Dernières actualités juridiques en matière d’IA

Alors que ce texte entre progressivement en application, trois actualités majeures illustrent les défis de sa mise en œuvre : le report de certaines échéances, la publication d'un projet d’acte d'exécution sur les modèles d’IA à usage général, et l'élaboration d'un code de bonnes pratiques sur le marquage des contenus générés par IA.

Report des échéances du RIA, notamment pour les IA à haut risque

Le RIA prévoit une entrée en application progressive, sur plusieurs années. Toutefois, face aux difficultés rencontrées par les entreprises et les États membres pour se préparer dans les délais initiaux, la Commission européenne a proposé, le 19 novembre 2025, un texte de simplification baptisé « Omnibus IA ». Cette proposition proposait notamment de reporter certaines échéances et d’alléger les obligations pesant sur les acteurs économiques, en particulier les PME et les entreprises de taille intermédiaire.

Le 18 mars 2026, le Parlement européen a adopté sa position sur ce texte¹. Les députés proposent un calendrier révisé avec des dates fixes : le 2 décembre 2027 pour les systèmes d'IA dits « à haut risque » ; le 2 août 2028 pour les systèmes d'IA intégrés dans des produits déjà soumis à une réglementation sectorielle européenne (dispositifs médicaux, machines industrielles, jouets, etc.) ; et le 2 novembre 2026 pour l'obligation de signaler qu'un contenu a été généré par une intelligence artificielle.

Ces reports ne font toutefois pas l’unanimité. D'un côté, une quarantaine d’organisations représentant l’industrie technologique européenne – réunies notamment autour de l'association Digital Europe – ont adressé le 12 mars 2026 une lettre au Parlement et au Conseil, estimant que la simplification proposée ne va pas assez loin et réclamant des mesures supplémentaires pour éviter les doublons entre le RIA et d'autres réglementations sectorielles[2]. De l'autre côté, les défenseurs des droits fondamentaux s'inquiètent. Le réseau ENNHRI (qui regroupe les institutions nationales des droits de l'homme en Europe) et Equinet (le réseau européen des organismes de lutte contre les discriminations), représentant ensemble près de soixante institutions indépendantes, ont publié une déclaration commune alertant sur le risque d'affaiblissement des garde-fous du RIA³. Leur crainte principale : que le report des échéances et l'allègement des obligations ne réduisent le rôle des autorités nationales chargées de veiller au respect des droits fondamentaux dans le déploiement de l'IA. Le Comité européen de la protection des données (CEPD) et le Contrôleur européen de la protection des données ont par ailleurs émis un avis conjoint sur cette proposition émettant des réserves sur l’allègement de différentes obligations, dont notamment le décalage de calendrier⁴.

Projet d’acte d’exécution pour encadrer les modèles d'IA à usage général

Les modèles d'IA à usage général (ou « GPAI » pour General-Purpose AI) désignent les systèmes d'intelligence artificielle polyvalents, capables d'effectuer un large éventail de tâches – comme les grands modèles de langage qui alimentent les agents conversationnels de type ChatGPT, Gemini ou Claude. Le RIA prévoit des obligations spécifiques pour les fournisseurs de ces modèles, notamment en matière de transparence et de documentation technique.

En mars 2026, la Commission a publié un projet d’acte d'exécution⁵ qui précise concrètement les conditions dans lesquelles ces obligations seront mises en œuvre. Ce texte comporte deux volets.
Le premier (articles 1 à 4) détaille les pouvoirs d'évaluation de la Commission : celle-ci pourra faire appel à des experts indépendants pour examiner si un modèle d'IA présente un « risque systémique » – c'est-à-dire un risque susceptible d'affecter la santé publique, la sécurité, les droits fondamentaux ou la société dans son ensemble. Le projet organise les critères de sélection et garanties d’indépendance des experts, modalités d’accès technique au modèle (API et autres moyens, y compris, au besoin, le code source), calendrier, format des rapports et règles strictes de confidentialité.
Le second (articles 5 à 11) fixe les garanties procédurales applicables avant toute décision pécuniaire : notification des griefs, droit d’être entendu, accès au dossier, représentation et délais, ainsi que les modalités d’adoption, de notification et de publication des décisions. Il détaille l’appréciation des faits (gravité, durée, récurrence, coopération, mesures de mitigation) et rappelle les plafonds d’amende posés par le règlement : les fournisseurs qui ne respecteraient pas leurs obligations s'exposent à des amendes pouvant atteindre 15 millions d'euros ou 3 % de leur CA mondial.

Enfin, le projet d’acte prévoit la coordination avec les mesures provisoire d’urgence que la Commission peut requérir, en raison d’un risque de préjudice grave aux exigences sanitaires, de sécurité ou d’autres motifs liés à l’intérêt public.

Un code de bonnes pratiques pour signaler les contenus générés par l'IA

L'essor de l'IA générative – systèmes capables de créer des textes, des images, des vidéos ou des sons à partir de simples instructions – pose un défi majeur : comment distinguer un contenu authentique d'un contenu fabriqué par une machine ? La question est d'autant plus sensible que ces technologies permettent de produire des « deepfakes », c'est-à-dire des contenus truqués hyperréalistes (fausses vidéos, faux enregistrements audio) pouvant servir à la désinformation ou à l'usurpation d'identité.
Pour y répondre, l'article 50 du RIA impose aux fournisseurs de systèmes d'IA de signaler clairement les contenus générés artificiellement.
La Commission a publié le 5 mars 2026 une deuxième version du code de bonnes pratiques destiné à guider les acteurs dans la mise en œuvre de cette obligation⁶.
Ce code repose sur deux piliers. Le premier concerne le marquage technique : chaque contenu généré par IA devra comporter des « métadonnées » (des informations invisibles intégrées au fichier) et un « filigrane numérique » (une sorte de tatouage imperceptible à l'œil nu mais détectable par des outils spécialisés), permettant d'en vérifier l'origine. Le second pilier porte sur l'étiquetage visible : les deepfakes et les textes produits par IA devront être accompagnés d'icônes ou d'avertissements clairement identifiables par le public, afin que chaque citoyen puisse savoir, d'un simple coup d'œil, qu'un contenu a été généré ou manipulé par une intelligence artificielle. La version finale du code est attendue pour juin 2026.

Les pièces du puzzle s’assemblent peu à peu, et de manière pragmatique. A suivre !