Un accord provisoire sur l’AI Omnibus a été arraché à Bruxelles après une nuit de négociations, mais le résultat est jugé insuffisant par de nombreux acteurs. L’attention se déplace désormais vers le Digital Omnibus, dont les enjeux pour l’IA et les données s’annoncent encore plus clivants.
À 4 heures du matin, le Parlement européen et le Conseil de l’UE sont parvenus à un accord provisoire sur l’AI Omnibus, le paquet législatif destiné à simplifier les règles applicables à l’intelligence artificielle au sein du marché unique. Si l’accord marque une étape formelle, il laisse de nombreux observateurs sur leur faim.
Un résultat en deçà des attentes initiales
Les négociations ont été marquées par des tensions persistantes sur les exemptions sectorielles. Plusieurs États membres ont reproché à l’Allemagne de ne pas avoir coopéré suffisamment en amont, ce qui aurait conduit à un compromis appauvri.
Le principal point de friction portait sur les chevauchements entre l’AI Act et les réglementations sectorielles existantes — dispositifs médicaux, jouets, ascenseurs, machines et embarcations nautiques. Le résultat final ne supprime ces doublons que pour les produits de machinerie. Pour les autres catégories, la résolution est renvoyée à des actes d’exécution, dont l’adoption intervient structurellement après l’émergence des problèmes qu’ils sont censés corriger.
Parmi les avancées notables figure l’élargissement des exemptions accordées aux PME aux small et mid caps — entreprises réalisant jusqu’à 200 millions d’euros de chiffre d’affaires. Cette mesure est susceptible de soutenir concrètement la montée en puissance des scale-up technologiques européennes.
Données personnelles, contenus illicites et délais révisés
Les négociateurs ont également convenu de restreindre la définition de « composant de sécurité » et d’autoriser le traitement de données à caractère personnel pour détecter et corriger les biais dans les systèmes à haut risque comme dans ceux qui ne le sont pas.
Face à des incidents récents impliquant des contenus de nudité générés par IA, des règles renforcées s’appliqueront aux systèmes susceptibles de produire du matériel pédopornographique ou des contenus sexuels explicites non consentis. Ces systèmes disposent jusqu’au 2 décembre 2026 pour se mettre en conformité.
Sur le plan des échéances, l’application des règles relatives aux systèmes à haut risque est repoussée au 2 décembre 2027 pour les systèmes autonomes, et au 2 août 2028 pour ceux intégrés dans des produits. La période de transition pour le filigranage des contenus générés par IA est en revanche raccourcie, passant du 2 février 2027 au 2 décembre. La mise en place des bacs à sable réglementaires pour l’IA est, quant à elle, reportée au 2 août 2027, contre le 2 août 2026 initialement prévu.
Le Digital Omnibus : le véritable terrain de confrontation
Alors que l’AI Omnibus doit encore être formellement approuvé par le Conseil et le Parlement européen, le débat se déplace vers le Digital Omnibus, second pilier de la stratégie de simplification de la Commission. Ce paquet concentre les enjeux les plus structurants pour le développement de l’IA et l’exploitation des données.
La Central European AI Chamber, aux côtés de quinze associations, a publié une lettre ouverte appelant les États membres à corriger ce qu’elles qualifient de propositions trop édulcorées. Le texte réclame un meilleur équilibre entre protection des données et objectifs de compétitivité économique, estimant que les compromis actuels s’orientent dans la direction inverse.
Trois points de friction majeurs
Les débats à venir devraient se concentrer sur trois axes principaux :
Les signataires de la lettre soulignent que les propositions initiales de la Commission sur la pseudonymisation et l’intérêt légitime étaient pragmatiques. Le projet actuel revient sur ces avancées et rétablit le statu quo, exposant entreprises et chercheurs à des interprétations fragmentées selon les États membres.
En l’absence de définitions claires et contraignantes, les acteurs économiques restent dépendants des lignes directrices du Comité européen de la protection des données (CEPD) — un organe dont le mandat est, par construction, centré sur la protection des données et non sur la promotion de la croissance économique.
Données scientifiques et consentement numérique : deux dossiers sensibles
La définition du périmètre des données scientifiques utilisables pour le développement de l’IA semble se resserrer dans les propositions actuelles, ce qui contredit l’ambition affichée par Bruxelles de transformer la force de la recherche européenne en capacité de commercialisation.
Par ailleurs, le mécanisme prévu à l’article 88b, censé remédier à la « fatigue liée aux cookies », risque selon ses critiques de générer un nouveau désordre en matière de consentement, tout en ne satisfaisant pas aux exigences du RGPD sur le consentement spécifique et éclairé.
Le bras de fer entre protection des données personnelles et ambitions industrielles de l’UE est loin d’être tranché. Le Digital Omnibus s’annonce comme le véritable test de cohérence de la politique numérique européenne.