L’« Omnibus IA » : simplification ou inflexion des objectifs ?

Attendue avant même l’entrée en vigueur complète du règlement (UE) 2024/1689 du Parlement européen et du Conseil établissant des règles harmonisées concernant l’intelligence artificielle, la proposition de modification témoigne d’une réponse partielle de la Commission aux craintes exprimées. Entre simplification réelle de certaines mesures et abaissement de certaines exigences, l’« Omnibus IA » est loin d’avoir épuisé les discussions.

1. La volonté. Seulement un an et demi après son adoption, le règlement (UE) 2024/1689 du Parlement européen et du Conseil du 13 juin 2024 établissant des règles harmonisées concernant l’intelligence artificielle (ci-après « règlement IA ») est appelé à évoluer. Le 19 novembre dernier, la Commission européenne a présenté un « nouveau paquet numérique » comprenant un « train de mesures omnibus » – du latin « pour tous » (Dictionnaire de l’Académie française, v° Omnibus,  9^e éd.) – destiné à simplifier certaines dispositions du droit du numérique (v. A. Petel, Vers une évolution du droit européen de la réutilisation des données du secteur public ?, Dalloz actualité, 18 déc. 2025). C’est dans ce cadre que s’inscrit la proposition de règlement du Parlement européen et du Conseil modifiant le règlement IA, ci-après « Omnibus IA ». L’initiative ne peut qu’être saluée tant, dès l’origine, ce dernier a été critiqué pour sa complexité. Celle-ci se manifeste non seulement dans son articulation avec d’autres instruments du droit de l’Union européenne (pour une analyse de l’articulation de tous les règlements, v. M. Clément-Fontaine, La rationalisation du droit numérique européen : le rapport parlementaire sur l’AI Act, prélude aux règlements Digital Omnibus et Omnibus IA », Dalloz actualité, 14 nov. 2025), mais également dans les difficultés rencontrées par les acteurs lors de sa mise en œuvre (exposé des motifs de la proposition, p. 2) – seul aspect qui retiendra ici l’attention.

2. La méthode. Ces différents protagonistes ont été consultés par la Commission et ont formulé plusieurs critiques. Délais d’entrée en application jugés trop courts, normes excessivement complexes ou encore obligations particulièrement lourdes aux conséquences budgétaires non négligeables pour les acteurs du numérique : autant de critiques susceptibles de « […] compromettre l’entrée en vigueur effective des dispositions clés de la loi sur l’IA ».

3. La difficulté. L’exercice de simplification entrepris par la Commission s’avère particulièrement délicat dans la mesure où l’objectif poursuivi par le règlement repose sur un équilibre difficile à atteindre. D’un côté, le règlement IA ambitionne « […] d’améliorer le fonctionnement du marché intérieur en établissant un cadre juridique uniforme […] tout en garantissant un niveau élevé de protection de la santé, de la sécurité et des droits fondamentaux consacrés dans la Charte des droits fondamentaux de l’Union européenne » (Règl. IA, art. 1^er, § 1 ; v. égal., consid. 1 du règl. IA). Par conséquent, toute simplification risque de perturber cet équilibre et de s’apparenter davantage à une évolution du cadre normatif qu’à une simplification des mesures. La proposition de modification du règlement IA succombe-t-elle à ces écueils ? À la lecture de la proposition, il semblerait. Si certaines propositions conduisent à simplifier des mesures complexes, d’autres, en revanche, tracent les contours d’une évolution du cadre par l’abaissement de la protection accordée aux citoyens.

Une simplification souhaitée

4. Une simplification générale. Sans conteste, plusieurs mesures visent à faciliter la mise en œuvre du règlement. Certaines bénéficient à l’ensemble des acteurs concernés tandis que d’autres se concentrent plus spécifiquement sur les protagonistes qui rencontrent les difficultés les plus épineuses. Parmi les mesures qui concernent tout acteur, l’une d’elles consiste à reporter l’entrée en application de certaines dispositions. À ce jour, le règlement IA prévoit une application à compter du 2 août 2026, tout en planifiant un calendrier différencié : une entrée en application anticipée des chapitres I et II – relatifs respectivement aux dispositions générales et aux pratiques d’IA interdites – et une entrée en application différée de l’article 6, § 1, ainsi que des mesures connexes portant sur la classification des systèmes d’IA à haut risque et sur le régime qui leur est applicable. Pour autant, nombre de ces dispositions demeurent rédigées en des termes vagues et appellent des précisions notamment par le biais de normes techniques, lesquelles tardent à être adoptées. La charge de conformité s’en trouve, dès lors, considérablement alourdie par rapport à ce qui avait été initialement envisagé : les fournisseurs de systèmes d’IA – i.e. toute entité « […] qui développe ou fait développer un système d’IA ou un modèle d’IA à usage général et le met sur le marché ou met le système d’IA en service sous son propre nom ou sa propre marque, à titre onéreux ou gratuit » (consid. 2 de l’Omnibus IA) – sont ainsi amenés à développer des systèmes susceptibles d’être ultérieurement jugés non conformes. Les investissements réalisés pourraient en être compromis. Pour prévenir ce risque, la Commission propose « de mettre en place un mécanisme qui lie l’entrée en application [des dispositions] à la disponibilité de mesures destinées à favoriser le respect du chapitre III, qui peuvent inclure des normes harmonisées, des spécifications communes et des lignes directrices de la Commission » (consid. 2 de l’Omnibus IA). Plus concrètement, le point 31 de l’article premier de la proposition substitue à une date butoir un délai courant à compter de « […] l’adoption d’une décision de la Commission confirmant que des mesures adéquates sont disponibles […] ». Ce même point précise toutefois qu’à défaut d’une telle décision, les dispositions s’appliqueront à compter du 2 décembre 2027 pour les systèmes d’IA classés à haut risque en raison de leur domaine d’utilisation (annexe III), et du 2 août 2028 pour ceux qualifiés de tels en raison de leur lien avec des produits relevant de la législation d’harmonisation de l’Union. Cette mesure paraît d’autant plus opportune qu’elle est susceptible d’inciter les organes compétents à adopter plus rapidement les normes attendues, au risque toutefois de confondre accélération et précipitation.

5. Une simplification ciblée. D’autres mesures phares de la proposition de règlement ciblent des acteurs particuliers. C’est le cas, en premier lieu, des dispositions visant les petites « entreprises à moyenne capitalisation » (ou « small mid-cap enterprises »). Par renvoi à l’annexe de la recommandation de la Commission du 21 mai 2025, ces entreprises sont définies comme celles « qui ne sont pas des petites et moyennes entreprises […], qui occupent moins de 750 personnes et dont le chiffre d’affaires annuel n’excède pas 150 000 000 € ou dont le total du bilan annuel n’excède pas 129 000 000 € » (pt 2 de l’annexe de la recomm. [UE] 2025/1099 de la Commission du 21 mai 2025 concernant la définition des petites entreprises à moyenne capitalisation). Confrontées à des difficultés similaires, ces entreprises sont appelées à bénéficier des dispositions simplificatrices prévues pour les petites et moyennes entreprises parmi lesquelles figurent certaines obligations allégées en matière de documentation technique applicable aux systèmes d’IA à haut risque (Règl. IA, art. 11, § 1, al. 2). Au-delà des difficultés rencontrées par ces entreprises, cet allégement des dispositions présente un intérêt certain pour les start-ups et les licornes, ainsi que, plus largement, pour les entreprises innovantes européennes confrontées à une concurrence américaine particulièrement vive, dépourvue de telles obligations.

La proposition de règlement vise, en second lieu, à simplifier les procédures de notification des organismes chargés du contrôle de la conformité, notification indispensable pour contrôler les systèmes d’IA conformément au règlement. Ces procédures sont prévues dans la plupart des législations d’harmonisation de l’Union, ce qui engendre des doublons : les organismes de contrôle de la conformité doivent, en l’état, présenter deux demandes de notification distinctes : l’une au titre du règlement IA et l’autre au titre de la législation d’harmonisation correspondante. Une telle charge pèse lourdement sur ces organismes et pourrait, à terme, ralentir tant le contrôle de la conformité que la mise en service des systèmes concernés. C’est la raison pour laquelle la Commission propose d’instaurer une procédure unique de notification pour tous les organismes sollicitant une notification à la fois en vertu du présent règlement et de la législation d’harmonisation de l’Union visée à l’annexe I, section A du règlement IA (Omnibus IA, art. 1^er, pts 10 et 11).

Si ces modifications sont justifiées par une volonté de faciliter la mise en œuvre des dispositions du règlement, ce n’est pas le cas de toutes. À cet égard, la simplification de certaines mesures tend à se transformer en évolution des objectifs initialement poursuivis par le texte.

Une évolution redoutée ?

6. Le constat. La proposition de règlement modificatif dépasse le cadre d’une simplification. Certaines mesures laissent penser qu’elle ne cherche pas seulement à faciliter la mise en œuvre de dispositions complexes, mais tend également à réduire les exigences applicables aux acteurs et, par conséquent, le niveau de protection accordée. L’une d’elles attire particulièrement l’attention : la modification suggérée de l’article 4 du règlement IA. Conformément à ce dernier, « les fournisseurs [entités “[…] qui développe[nt] ou fait développer un système d’IA ou un modèle d’IA à usage général et le met sur le marché ou met le système d’IA en service sous son propre nom ou sa propre marque, à titre onéreux ou gratuit” (art. 3, pt 3) du règlement IA)] et les déployeurs [entités “utilisant sous sa propre autorité un système d’IA sauf lorsque ce système est utilisé dans le cadre d’une activité personnelle à caractère non professionnel” (art. 3, pt 4) du règlement IA)] de systèmes d’IA prennent des mesures pour garantir, dans toute la mesure du possible, un niveau suffisant de maîtrise de l’IA pour leur personnel et les autres personnes s’occupant du fonctionnement et de l’utilisation des systèmes d’IA pour leur compte ». De l’aveu même de la Commission, cette maîtrise est essentielle, notamment « pour prendre des décisions éclairées concernant le déploiement des systèmes d’IA » (Omnibus IA, consid. 5). Il est dès lors surprenant de constater que la Commission envisage de remplacer cette obligation horizontale par une incitation verticale par laquelle les États membres et cette même Commission sont désormais tenus d’encourager « individuellement, collectivement et en coopération avec les parties prenantes concernées les fournisseurs et les déployeurs à assurer un niveau suffisant de connaissances en matière d’IA à leur personnel et aux autres personnes chargées de l’exploitation et de l’utilisation de l’IA ». En guise de compensation, la proposition suggère une supervision très générale par le Conseil européen de l’intelligence artificielle, chargé d’« un échange récurrent entre la Commission et les États membres sur le sujet », ainsi que par l’Alliance pour l’application de l’intelligence artificielle qui, quant à elle, a pour rôle de « discuter avec la communauté au sens large ».

7. La critique. Cet exemple illustre l’évolution à l’œuvre. Pour justifier sa proposition, la Commission s’appuie sur les craintes exprimées par les parties prenantes face à une approche uniforme, jugée inadaptée à la diversité des prestataires en matière de promotion et de diffusion de la culture de l’intelligence artificielle. Quant à leur caractère contraignant, il inquiétait surtout les petites et moyennes entreprises (Omnibus IA, consid. 5). Pourtant, la Commission fait abstraction de cette nuance : la suppression de cette exigence est étendue à l’ensemble des acteurs. Dès lors que la modification ne vise pas à réduire la complexité d’une mesure, il ne saurait être question de simplification, mais d’un abaissement préjudiciable des exigences. Cette tendance se poursuivra-t-elle ? Seules les prochaines étapes législatives révéleront si ce règlement modificatif s’inscrit dans une véritable logique de simplification ou dans un glissement progressif vers un affaiblissement des standards.

par Claire Brunerie, Docteur en droit, Université Jean Moulin Lyon 3, EDIEC, UR 4185

© Lefebvre Dalloz