Les États membres de l'UE et le Parlement européen ne sont pas parvenus à s'entendre sur des modifications qui auraient assoupli la loi sur l'IA de l'Union et repoussé ses délais d'application les plus stricts. « Les 12 heures de négociations de mardi se sont conclues sans accord », a fait savoir Reuters, citant un responsable chypriote selon lequel il n'avait pas été possible de parvenir à un accord avec le Parlement. Chypre assure la présidence tournante du Conseil de l'UE, qui négocie au nom des États membres. Selon le rapport, les négociations ont échoué en raison de l'insistance de certains pays et législateurs pour que les secteurs déjà couverts par des règles de sécurité sectorielles soient exclus de la législation sur l'IA.

Selon le suivi du processus législatif du Parlement européen, la session de mardi était le dernier trilogue politique sur la proposition de règlement Digital Omnibus relatif à l'IA prévu avant son adoption formelle. Les discussions reprendront en mai mais si aucun accord n'est conclu avant le 2 août, les obligations relatives aux systèmes IA à haut risque s'appliqueront ce jour-là, telles qu'elles avaient été initialement rédigées. Les co-rapporteurs du Parlement européen sur ce dossier, Arba Kokalari et Michael McNamara, devaient tenir une conférence de presse ce mercredi à Strasbourg pour informer les journalistes des négociations visant à actualiser les règles de l'UE, mais celle-ci a été annulée à la dernière minute. Aucun des bureaux des rapporteurs n'a immédiatement répondu à une demande de commentaires. Le service de presse de la présidence chypriote n'avait pas non plus répondu à l'heure où de l'écriture de cet article.

Les normes techniques pas encore prêtes

La proposition de règlement Digital Omnibus sur l’IA, que le trilogue devait finaliser, a été soumise par la Commission européenne le 19 novembre dernier. Selon la Commission, l’omnibus numérique s’inscrit dans un effort plus large de simplification du cadre réglementaire numérique de l’UE pour les entreprises, en réponse au rapport Draghi sur la compétitivité de l’UE. Le Conseil et le Parlement s’étaient mis d’accord avant le trilogue sur la nécessité de repousser les délais. Dans son mandat de négociation du 13 mars, le Conseil a proposé de nouvelles dates : « le 2 décembre 2027 pour les systèmes IA autonomes à haut risque, et le 2 août 2028 pour les systèmes IA à haut risque intégrés dans des produits ». Le Parlement a voté l'adoption de ces mêmes dates le 26 mars par 569 voix contre 45, avec 23 abstentions.

Les délais ont été repoussés car les normes techniques auxquelles les entreprises doivent se conformer ne sont pas encore prêtes. Selon une note client du cabinet d’avocats Morrison Foerster, les communications du Comité technique mixte 21 du CEN-CENELEC, chargé de rédiger ces normes, suggèrent que l’ensemble complet pourrait ne pas être disponible avant décembre 2026. « Le Conseil et le Parlement n'ont pas pu s'entendre sur une exemption souhaitée par le Parlement pour l'IA utilisée dans des produits déjà soumis aux règles de sécurité de l'UE, tels que les machines, les jouets et les dispositifs médicaux », ajoute le rapport. « Cette exemption n’a suscité qu’un enthousiasme modéré au sein du Conseil, où différentes propositions de compromis ont été débattues », a indiqué le Center for Democracy and Technology Europe dans son bulletin d’avril. Des associations de consommateurs, des groupes médicaux et des cercles universitaires se sont opposés à cette exemption. Quarante de ces organisations ont averti, dans une lettre ouverte publiée au début du mois, que ces propositions « risquaient encore de remettre en cause des éléments fondamentaux de ce cadre, affaiblissant ainsi considérablement la loi sur l’IA ».

« Pour les secteurs concernés, l’argument en faveur de l’exemption réside dans la charge cumulative liée à la mise en conformité », a déclaré Neil Shah, vice-président chargé de la recherche et associé chez Counterpoint Research. « Dans des secteurs déjà fortement réglementés tels que le secteur médical, une réglementation supplémentaire sur l’IA alourdit encore davantage la charge de mise en conformité et les casse-têtes pour les entreprises », a-t-il avancé. « Il est important de se conformer aux normes de sécurité tant physiques que numériques, mais il doit y avoir un moyen de réduire la charge de mise en conformité et de rendre des comptes à une seule autorité de régulation. »

Se préparer quoi qu’il arrive

« Les DSI devraient considérer le 2 août comme une date butoir, quoi qu’il arrive en mai », a conseillé M. Shah. « Les DSI se trouvent actuellement dans une situation difficile. Ils devraient se préparer, indépendamment de l’incertitude réglementaire, et considérer cet été comme une date butoir. Si le délai est repoussé, ce sera un bonus ; dans le cas contraire, cela constituera un risque réglementaire. » Si les législateurs ne parviennent pas à conclure un accord avant le 2 août, les obligations à haut risque s'appliqueront telles qu'elles ont été rédigées, que les normes harmonisées ou les autorités nationales chargées de l'application soient prêtes ou non. « Le fait que les États membres ne soient pas tous au même niveau de préparation ne réduit en rien le risque pour les entreprises », a souligné Enza Iannopollo, vice-présidente et analyste principale chez Forrester. « Il est évident que si les autorités chargées de faire respecter les règles ne sont pas en place, il n'y aura pas d'application, malgré les délais », a-t-elle ajouté. « Mais les États membres peuvent accélérer ce processus et mettre ces autorités en place assez rapidement. Certains pays les ont déjà désignées. Le risque est que les entreprises perdent de vue l'évolution de la situation dans chaque État membre et se retrouvent exposées à un contrôle réglementaire et à des amendes. »

D'autres volets de l’IA Act suivront leur calendrier initial. Les interdictions relatives à l'IA présentant un risque inacceptable s'appliquent depuis février 2025. Les règles relatives à l'IA à usage général sont entrées en vigueur en août 2025. Les obligations de transparence prévues à l'article 50, notamment la divulgation des interactions avec les chatbots et l'étiquetage des deepfakes, devraient s'appliquer à partir du 2 août. « Pour les DSI, le travail de mise en conformité qui sous-tend ces processus se poursuit indépendamment des enjeux politiques des trilogues. Attendre n’est pas une option. Les DSI doivent commencer à jeter les bases de la gouvernance et de la conformité en matière d’IA », a insisté Mme Iannopollo. « S'ils ne dressent pas l'inventaire de leurs cas d’usage de l'IA, n'évaluent pas les risques à la lumière (également) de la catégorisation des risques prévue par l’IA Act de l’UE et ne définissent pas de mesures de gestion des risques, ils s'exposent non seulement à des amendes, mais aussi à une atteinte à leur réputation et à l'incapacité de déployer efficacement leurs initiatives IA. » La présidence chypriote se poursuivra jusqu'au 30 juin, date à laquelle l'Irlande prendra le relais.