Réunis à Strasbourg, les députés européens ont voté hier le report de plusieurs dispositions de l’IA Act. Ainsi, le systèmes IA impliquant « la biométrie et ceux utilisés dans les infrastructures critiques, l’éducation, l’emploi, les services essentiels, les forces de l’ordre, la justice et la gestion des frontières » sont repoussés d’août 2026 à au 2 décembre 2027. Pour les autres systèmes, les parlementaires proposent de décaler la mise en conformité au 2 août 2028. Après ce vote et la validation de la Commission européenne, il manque l’approbation du Conseil de l’Union européenne pour entériner définitivement ce nouveau calendrier.

Pour justifier ces ajournements, l’institution européenne met en avant le retard des standards techniques auxquels les développeurs et les fournisseurs doivent se conformer. En complément du règlement dont une partie est entré en vigueur en août 2024, le texte prévoit la publication de documentations techniques qui pour l’instant n’ont pas été publiées. L’assouplissement est aussi une victoire de la part des entreprises IT américaines qui luttent depuis plusieurs années contre l’IA Act. Un lobbying qui a porté ses fruits en novembre dernier auprès de la Commission.

Le dilemme des DSI

Avec ce décalage, les DSI sont confrontés à un défi de taille : doivent-ils se précipiter pour mettre en œuvre les changements avant l’échéance actuelle ou attendre en espérant que le Conseil approuve le report ? Les analystes et consultants ont quasiment unanimement recommandé aux responsables IT de ne pas attendre et d’agir comme si la réglementation était déjà en vigueur. « C'est une bonne chose que la prolongation ait été clarifiée, car auparavant, la situation était floue », a déclaré Nader Henein, vice-président et analyste chez Gartner. Tout en regrettant que « la décision finale intervienne si près de l'ancienne échéance, obligeant les entreprises à poursuivre comme prévu initialement ». En conséquence, il « conseille aux clients de considérer toute prolongation potentielle comme une opportunité de mieux tester et d'améliorer le processus de catalogage et de gestion des systèmes IA ».

De son côté, Brian Levine, consultant indépendant en cybersécurité, observe que les reports « plongent les DSI dans un flou réglementaire, mais ne change rien à la réalité sous-jacente : les entreprises restent responsables des risques engendrés par leurs systèmes IA ». Il ajoute, « que Bruxelles applique la réglementation l'année prochaine ou dans deux ans, les risques opérationnels, juridiques et de réputation liés à une IA mal encadrée sont déjà une réalité. Les DSI ne doivent pas considérer ce report comme un sursis ». Brian Levine prédit même que « les entreprises qui attendent une clarification réglementaire parfaite sont celles qui risquent le plus de découvrir que leurs modèles ont généré discrètement des problèmes de conformité, de confidentialité ou de sécurité bien avant l'entrée en vigueur de toute réglementation. »

L'attentisme, un risque procédural et financier

Doug Barbin, président du cabinet de conseil en conformité Schellman, met en garde les DSI : « Il existe également un risque procédural réel : si les négociations entre le Conseil et le Parlement s'éternisent au-delà d'août 2026, les échéances initiales restent inchangées. Les DSI qui n'ont pas réagi sont les plus exposés à ce scénario. Les entreprises qui investissent aujourd'hui dans leur infrastructure de gouvernance ne seront pas celles qui se retrouveront en situation de crise plus tard. C'est du temps supplémentaire : profitez-en. » Il constate que le marché évolue progressivement vers des stratégies plus globales. « C'est dans cette direction que se dirige la conformité : moins axée sur des actions spécifiques et davantage sur la gouvernance et les risques », a-t-il affirmé.

Pour Yvette Schmitter, DG du cabinet de conseil Fusion Collective, ces décalages sont une mauvaise chose, « car cela donne aux gens un faux sentiment de sécurité, l'illusion d'avoir plus de temps ». Elle ajoute, « les tribunaux ne tiennent pas compte des délais de mise en en conformité réglementaire. Lorsque votre système d'IA produit des résultats préjudiciables ou discriminatoires à grande échelle, l'argument « nous attendions les directives finales », ne résistera pas aux accusations. » De son côté, Sanchit Vir Gogia, analyste principal chez Greyhound Research soutient que ces décisions véhiculent des messages contradictoires, « les entreprises évoluent désormais dans une situation hybride où certaines obligations sont déjà en vigueur, d'autres sont attendues ultérieurement, et les équipes internes interprètent les risques différemment. Cette combinaison engendre la confusion bien avant l'intervention des autorités de régulation et « de nombreuses sociétés seront tentées de ralentir le rythme et d’attendre la réglementation définitive ». Une option mal avisée y compris sur le plan financier. « On croit souvent que les retards permettent de réduire les dépenses. En réalité, c'est généralement l'inverse. Le travail interrompu doit être relancé. Les équipes perdent le fil de leurs idées. Les conceptions sont revues. Une gouvernance ajoutée tardivement coûte plus cher qu'une gouvernance intégrée dès le départ », conclut l’analyste.