e-conférence omnibus numériques, Posts, Ressources pour chercheurs en droit

Le Digital Omnibus et l’allègement de l’AI Act : Simplification régulatoires au détriment des Droits Fondamentaux ?, Part 2, Nidal Askar

Dans la première partie nous avons démontré que les simplifications réglementaires introduites par l’AI Omnibus au service de la compétitivité, traduisent déjà un infléchissement du cadre normatif de l’Union, susceptible d’affecter le niveau de protection initialement envisagé. Dans cette deuxième partie, nous nous concentrerons sur l’allègement du régime applicable aux GPAI et aux systèmes d’IA générative et l’affaiblissement des garanties liées aux droits fondamentaux.

1. GPAI et IA générative : la régulation en mode “allégé”

La proposition supprime les habilitations de la Commission prévues aux articles 50 et 56 du RIA aux codes de bonnes pratiques applicables aux modèles d’IA à usage général ainsi qu’à certaines obligations de transparence, limitant ainsi sa capacité à leur conférer une validité générale dans l’Union. Elle renforce également dans le cadre de l’article 75, le rôle du Bureau de l’IA en matière de surveillance, en plaçant sous la supervision de celui-ci l’ensemble des systèmes fondés sur un même modèle d’IA à usage général développé par un fournisseur. Cependant le compromis du Conseil de l’UE introduit une exclusion pour les systèmes visés au point (2) de l’annexe III relatifs aux infrastructures critiques et prévoit également l’assistance des autorités nationales, y compris des autorités chargées de l’exécution telles que la police. Le compromis du 9 mars 2026 introduit également une modification significative à l’article 50, en étendant la référence du paragraphe 7 au paragraphe 4. Les codes de bonne pratique peuvent désormais être mobilisés pour les déployeurs aussi. Cette extension confère ainsi aux instruments de soft law une influence accrue sur la mise en œuvre concrète des exigences de transparence. Elle soulève toutefois des interrogations quant à l’effectivité de la protection des droits fondamentaux, dans la mesure où ces instruments, dépourvus de force contraignante, peuvent conduire à des modalités d’application hétérogènes des exigences de transparence. Heureusement, le Parlement européen a modifié la référence aux paragraphes 2 et 4, en supprimant celle relative au paragraphe 4. Le compromis du Conseil du 9 mars 2026 apporte toutefois une évolution complémentaire, en renforçant, dans certains cas — notamment pour les systèmes fondés sur des modèles d’IA à usage général et ceux intégrés dans des très grandes plateformes en ligne — le rôle de la Commission en matière de supervision. Ce renforcement s’accompagne néanmoins d’un encadrement plus précis de ses compétences, notamment par l’introduction de limites matérielles et le renforcement du rôle des autorités nationales, traduisant ainsi une logique de rééquilibrage dans l’exercice des pouvoirs de supervision.

En revanche, le Parlement opère un transfert de compétence en confiant à la Commission, et non plus au Bureau de l’IA, la mission d’encourager et de faciliter l’élaboration des codes de bonne pratique. Le Parlement renforce sensiblement le mécanisme en remplaçant le pouvoir discrétionnaire de la Commission (« may assess ») par une obligation (« shall assess»), imposant ainsi un contrôle systématique de l’adéquation des codes de bonne pratique. Le transfert de compétence vers la Commission peut renforcer la cohérence et l’uniformité de la protection des droits fondamentaux au sein de l’Union, en assurant un contrôle plus centralisé des mécanismes de mise en œuvre. Toutefois, cette évolution n’est pas exempte de risques, dans la mesure où elle peut marginaliser l’expertise technique du Bureau de l’IA et maintenir une dépendance à des instruments de soft law, susceptibles d’offrir des garanties moins robustes en matière de protection des droits.

Concernant les systèmes d’IA générative, le texte introduit des ajustements procéduraux, notamment une période transitoire de six mois, jusqu’au 2 février 2027 pour les systèmes déjà mis sur le marché avant le 2 août 2026, différant ainsi l’application d’obligations essentielles, en particulier en matière de transparence. Le texte du Parlement toutefois la réduit à 3 mois.

Présentées comme des mesures de rationalisation, ces évolutions traduisent une approche plus souple de la régulation des modèles d’IA à usage général et des systèmes d’IA générative soulevant des interrogations quant à leurs effets sur l’harmonisation, la sécurité juridique et la protection des droits et libertés fondamentales.

2. L’affaiblissement des garanties liées aux droits fondamentaux

Une extension moins rigoureuse de l’exploitation des données sensible

Le texte actuel de l’article 10 (5) du RIA fait référence au traitement des données sensibles qui est « strictement nécessaire » pour détecter et corriger les biais. La nouvelle disposition de la proposition à l’article 4 bis (1) se réfère uniquement à ce qui est « nécessaire »,tandis que le nouvel article 4 bis (2), fait référence à un traitement « nécessaire et proportionné ». La proposition étend le champ d’application de l’article 10(5) du RIA et rend désormais applicable pour tous les fournisseurs et déployeurs de systèmes et modèles d’IA le traitement de catégories particulières de données à caractère personnel afin de détecter et de corriger les biais ce qui soulève des préoccupations sérieuses au regard du droit au respect de la vie privée. En outre, la substitution du critère de « strictement nécessaire » par celui de « nécessaire » marque un assouplissement significatif du seuil juridique applicable au traitement des catégories particulières de données. Ce glissement terminologique, en apparence technique, élargit en réalité la marge d’appréciation des acteurs et affaiblit le niveau d’exigence associé à l’usage de données sensibles. La mesure reflète ainsi une tension persistante entre lutte contre les biais et protection des données. Le compromis du Conseil introduit des modifications au traitement des données sensibles en encadrant cette possibilité avec les termes «  pour des motifs d’intérêt public substantiel », « exceptionnellement », « lorsque cela s’avère strictement nécessaire ». Le texte souligne en effet que les circonstances exceptionnelles justifiant le recours à cette base juridique devraient, en pratique, se présenter moins fréquemment en raison des risques moindres que présenteraient ces systèmes. Une telle affirmation repose toutefois davantage sur une présomption normative liée à l’approche fondée sur le risque du règlement que sur une réalité empirique clairement établie. En effet, la nécessité de recourir à des données sensibles pour détecter ou corriger des biais ne dépend pas nécessairement de la classification du système d’IA comme « à haut risque », mais plutôt de la nature des données et du contexte d’utilisation du système.

Le compromis du Conseil datant du 9 mars 2026 précise l’exemple des biais dans les systèmes d’éligibilité ou de notation du risque, utilisés pour l’accès à des services publics ou à des autorisations administratives. Cela illustre les conséquences potentiellement graves des biais algorithmiques en termes de discrimination et d’exclusion. En mettant en avant des situations à fort impact sur les droits fondamentaux, le législateur entend justifier le recours au traitement de catégories particulières de données au nom de l’intérêt public substantiel. Toutefois, une telle démonstration repose sur une généralisation discutable : ces exemples, bien que pertinents, ne sauraient couvrir l’ensemble des systèmes d’IA et contribuent davantage à légitimer l’extension envisagée qu’à en définir les limites juridiques.

En mobilisant des exemples de discrimination pour justifier cette extension, le législateur opère ainsi un glissement normatif, en faisant de la lutte contre les biais un objectif susceptible de primer, en pratique, sur les exigences de protection des données. Une telle approche révèle une tension fondamentale entre deux exigences du droit de l’Union : la lutte contre les discriminations (article 21 de la Charte) et la protection des données personnelles (articles 7 et 8). Si la première constitue un objectif légitime, elle ne saurait justifier, à elle seule, une extension générale du traitement des catégories particulières de données. À défaut d’une véritable mise en balance conforme au principe de proportionnalité, un tel raisonnement risque de déséquilibrer la hiérarchie des droits fondamentaux. Or, selon la jurisprudence de la Cour de justice de l’UE, toute ingérence dans ces droits doit être strictement nécessaire et proportionnée, impliquant notamment l’examen de mesures moins attentatoires.

Le Parlement européen a adopté la même position que le dernier compromis du Conseil en supprimant l’exemple donné. En définitive, l’extension de cette dérogation a l’ensemble des fournisseurs et des deployeurs des modèles et systèmes d’IA indépendamment de leur niveau de risque est susceptible d’entraîner un affaiblissement des garanties en matière de protection des données.

De la protection des droits à la logique des produits avec des codes techniques

La modification introduit une structuration technique du régime de désignation des organismes notifiés, en subordonnant les demandes à un système de codification et de catégorisation des systèmes d’IA désormais fixé à l’annexe XIV et susceptible d’adaptation par la Commission. Ce système détermine les catégories de systèmes pour lesquelles les organismes notifiés peuvent être désignés. La Commission se voit toutefois reconnaître la faculté d’adapter ces codes et catégories afin de tenir compte des évolutions technologiques. Or, de telles modifications techniques ne sont pas neutres : en modifiant les catégories pertinentes, elles peuvent influencer le périmètre du contrôle exercé sur certains systèmes d’IA, y compris ceux susceptibles d’affecter les droits fondamentaux.

Une marginalisation institutionnelle des autorités de protection des droits fondamentaux

Avec la modification de l’article 77 du RIA, ces autorités ne peuvent plus demander directement des informations aux fournisseurs et aux déployeurs, mais doivent passer par l’autorité de surveillance du marché désignée comme point d’entrée unique. Si ce mécanisme peut renforcer la coordination administrative, il risque de rendre plus indirect l’exercice du contrôle en matière de droits fondamentaux. La perte d’autonomie des autorités concernées pourrait instaurer une hiérarchie institutionnelle problématique et affaiblir leurs pouvoirs, alors même que leur indépendance constitue un principe essentiel du droit européen.

Le compromis du Conseil de l’UE, a introduit une clarification visant à préciser que le mécanisme de coopération avec les autorités de surveillance du marché n’affecte pas les compétences propres des autorités de protection des droits fondamentaux, lesquelles conservent la possibilité de demander directement des informations aux opérateurs dans le cadre de leur mandat. Cette clarification n’élimine toutefois pas entièrement le risque d’une centralisation progressive de la supervision autour des autorités de surveillance du marché, susceptible de modifier l’équilibre institutionnel initialement envisagé par le règlement. Par ailleurs, cette double logique peut apparaître paradoxale : alors même que le règlement cherche à structurer la coopération autour des autorités de surveillance du marché, il réaffirme simultanément l’autonomie informationnelle des autorités sectorielles.

La version de l’article 77 du dernier compromis du Conseil de l’UE datant du 9 mars 2026 même si elle reconnait l’existence de risques spécifiques des systèmes d’IA pour les droits fondamentaux, la référence explicite aux principes de complémentarité et de proportionnalité traduit une approche orientée vers la préservation de l’équilibre du marché, visant à encadrer les risques sans imposer de contraintes excessives aux opérateurs économiques. Le Parlement européen a adopté la même position normative que le dernier compromis du Conseil de l’UE.

Nidal Askar, Doctorante en droit européen de l’Université de Strasbourg, rattachée au centre d’études internationales et européennes (CEIE) et a travaillé au sein du Conseil de l’Europe. Ses recherches portent sur  la régulation de l’IA  et la protection des données personnelles au niveau européen.  Elle a publié des travaux dans ce domaine et le dernier a été publié par   European Yearbook on Human Rights 2025 qui porte sur « Le droit a l’oubli à l’ère de l’IA ». Ancienne du Collège d’Europe où elle a fait son master en droit européen, Avocate au Barreau d’Istanbul

Pour (re)lire l‘ensemble de nos posts de cette e-conférence sur les omnibus numériques

Laisser un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur la façon dont les données de vos commentaires sont traitées.