Omnibus IA: quel impact sur votre feuille de route de mise en conformité à l'AI Act?
- Anne-Namalie L'HÔTE
- 5 déc. 2025
- 6 min de lecture
La Commission européenne a rendu publique le 19 novembre 2025 une réforme visant à simplifier le droit du numérique. Nous en décryptons ci-dessous, les grandes lignes et les enjeux pour votre entreprise, ainsi que les impacts sur les droits fondamentaux.
Rappel du contexte
Le Règlement sur l’intelligence artificielle ou "AI Act" est entré en vigueur dans l’Union Européenne, le 1er août 2024, avec une mise en application progressive jusqu’en 2030.
Ce Règlement constitue la première règlementation à l’échelle internationale qui propose un cadre juridique transversal, avec pour objectif de soutenir les innovations, tout en limitant les risques liés à l’intelligence artificielle.
A l’instar du RGPD, la Commission a élaboré une règlementation qui reflète les valeurs de l’Union Européenne, dans l’optique de protéger les utilisateurs situés dans l'Union mais également d’exporter ces valeurs au-delà des frontières européennes.
Ce cadre juridique solide et complet a cependant emporté la critique de la part de nombreux opérateurs français ou géants américains de la tech, qui le jugent trop complexe et incertain.
Le 3 juillet 2025, 48 entreprises européennes dont BNP Paribas, Axa, Airbus, Carrefour, EDF, Siemens, TotalEnergies ou Mistral AI ont ainsi publié une lettre ouverte[1] adressée à la Commission européenne, sollicitant un moratoire de deux ans (« clock-stop ») pour la mise en œuvre de l’AI Act.
Le rapport Draghi[2] de 2024 avait souligné par ailleurs, l’impact négatif de la règlementation numérique sur la compétitivité de l’Union Européenne, en raison des charges administratives et incohérences règlementaires. Ce cadre juridique entraverait le développement des start-ups européennes. La Commission a donc décidé d’entreprendre un effort de simplification de la règlementation sur la période 2024-2029.
Après avoir organisé diverses consultations publiques dès avril 2025, elle a élaboré deux propositions de règlement, divulguées le 19 novembre dernier. La première proposition de règlement porte sur l’IA et la seconde sur le numérique.
Cette réforme vise, selon la Commission, à établir un équilibre entre le développement de l’économie numérique de l’Europe, tout en préservant les droits fondamentaux.
En parallèle, les travaux de simplification se poursuivent avec le Digital Fitness Check[3], une évaluation menée par la Commission européenne, afin de déterminer si la législation actuelle de l’UE en matière de protection des consommateurs est toujours adaptée à l’environnement numérique.
Concernant spécifiquement l’IA, voici les principales modifications annoncées :
Quel impact sur votre feuille de route de mise en conformité à l'AI Act?
2.1 Un calendrier de mise en œuvre ajusté
a) Des délais jugés trop stricts
Aux termes de la lettre ouverte adressée à l’Union Européenne, les acteurs exigeaient un délai raisonnable pour la mise en œuvre de la règlementation.
Lors des discussions avec la Commission, les entreprises mettaient en avant notamment, le fait que les normes harmonisées qui devaient être édictées par le CEN et le CENELEC ne seraient pas disponibles avant mi-2026 et que le Code de bonne conduite pour les modèles d’IA à usage général n'était pas encore communiqué. Ils plaidaient pour un délai suffisant, permettant à la fois de prendre connaissance des règles et de les appliquer correctement.
Le code de bonnes pratiques a finalement été publié par la Commission le 10 juillet 2025, avant l’entrée en vigueur des règles applicables aux modèles d’IA à usage général, le 02 août 2025. Les lignes directrices sur la portée des obligations pour les fournisseurs de modèles d'IA à usage général (GPAI) ont été diffusées le 18 juillet 2025.
b) Un allongement des délais et une approche plus pédagogique
La Commission a accepté de repousser la mise en application des obligations sur les systèmes d'IA à haut risque à la disponibilité des normes harmonisées et autres outils d'aide à la mise en œuvre du Règlement. Toutefois, le délai accordé n'est pas illimité.
Selon le nouveau calendrier, les dispositions sur les systèmes d'IA à haut risque entreront en vigueur :
pour les Systèmes d'IA de l'Annexe III: IA dans les domaines critiques: justice, emploi, éducation, services essentiels, etc.: 6 mois après l'adoption d'une décision de la Commission affirmant que les mesures de soutien sont disponibles ou à défaut de décision, au plus tard, le 02 décembre 2027 au lieu du 02 août 2026.
pour les Systèmes d'IA de l'Annexe I : IA ou composant de sécurité de système d'IA faisant d'ores et déjà légalement l'objet d'une procédure de mise en conformité : 12 mois après l'adoption de la décision de la Commission confirmant que les outils de support sont disponibles, ou à défaut, au plus tard, le 02 août 2028, au lieu du 02 août 2027.
2.2 Mesures favorables pour les "small mid-caps"
Le Règlement sur l’IA prévoyait certaines simplifications pour les PME. Ces simplifications sont étendues aux petites entreprises de taille intermédiaire (« small mid-caps[4] »), notamment en ce qui concerne les exigences en matière de documentation technique et les règles en matière de sanction.
La Commission souligne que ces entreprises de taille intermédiaire jouent un rôle important en matière d’innovation tout en endurant de la même manière que les PME, la lourdeur administrative.
2.3 Flexibilité accrue
Le Règlement offre plus de flexibilité aux entreprises, en restreignant le recours aux actes d'exécution de la Commission. Cette dernière propose par exemple, de supprimer l’exigence d’un plan de surveillance harmonisé après la mise sur le marché du système d'IA à haut risque.
Il est en effet prévu que la Commission n'impose pas le respect strict d'un modèle de surveillance des systèmes d'IA à haut risque, après leur commercialisation. A la place, elle formulera des lignes directrices relatives à ce plan de surveillance. Les fournisseurs pourront mettre en place un système de surveillance adapté à leur organisation.
2.4 Faciliter la conformité au RGPD pour lutter contre les biais
L’omnibus suggère de faciliter le traitement des catégories particulières de données, en vue de détecter ou corriger des biais, pour tous les modèles et systèmes d'IA, sous réserve de mettre en œuvre les garanties appropriées. Cette faculté serait ouverte désormais tant aux déployeurs qu'aux fournisseurs.
Par exemple, l'origine raciale ou ethnique, les opinions politiques, philosophiques, syndicales, constituent des catégories particulières de données dont le traitement serait autorisé de manière plus large, selon cette réforme, tant par les concepteurs de systèmes ou modèles d'IA (les fournisseurs) que les utilisateurs professionnels (déployeurs) pour vérifier l'absence de biais ou les corriger.
Cette possibilité n'était prévue à présent, par l'AI Act, que pour les fournisseurs d'IA à haut risque.
2.5 Renforcement des pouvoirs du Bureau de l'IA
Le paquet confie au Bureau de l’IA une autorité de surveillance exclusive sur les systèmes d'IA fondés sur des modèles d’IA à usage général dont le modèle et le système d'IA ont été développés par le même fournisseur, afin de centraliser l’application des règles. Cette surveillance ne s'applique pas aux produits listés à l'Annexe I du Règlement.
Le Bureau de l'IA est également chargé de la surveillance de l'IA intégrée aux très grandes plateformes en ligne et moteurs de recherche afin d'assurer une cohérence avec les contrôles exercés par la Commission, dans le cadre du DSA.
2.6 Soutien à l'innovation
La proposition de règlement prévoit la création d'un bac à sable européen, à l'horizon de 2028, sous le contrôle du Bureau de l'IA.
Elle simplifie également le recours aux essais en conditions réelles.
L'objectif consiste à alléger les procédures, diminuer les coûts pour les essais transfrontaliers, permettre une meilleure coordination et soutenir l'innovation.
***
Ces propositions doivent encore être adoptées par le Parlement européen et le Conseil.
Certains opérateurs saluent l'assouplissement des obligations et le report des délais d'application des règles. Mais les défenseurs des droits fondamentaux et ONG s'inquiètent et redoutent un affaiblissement des droits.
***
Toutes ces mesures ont donc pour ambition:
de diminuer la charge administrative liée à la mise en œuvre du Règlement et les coûts: la simplification règlementaire pour les "mid-caps" bénéficierait à 8.250 entreprises, d'après la Commission.
d'accompagner et stimuler l'innovation,
tout en sécurisant le respect des droits fondamentaux.
Attention: ces assouplissements ne signifient pas que l'IA n'est plus règlementée ou qu'il faille attendre la publication des normes harmonisées pour se mettre en conformité. Il est important d'anticiper et de commencer à:
cartographier et classifier vos systèmes et modèles d'IA
analyser votre rôle par rapport à l'utilisation de ces IA, au regard de l'AI Act: êtes-vous fournisseur, déployeur, etc.?
identifier vos obligations juridiques fondées sur l'AI Act et d'autres règlementations applicables (RGPD, DSA, règlementation sectorielle, etc.)
revoir et rédiger votre documentation contractuelle et technique.
Les dispositions sur les IA inacceptables sont entrées en application le 02 février 2025 et celles relatives aux modèles d'IA à usage général, le 02 août 2025.
***
ANL Avocat vous assiste dans vos projets numériques et éthiques.
Anne-Namalie L'HÔTE pratique le droit du numérique depuis plus de 15 ans. Elle accompagne ses clients en droit du numérique de diverses manières: formations, ateliers de sensibilisation, conseils juridiques, audits. Vous pouvez prendre un rendez-vous pour obtenir un premier diagnostic de vos besoins, en cliquant ici.
[4]https://ec.europa.eu/commission/presscorner/api/files/attachment/881208/Factsheet%20-%20Small%20mid-caps.pdf: entreprises qui occupent moins de 750 personnes et dont le chiffre d'affaires annuel n'excède pas 150.000.000 EUR ou dont le total du bilan annuel n'excède pas 129.000.000 EUR.
