L’annonce de la Commission européenne du 19 novembre 2025 concernant le fait que l’UE reporte les règles sur l’IA à haut risque a eu des répercussions dans l’industrie, la société civile et les cercles politiques. Dans le cadre d’un soi-disant « Digital Omnibus », Bruxelles propose des amendements ciblés à plusieurs grandes lois technologiques, dont l’AI Act, le RGPD, l’e‑Privacy et le Data Act, présentés comme des mesures visant à simplifier les obligations et à réduire les charges administratives pour les entreprises.
Le paquet prévoit que les entreprises « n’auront à appliquer les règles pour les systèmes d’IA à haut risque que lorsque les outils de soutien et les normes nécessaires seront en place », offrant ainsi à certains fournisseurs jusqu’à 16 mois supplémentaires pour se conformer à certaines obligations. Cette mesure est présentée comme un alignement pragmatique des règles sur la capacité de mise en œuvre, mais elle a également intensifié le débat sur l’ambition réglementaire et les garanties pour les droits et la sécurité.
Ce que propose le Digital Omnibus
Le Digital Omnibus de la Commission, publié le 19 novembre 2025, regroupe une série d’amendements ciblés visant à rationaliser la conformité à travers des règles numériques qui se chevauchent. Les responsables affirment que ces changements faciliteront l’adoption de processus communs par les entreprises, réduiront les charges administratives et accéléreront le déploiement des services numériques dans l’ensemble du bloc.
Parmi les mesures concrètes, la Commission estime que les économies administratives pourraient atteindre 5 milliards d’euros d’ici 2029. Elle met également en avant des gains potentiels d’efficacité grâce aux Portefeuilles d’Affaires Européens, qui, selon elle, pourraient générer jusqu’à 150 milliards d’euros d’économies par an en simplifiant la gestion de l’identité et des données pour les entreprises et les citoyens.
Point crucial pour les fournisseurs d’IA, le paquet signale un report de certaines obligations à haut risque jusqu’à ce que des normes harmonisées, des orientations et des infrastructures d’évaluation de la conformité soient prêtes. L’objectif est d’éviter des lacunes dans l’application et une insécurité juridique coûteuse pour les entreprises cherchant à se conformer sans disposer d’outils pratiques.
Périmètre et calendrier du report
Selon les reportages de Reuters et les documents de la Commission, l’omnibus reporterait les règles plus strictes de l’UE pour les usages « à haut risque » de l’IA, tels que l’identification biométrique, la notation de CV et d’examens, les services de santé, l’évaluation de la solvabilité, l’application de la loi, la gestion du trafic routier et les services publics, d’août 2026 à décembre 2027. L’effet est de suspendre le calendrier initial prévu dans le plan d’application progressive de l’AI Act.
La Commission présente cela comme un sursis ciblé et temporaire : les entreprises disposeraient de temps supplémentaire pour remplir leurs obligations pendant que les organismes de normalisation et d’évaluation de la conformité achèvent leur travail technique. Les responsables insistent sur le fait qu’il s’agit de simplification et non d’un affaiblissement des règles, avec ce mantra communiqué aux journalistes : « Simplifier n’est pas déréguler ».
Néanmoins, ce report soulève des questions pratiques sur la capacité d’application au niveau national. Les États membres doivent encore mettre en place ou renforcer leurs structures de contrôle, et la formalisation des normes harmonisées par des organismes tels que le CEN‑CENELEC reste une dépendance clé pour l’application en temps voulu des obligations les plus strictes.
Modifications des règles sur les données et les usages pour l’entraînement
L’omnibus propose également des ajustements ciblés au RGPD pour clarifier les bases légales de l’utilisation de données pour l’entraînement de l’IA. Selon des rapports de fin 2025, la Commission autoriserait certains usages d’entraînement de l’IA sous la base légale de « l’intérêt légitime », un changement réclamé de longue date par les acteurs du secteur en quête de fondements plus clairs pour l’entraînement à grande échelle des modèles.
Les partisans estiment qu’affiner le langage du RGPD réduira l’insécurité juridique pour les développeurs qui doivent actuellement naviguer entre des interprétations disparates selon les États membres. La Commission présente ces amendements comme des clarifications techniques pour aider les projets d’IA à respecter les règles de protection des données sans abaisser les standards de confidentialité.
Les opposants, cependant, avertissent que l’élargissement des exceptions d’intérêt légitime pourrait saper les protections fondamentales de la vie privée et faciliter l’utilisation de données personnelles pour le développement de modèles sans consentement explicite. Cette tension entre l’utilisabilité pour les services innovants et la protection des droits individuels est au cœur du débat.
Pression de l’industrie et contexte politique
Ce report fait suite à des mois de lobbying intense de la part des grandes entreprises technologiques, des coalitions industrielles et de dizaines de PDG de grandes entreprises européennes qui ont averti que les délais initiaux risquaient de nuire à la compétitivité. Des coalitions telles que l’EU AI Champions Initiative et des groupes professionnels comme la Computer & Communications Industry Association ont publiquement appelé à une pause le temps que les normes et orientations soient finalisées.
Des lettres, des campagnes publiques et des déclarations d’entreprises à la mi-2025 ont fait valoir que l’incertitude sur la mise en œuvre, couplée à la possibilité d’amendes sévères, pourrait freiner l’innovation et l’investissement en Europe. Selon l’AI Act tel qu’écrit, la mise sur le marché de systèmes d’IA interdits peut entraîner des amendes allant jusqu’à 35 millions d’euros ou 7 % du chiffre d’affaires mondial annuel, un levier qui a renforcé les appels du secteur à des règles plus claires et à des voies d’application plus fluides.
Les observateurs notent également des pressions géopolitiques et transatlantiques : le lobbying du gouvernement américain et des grandes entreprises technologiques, combiné à la volonté de préserver la compétitivité industrielle européenne, ont poussé Bruxelles vers une approche plus « favorable à l’innovation » ou plus légère. Certains commentateurs y voient un changement stratégique risquant de céder le leadership réglementaire sur la sécurité de l’IA, tandis que d’autres y voient une démarche pragmatique pour garantir l’applicabilité des règles.
Réaction de la société civile et préoccupations relatives aux droits
Les groupes de la société civile et de consommateurs ont vivement réagi contre l’omnibus. Les réseaux européens de défense des droits numériques et les associations de consommateurs (dont EDRi et BEUC parmi de nombreuses ONG) ont averti que ces changements reviendraient à un recul des protections clés et ont mis en garde contre le risque que la clarification des bases légales du RGPD ou le report des obligations n’érode la vie privée et la responsabilité.
Certaines organisations ont qualifié le paquet proposé de « plus grand recul » des protections numériques de l’histoire de l’UE, arguant que l’allongement des délais et l’élargissement des exceptions d’intérêt légitime réduiraient les garanties immédiates pour les personnes soumises à des systèmes d’IA à haut risque, notamment dans des domaines comme la biométrie, le recrutement et l’application de la loi.
Le choc entre une réforme favorable aux entreprises et les défenseurs de droits numériques robustes crée un contexte politique tendu. Les législateurs du Parlement européen et des États membres devront désormais arbitrer entre les arguments de compétitivité et les préoccupations de libertés civiles à mesure que l’omnibus avance vers les discussions d’adoption formelle.
Normes, signalement et obstacles pratiques
La principale justification technique du report a été l’absence de normes prêtes à l’emploi et de capacité d’évaluation de la conformité. La Commission avait publié un projet d’orientation sur le signalement des « incidents graves d’IA » (article 73) en septembre 2025 et ouvert des consultations, mais les normes techniques harmonisées et les organismes notifiés restent en cours de développement.
Les organismes de normalisation, les autorités nationales et le Médiateur européen ont participé à la préparation de l’écosystème nécessaire à l’application des règles à haut risque. Tant que ces éléments , orientations, normes de test et évaluateurs de conformité accrédités , ne sont pas en place, l’application des obligations les plus strictes risque d’être incohérente, de susciter des litiges et de voir émerger des pratiques nationales divergentes.
Pour les entreprises, la promesse de « jusqu’à 16 mois pour se conformer » à certaines obligations leur laisse une marge de manœuvre pour adapter leurs processus, mais elle prolonge aussi l’incertitude réglementaire. Pour les régulateurs et les défenseurs des droits, ce report souligne la difficulté de concilier une législation ambitieuse avec la préparation opérationnelle sur les plans technique et administratif.
À mesure que le Digital Omnibus progresse vers le Parlement européen et le Conseil, les négociations politiques détermineront si le paquet sera adopté tel quel ou amendé. Les législateurs devront peser les arguments économiques de la Commission et les appels de l’industrie face aux objections de la société civile et au risque que l’assouplissement perçu des règles n’affaiblisse la confiance dans la gouvernance numérique européenne.
Le fait que l’UE reporte les règles sur l’IA à haut risque représente un moment décisif pour la stratégie européenne en matière d’IA : il pourrait s’agir d’un réajustement pragmatique garantissant une application robuste lorsque les normes existeront, ou d’un recul retardant des protections essentielles. Les débats à venir à Bruxelles façonneront donc à la fois le paysage réglementaire et l’influence de l’Europe dans la gouvernance mondiale de l’IA.
