Bacs à sable réglementaire : un Bureau de l’IA despote ou nœud du réseau de la régulation ?, Morgan Sweeney

Le règlement européen n° 2024/1689 du 13 juin 2024 établissant des règles harmonisées concernant l’intelligence artificielle (RIA) visait à trouver un équilibre entre, d’un côté, l’innovation et, de l’autre, un haut niveau de protection de la santé, de la sécurité et des droits fondamentaux, afin de « faire en sorte que l’IA soit digne de confiance et sûre » (cons. 3 du RIA). L’initiative de la Commission européenne du 19 novembre 2025 de réforme de simplification du RIA (train de mesures « Digital Omnibus » sur l’IA), pour ce qui concerne les bacs à sable réglementaires, est nettement plus tournée vers l’innovation et l’accès au marché.

Un bac à sable réglementaire est un « cadre contrôlé mis en place par une autorité compétente qui offre aux fournisseurs ou fournisseurs potentiels de systèmes d’IA la possibilité de développer, d’entraîner, de valider et de tester, lorsqu’il y a lieu en conditions réelles, un système d’IA innovant, selon un plan du bac à sable pour une durée limitée sous surveillance réglementaire » (article 3, point 55 RIA). Mis en place et contrôlés principalement par les autorités nationales de contrôle, et à l’avenir par le Bureau de l’IA de la Commission, ces bacs à sable permettent de tester systèmes ou modèles d’IA à usage général avant leur mise sur le marché européen. La participation reste facultative, mais ces dispositifs sont devenus un instrument central de la régulation et un lieu structurant de dialogue entre entreprises et autorités. ( pour plus de détails votre notre chapitre Morgan Sweeney. Les bacs à sable réglementaires : disruption ou transgression de la régulation de l’IA ?. Le règlement européen sur l’IA et au-delà : Quelle régulation de l’IA ?, Bruylant Larcier, pp.85-110, 2025)

L’ambition affichée de la Commission est d’élargir « la base des mesures de conformité afin qu’un plus grand nombre d’innovateurs puisse utiliser des bacs à sable réglementaires, y compris un bac à sable à l’échelle de l’UE à partir de 2028 et davantage d’essais en conditions réelles, en particulier dans les industries de base telles que l’automobile ». Plus spécifiquement, le problème des entreprises est la multiplicité des autorités, au niveau national comme européen, auprès desquels se présenter, chacune pouvant être dotée de son propre bac à sable. Le souci de simplification passe alors par une concentration des procédures de test, idéalement dans un seul bac à sable. Cette simplification se heurte alors non seulement à la souveraineté nationale et à la logique décentralisatrice du RIA, mais également au respect des compétences des autorités sectorielles. De l’initiative de la Commission, en passant par le Conseil jusqu’aux amendements du Parlement européen, il fallait trouver un point d’équilibre entre simplification, qui incite à la centralisation face à un interlocuteur unique, et le respect des compétences respectives des autorités nationales et/ou sectorielles, qui encourage au contraire à une logique réticulaire. La proposition Omnibus fait ainsi évoluer le cadre dans deux directions : une meilleure articulation entre essais en conditions réelles et bacs à sable (I) et une centralisation renforcée au niveau européen (II).

I. Sortir du bac à sable : l’extension des essais en conditions réelles

Le RIA distingue les bacs à sable réglementaires des « essais en conditions réelles », qui permettent de mettre à l’épreuve un système d’IA en dehors d’un laboratoire ou environnement simulé, « visant à recueillir des données fiables et solides et à évaluer et vérifier la conformité du système d’IA » (article 3, point 57 RIA). Le bac à sable suppose un environnement maîtrisé par l’autorité de contrôle – un laboratoire juridique et technique – tandis que l’essai en conditions réelles se déploie dans le monde réel, exposant davantage les utilisateurs. Le premier offre donc une meilleure maîtrise des risques, quand le second confronte véritablement l’IA à la complexité du réel. Dans les deux cas, un plan doit être adopté entre fournisseur et autorité, définissant objectifs, méthodologie et suivi.

Compte tenu des risques inhérents, les essais en conditions réelles étaient initialement cantonnés aux systèmes d’IA à haut risque de l’annexe III du RIA (infrastructures critiques, éducation, emploi, gestion de la main-d’œuvre, etc.). La proposition Omnibus vise à ne plus se fonder sur une dichotomie aussi tranchée entre bac à sable et test en conditions réelles, mais vise à mieux les combiner, voire à les intégrer dans un même processus. Ce faisant, la proposition étend ces essais aux systèmes couverts par l’annexe I, c’est‑à‑dire ceux intégrés comme composants de sécurité de produits relevant d’une législation sectorielle (jouets, aviation civile, dispositifs relevant de la sécurité des produits), en distinguant ceux relevant de la section A ou B.

Les SIA de la section A regroupent les systèmes couverts par la législation horizontale de sécurité des produits, avec notamment marquage CE. Pour ces systèmes, le régime des essais en conditions réelles est aligné sur celui des systèmes à haut risque de l’annexe III : approbation du plan d’essai par l’autorité de contrôle, supervision et possibilité de suspension en cas de risques excessifs.

Les SIA de la section B visent principalement les systèmes embarqués dans des véhicules (avions, trains, automobiles, etc.). Initialement, la proposition de la Commission visait un « accord volontaire… conclu par écrit entre les États membres intéressés et la Commission » afin de donner accès aux infrastructures publiques physiques. Le Conseil, dans sa proposition du 10 mars 2026, a abrogé l’idée d’accord, pour imposer le respect d’un cadre réglementaire fixé unilatéralement par les États membres. En pratique, l’expérimentation de véhicules autonomes ou hautement automatisés nécessite une autorisation temporaire d’accès à l’espace public par les États membres obtenue au travers d’un plan approuvé par l’autorité nationale compétente. La proposition du Conseil préserve la souveraineté des États membres sur leurs infrastructures.

L’objectif global de cette extension est d’améliorer l’articulation des différents régimes d’essai : permettre de combiner bac à sable réglementaire et essais en conditions réelles, éventuellement dans un plan unique, et mieux coordonner les autorités en charge des SIA avec les autorités sectorielles de marché. L’objectif est de faciliter la transition d’un type de test à l’autre – comme on fluidifierait la circulation sur un réseau. Néanmoins, cela implique une certaine harmonisation de la méthodologie, des bonnes pratiques et des exigences de suivi, ce qui renforce de facto la centralisation de la standardisation technique et procédurale, définie au premier chef par le Bureau de l’IA.

2. Centralisation au niveau européen

Le second volet de la proposition porte sur la réorganisation institutionnelle autour des bacs à sable réglementaires. L’articulation se joue à la fois entre autorités nationales et Bureau de l’IA de la Commission, et entre ce Bureau et les autorités de marché sectorielles. Matériellement, deux modèles sont possibles : soit un bac à sable « parapluie » est mis en place pour accueillir l’ensemble des essais dans un environnement unique (logique centripète), soit une coopération entre autorités de contrôle est définie au cas par cas, chaque projet donnant lieu à une négociation sur l’autorité d’accueil et les conditions d’essai (logique réticulaire).

Dans le cadre actuel, les problématiques transfrontières sont traitées par les autorités nationales, qui coopèrent entre elles au sein du Comité européen sur l’IA, avec l’appui du Bureau de l’IA si nécessaire. Le principe directeur est celui d’une décentralisation coordonnée, respectueuse des souverainetés nationales. Ce qui est d’ailleurs rappelé dans la proposition du Conseil du 10 mars 2026, notamment en posant l’obligation aux autorités nationales de régulation de l’IA de se doter d’un bac à sable d’ici le 2 décembre 2027. Ce qui, toutefois, tend à favoriser un modèle de bac à sable parapluie au niveau national, marginalisant les autorités sectorielles face aux autorités en charge de l’IA.

La Commission propose de mettre en place un modèle parapluie pour les modèles d’IA à usage général et les systèmes des très grandes plateformes, au nom de l’harmonisation des pratiques de contrôle et de la simplification pour les fournisseurs, qui bénéficieraient d’un guichet unique. Le premier bac à sable de l’UE, opéré par le Bureau de l’IA, devrait être opérationnel en 2028 selon les documents budgétaires et d’impact accompagnant la proposition. Cela pourrait modifier sensiblement les équilibres institutionnels. Il s’agit d’aligner l’échelle de la régulation sur celle de systèmes intrinsèquement transeuropéens.

Cette logique centralisatrice est amplifiée par la proposition du Conseil du 10 mars 2026, qui élargi le domaine du bac à sable européen aux SIA de l’Annexe I [IA à Haut risque] et III – point (2) [Infrastructures critiques] et (8) [Administration de la justice et processus démocratiques] – ainsi qu’aux autorités répressives, douanières et aux institutions financières. Ce qui étend largement le champ de compétences exclusif du Bureau de l’IA et renforce l’importance de son bac à sable réglementaire.

Ce bac à sable européen doit néanmoins fonctionner en étroite coopération avec les autorités nationales et/ou sectorielles, mais son pilotage matériel et technique revient au Bureau de l’IA. Ces autres autorités sont invitées à contribuer à la définition des modalités d’essai au regard des réglementations dont elles assurent la supervision. Le Parlement européen, dans ses amendements adoptés le 26 mars 2026, fait passer cette relation de coopération à une relation « d’association », plus poussée. L’amendement 49 insiste en particulier sur l’implication des autorités nationales et européennes de protections des données qui doivent être « associées à l’exploitation du bac à sable réglementaire de l’IA établi au niveau de l’Union et participent au contrôle ». Cette relation « d’association », qui vise une relation réticulaire plus intégrée, sera néanmoins mise à l’épreuve de l’asymétrie générée par la maîtrise matérielle et technique du Bureau de l’IA sur son propre bac à sable. Cet avantage structurel lui permet d’orienter les priorités du test, les méthodologies et, potentiellement, l’interprétation dans les exigences de conformité. En somme, la relation « d’association » voulue par le Parlement européen dépendra des bonnes dispositions du Bureau de l’IA à l’égard des autres autorités concernées.

La centralisation envisagée pourrait sembler neutre si le Bureau de l’IA était une véritable autorité indépendante. Or, la sensibilité des institutions européennes aux intérêts des « jeunes pousses » et des PME laisse apparaître une forte sensibilité aux intérêts industriels et une priorité donnée à la réduction des charges de conformité et à l’accélération dans l’accès au marché. Dans un contexte où les bacs à sable deviennent un passage privilégié pour la mise au point et la validation des systèmes d’IA les plus puissants, le risque est que l’équilibre du RIA se déplace : de l’objectif initial de protection élevée de la santé, de la sécurité et des droits fondamentaux vers une préférence marquée pour la compétitivité et l’innovation.

Ainsi, derrière l’image rassurante du « bac à sable », se dessine une potentielle modification des équilibres institutionnels : celle d’un espace européen d’expérimentation fortement centralisé, structuré autour du Bureau de l’IA, où la logique de marché pourrait progressivement prendre le pas sur la logique de protection.

Morgan Sweeney, est Maître de Conférences en droit à l’Université de Paris-Dauphine.

Re (lire) l’ensemble des posts de cet e-conférence