Omnibus sur l’IA : l’avis réservé du Comité européen de la protection des données et du Contrôleur européen de la protection des données sur la proposition de la Commission européenne
Saisi de la proposition « Omnibus IA » de la Commission européenne, le Comité européen de la protection des données et le Contrôleur européen de la protection des données accueillent favorablement l’objectif de simplification tout en alertant sur ses effets potentiels sur les droits fondamentaux.
Ils formulent des réserves marquées à propos du traitement de données sensibles, de l’allègement des obligations de documentation pour certains acteurs, de la suppression envisagée de l’enregistrement des systèmes à haut risque, du recul des exigences de compétences internes en IA et surtout du report de l’entrée en application du règlement, qu’ils jugent de nature à fragiliser la transparence, la responsabilité des fournisseurs et l’effectivité de la protection des données.
Contexte. La Commission européenne a proposé la modification du règlement (UE) 2024/1689 du Parlement européen et du Conseil du 13 juin 2024 établissant des règles harmonisées concernant l’intelligence artificielle (Règlement IA ou AI Act) avant même son entrée en vigueur. Sa proposition dite « Omnibus IA » s’ajoute à l’Omnibus numérique qui suggère d’importantes modifications du RGPD. Elle vise à simplifier la mise en œuvre de certaines règles harmonisées afin de garantir l’application effective de l’AI Act et suscite de nombreuses discussions (v. déjà, C. Brunerie, L’« Omnibus IA » est loin d’avoir épuisé les discussions, Dalloz actualité, 16 janv. 2026 ; adde, M. Clément-Fontaine, La rationalisation du droit numérique européen : le rapport parlementaire sur l’AI Act, prélude aux règlements Digital Omnibus et Omnibus IA, Dalloz actualité, 14 nov. 2025). Les positions du Parlement et du Conseil ne sont pas encore connues mais l’on sait déjà que Michael McNamara, le rapporteur au Parlement s’inquiète de l’influence qu’auraient exercée les entreprises étrangères sur la Commission, de telle sorte que Renate Nikolay, directrice générale adjointe de la DG Connect de la Commission, a jugé utile de préciser que l’agenda de simplification n’avait rien à voir avec le lobbying américain. Le trilogue à venir sera nécessairement guidé par les différentes réactions qu’aura suscité la proposition. Dans ce contexte, l’avis conjoint sur la proposition de la Commission européenne relative au « paquet numérique sur l’IA » du Comité européen de la protection des données (EDPB pour European data protection board) et du contrôleur européen de la protection (EDPS pour European data protection supervisor) publié le 21 janvier 2026 ne peut que retenir l’attention. Il se concentre sur les dispositions de l’Omnibus IA ayant des conséquences en matière de protection des données et rappelle que l’EDPB prépare avec la Commission des lignes directrices sur la mise en œuvre cohérente du RGPD et de l’AI Act.
Oui pour la simplification mais… La proposition Omnibus IA a été sur le principe bien accueillie en raison de la complexité du règlement mais le détail des propositions suscite un certain nombre de réserves (v. C. Brunerie, obs. préc.). Le Comité européen de la protection des données et le Contrôleur européen de la protection des données s’inscrivent dans ce mouvement. S’ils sont conscients de la complexité de la réglementation de l’IA et ne sont pas hostiles à la simplification, ils s’interrogent quant à ses conséquences sur la protection des droits fondamentaux et rappellent la nécessité de maintenir le principe de la responsabilité des fournisseurs de systèmes d’IA. En indiquant que l’AI Act a déjà été préparé avec le souci de minimiser les lourdeurs administratives et de concilier les différents intérêts, ils critiquent, de façon feutrée, la rapidité avec laquelle la Commission propose de modifier la balance des intérêts.
Favoriser l’innovation. L’avis conjoint salue la mise en place de bacs à sable réglementaires destinés à permettre l’expérimentation de systèmes d’IA dans un cadre sécurisé tout en préconisant la participation directe des autorités de protection des données pour superviser les traitements de données à caractère personnel réalisés au sein de ces environnements. Il précise que la détermination de l’autorité compétente pour connaître de ces bacs à sable instaurés à l’échelle européenne doit être clarifiée dans l’AI Act même et que l’EDPS doit être compétente pour les bacs à sable dédiés aux différentes entités de l’Union européenne (institutions, agences…). L’avis salue également l’instauration de procédures simplifiées pour encourager l’innovation. L’allègement des obligations en matière de documentation technique pour les petites « entreprises à moyenne capitalisation » (distinctes des petites et moyennes entreprises), principalement des entreprises innovantes susceptibles de souffrir particulièrement de la concurrence internationale, est discuté. L’EDPB et l’EDPS relèvent à juste titre que les dangers que font courir les systèmes à haut risque ne dépendent pas de la taille de l’entreprise qui les met sur le marché.
Traitement des données sensibles. Concernant la proposition visant à permettre de traiter certaines catégories particulières de données à caractère personnel sensibles (les données de santé, l’origine ethnique) dans tous les systèmes d’IA (alors que l’AI Act ne le permet que pour les systèmes à hauts risques) pour détecter et corriger les biais dans les modèles d’IA, l’EDPB et l’EDPS paraissent sur leur garde mais leur préconisation est floue. Ils suggèrent de préciser l’hypothèse et de n’autoriser le traitement que lorsque le risque d’effets préjudiciables liés au biais est jugé suffisamment grave. En tout état de cause, ils rappellent la compétence des Autorités de protection des données pour faire respecter les dispositions strictes du RGPD en matière de données sensibles.
Obligation d’enregistrement des systèmes d’IA à haut risque. L’avis condamne clairement la solution proposée par la Commission. L’obligation d’enregistrement doit être maintenue pour tous les systèmes listés à haut risque même lorsque les fournisseurs estiment que leurs systèmes ne présentent pas de haut risque. Cette obligation permet d’assurer un niveau de transparence élevé. Elle empêche les fournisseurs de s’auto-exempter et évite d’affadir la responsabilité des fournisseurs. Aux termes de l’avis, la suppression de cette obligation porterait atteinte au principe de responsabilité et réduirait la transparence du marché, créant ainsi un risque d’exemption indue.
Culture et compétences en matière d’IA. L’AI Act prévoit que le personnel des fournisseurs et déployeurs de systèmes d’IA doit avoir un niveau de connaissances suffisant en matière d’IA. La proposition Omnibus est bien en deçà : l’obligation ne pèserait plus sur les entreprises déployant les systèmes d’IA mais sur la Commission et les États membres qui doivent inciter à l’acquisition de ces connaissances sous le contrôle vague du Conseil européen de l’intelligence artificielle et de l’Alliance pour l’application de l’intelligence artificielle. Pour l’EDPB et l’EDPS, cette évolution n’est guère satisfaisante et ils suggèrent que les nouvelles obligations imposées à la Commission européenne ou aux États membres en matière de sensibilisation et de formation complètent, plutôt que se substituent aux obligations pesant sur les entités qui conçoivent, développent et utilisent ces systèmes.
Gouvernance. De nombreux passages de l’avis concernent le rôle respectif des autorités de contrôle. L’avis insiste sur la nécessité de délimiter clairement les compétences du Bureau de l’IA, afin d’éviter tout chevauchement avec la supervision indépendante exercée par l’EDPS sur les systèmes d’IA utilisés par les institutions, organes et organismes de l’Union. Il recommande de doter l’EDPB d’un rôle consultatif au sein du Conseil européen de l’intelligence artificielle (c’est en lien notamment avec le rôle qu’il entend jouer pour assurer la cohérence des pratiques en matière de données personnelles au sein des bacs à sable réglementaires).
Gouvernance et interrégulation. Dans leur avis conjoint, l’EDPB et l’EDPS approuvent l’instauration d’un point de contact central pour permettre la coopération entre les autorités de protection des données, le bureau de l’IA et les Autorités de surveillance du marché. Ce point de contact devrait faire le lien avec les fournisseurs et les déployeurs de systèmes d’IA. Toutefois l’avis précise que ce mécanisme ne doit en aucun cas priver les autorités de protection des données de leurs prérogatives.
Fortes réserves à l’égard du report de l’entrée en application de l’AI Act. Le règlement IA devait s’appliquer à compter du 2 août 2026 et certaines dispositions (dispositions générales et interdiction de certaines pratiques) faisaient l’objet d’une application anticipée. La Commission, notant que l’application effective du texte suppose des normes techniques encore en cours d’élaboration et craignant que soient développés des systèmes dont la conformité serait remise en cause, suggérait un mécanisme liant l’entrée en application du règlement à l’adoption des normes et lignes directrices précisant ses dispositions. Deux dates butoirs étaient fixées : 2 décembre 2027 pour les systèmes d’IA classés à haut risque en raison de leur domaine d’utilisation et 2 août 2028 pour les systèmes d’IA classés à haut risque relatifs à des produits relevant de la législation européenne harmonisée. Ce report est perçu de façon critique. L’EDPB et l’EDPS considèrent que certaines obligations, notamment celles liées à la transparence, doivent s’appliquer comme il était initialement prévu. Ils invitent en outre à limiter les reports le plus possible. Ils rappellent que les systèmes d’IA existants n’entrent pas dans le champ d’application de l’AI Act de telle sorte que plus l’entrée en application de l’AI Act sera tardive, plus nombreux seront les systèmes d’IA qui se seront développés sans avoir eu à se plier aux exigences du droit de l’Union. Une façon de dire qu’il n’y a pas de temps à perdre…
par Fabienne Jault-Seseke, Professeur à l’Université de Paris-Saclay (UVSQ), Dante, IUF
© Lefebvre Dalloz