risque. Cette consultation permettra notamment de "recueillir des exemples pratiques et de clarifier les questions relatives aux systèmes d’IA à haut risque".

3. Recommandations à plus long terme

Les recommandations "à plus long terme" consistent à proposer de repartir d'une page blanche.

La mise en œuvre d'un nouveau cadre supposerait "un effort à très long terme" qui pourrait, selon l'étude, s'articuler autour des préoccupations suivantes :

- Une "refonte des règles de concurrence", afin de prendre en compte la manière dont ses règles pourraient spécifiquement s'appliquer aux systèmes d'IA ;

- La simplification du " paysage des parties prenantes ciblées" afin d'éviter que chaque règlementation parte d'une perspective sur les parties prenantes et leurs rôles, alors que les différentes catégories pourraient se recouper dans une certaine mesure ;

- La "souveraineté numérique", afin de définir un cadre juridique clair en la matière, prenant en compte les systèmes d'IA ;

- La "neutralité technologique", en évitant de mettre l'accent sur des technologies spécifiques dans le cadre de l'élaboration de nouvelles réglementations,

- la "cohérence au sein de l'UE et la surveillance nationale", l'étude préconisant que toute position adoptée au niveau de l'Union "invalide et remplace les orientations contraires au niveau national". Ce mécanisme affecterait profondément le principe de subsidiarité[6] de l'Union par rapport aux Etats membres.  

Face au constat de la prolifération des textes visant à réguler l'environnement numérique, l'heure est à la simplification et rationalisation des obligations et exigences, avec d'importantes incertitudes sur le paysage réglementaire des années à venir… A suivre !