De l’AI Act au Digital Omnibus on AI : entre l’urgence du « stop the clock » et le mirage de la simplification

L’urgence de stopper l’entrée en application des dispositions de l’AI Act sur les systèmes d’IA à haut risque, qui est l’un des objectifs centraux de la proposition de l’omnibus numérique sur l’IA, a entraîné une publication précipitée de ce texte et de son jumeau, l’omnibus numérique sur les données, deux textes supposés simplifier le droit du numérique européen afin de favoriser l’innovation en IA. Cette urgence a eu pour effet d’aboutir à deux propositions d’instruments mal rédigées, mal articulées l’une à l’autre, voire attentatoires aux principes constitutionnels et aux droits fondamentaux consacrés par le droit de l’Union européenne.

Alors que la Commission européenne avait ouvert un appel à consultation publique jusqu’au 14 octobre 2025, en vue de simplifier les règles en matière de données, de cybersécurité et d’intelligence artificielle dans le cadre d’un futur omnibus numérique, elle a publié à peine un mois plus tard, le 19 novembre 2025, un ensemble d’omnibus numériques (Digital Omnibus Package), composé de deux propositions de règlement : un omnibus numérique sur l’IA (Digital Omnibus on AI) ayant principalement pour objet de modifier l’AI Act¹, complété d’un omnibus numérique dit « sur les données » (Digital Omnibus) ayant principalement pour objet de modifier le RGPD, le Data Act et la directive e-Privacy². La Commission, dans la foulée, a ouvert un nouvel appel à consultation publique jusqu’au 13 mars 2026.

L’objectif premier et commun de ces deux textes est d’offrir aux développeurs et aux déployeurs de systèmes et modèles d’IA une simplification des dispositions s’imposant à eux, afin de favoriser l’innovation et le développement de l’IA sur le territoire européen. Cet objectif principal est malheureusement venu en télescoper un second, propre cette fois-ci à l’omnibus numérique sur l’IA : celui de stopper en urgence l’entrée en vigueur des dispositions de l’AI Act sur les systèmes d’intelligence artificielle (SIA) à haut risque prévue pour le 2 août 2026, faute pour les parties prenantes d’avoir su établir dans les temps les normes techniques assurant aux développeurs et aux déployeurs de systèmes d’IA une présomption légale de conformité auxdites dispositions.

Et c’est ainsi que l’urgence du « stop the clock » concernant l’IA Act a des effets secondaires, non seulement sur la qualité des dispositions de simplification de l’omnibus numérique sur l’IA, mais également sur sa compatibilité avec son jumeau, l’omnibus numérique des données (voir supra).

Au cœur de l’omnibus numérique sur l’IA : l’urgence du « stop the clock » due à la date d’entrée en application de l’AI Act le 2 août 2026

Un dispositif complexe

L’article 40 de l’AI Act confère aux développeurs et aux déployeurs de SIA à haut risque, qui appliquent les normes techniques élaborées dans le respect dudit article, une présomption légale de conformité aux dispositions de l’AI Act régissant ces systèmes. Faute pour les parties prenantes d’avoir été capables d’établir ces normes techniques avant l’entrée en application des dispositions des SIA à haut risque, l’omnibus numérique sur l’IA propose tout d’abord de modifier la rédaction de l’article 113 de l’AI Act relatif aux dates d’entrée en application de celui-ci. Les dispositions sur les SIA à haut risque de l’annexe III (secteurs à haut risque : biométrie, infrastructure critique, éducation, emploi, services publics et privés essentiels, répression, asile et migration, justice et processus démocratique) devaient entrer en application le 2 août 2026, et celles sur les SIA à haut risque de l’annexe I (liste d’une vingtaine de produits disposant d’une réglementation spécifique, au rang desquels les dispositifs médicaux, les jouets, les machines – robotique industrielle…) devaient entrer en application le 2 août 2027. Mais l’omnibus numérique sur l’IA prévoit que ces dispositions n’entreront en application que si une décision de la Commission européenne confirme que les normes techniques requises pour déclencher la présomption de conformité sont effectivement disponibles. En outre, une fois cette décision prise, l’article 113 amendé prévoit un délai supplémentaire de six mois pour les SIA à haut risque de l’annexe III, et de douze mois pour les SIA à haut risque de l’annexe I, avant leur entrée en application effective.

Dans l’omnibus numérique sur l’IA, le seul moyen de contraindre les parties prenantes à conclure sur les normes techniques consiste en une date butoir, car si ladite décision de la Commission n’intervient pas du tout ou pas assez rapidement, les dispositions seront pleinement applicables au plus tard le 2 décembre 2027 pour les SIA à haut risque de l’annexe III et le 2 août 2028 pour les SIA à haut risque de l’annexe I.

Critiques et seconde accélération

Cette proposition de « stop the clock » a été très critiquée tant sur le fond que sur la méthode. Sur le fond, dans leur avis du 21 janvier 2025³, le Contrôleur européen de la protection des données (CEPD) et le Comité européen de la protection des données (EDPB), « préoccupés » par l’impact de cette mesure « sur la protection des droits fondamentaux dans le paysage en rapide évolution de l’IA », demandent aux colégislateurs d’examiner dans quelle mesure il serait possible de « maintenir le calendrier actuel ».

Ces critiques sur le fond n’ont, cependant, pas été entendues par les colégislateurs, qui désapprouvent surtout la méthode choisie ; les États membres de l’Union, en particulier, la trouvent trop complexe. Ceux-ci sont unanimes à préférer le report des délais fixés d’entrée en application. Dans leur premier texte de compromis en date du 23 janvier 2026, les États membres proposent que les obligations entrent directement en application au 2 décembre 2027 pour les systèmes d’IA à haut risque de l’annexe III et au 2 août 2028 pour les systèmes d’IA à haut risque de l’annexe I.

Cet accord des colégislateurs sur le principe du « stop the clock » pour les SIA à haut risque de l’annexe III impose donc à la Commission, au Parlement et au Conseil de s’entendre de toute urgence sur le contenu de l’omnibus numérique sur l’IA, tandis que la négociation sur son jumeau, l’omnibus numérique sur les données, peut attendre. De manière totalement inédite quant au délai de négociation, et cela, afin de pouvoir bloquer l’entrée en application de l’AI Act au 2 août 2026, les trilogues devraient donc se dérouler entre mars et avril 2026, le texte final devant être voté en plénière par le Parlement et adopté au Conseil en juin 2026. Il devrait ensuite être ratifié en juillet, pour une entrée en vigueur, au plus tard le 1^er août 2026.

C’est donc une double accélération que connaît l’omnibus numérique sur l’IA tant au niveau de son élaboration par la Commission européenne qu’au stade de sa négociation par les trois institutions européennes – Commission, Parlement, Conseil. Cette double accélération qui aura inévitablement des répercussions sur la qualité des dispositions de cet omnibus comme sur la qualité de son articulation avec son jumeau, l’omnibus numérique sur les données.

Les effets secondaires sur la qualité des dispositions de simplification de l’omnibus numérique sur l’IA

Un renforcement de la compétence du bureau de l’IA qui démunit les autorités nationales de surveillance du marché

Alors que l’AI Act confère une compétence au bureau de l’IA de la Commission européenne pour les modèles d’IA à usage général, définis en son article 3.63, l’omnibus numérique sur l’IA prévoit d’en modifier l’article 75, consacrant ainsi un renforcement des pouvoirs du bureau de l’IA. Ce dernier acquiert, de surcroît, une compétence exclusive en matière de surveillance et de contrôle du marché, non seulement sur les systèmes d’IA basés sur des modèles d’IA à usage général et développés par le même fournisseur, mais également sur les systèmes d’IA qui constituent de très grandes plateformes en ligne (VLOPs) ou sont intégrés à celles-ci au sens de l’article 33 du Digital Services Act (DSA).

Or, ce renforcement du rôle de l’AI Office opéré dans l’omnibus numérique sur l’IA se fera donc au détriment des autorités nationales (de surveillance du marché et/ou notifiantes)⁴. Ce mouvement de concentration du pouvoir de supervision et de contrôle des plus gros opérateurs du numérique aux mains de la Commission européenne n’est certes pas un phénomène nouveau. En effet, dans le Digital Services Act, la Commission européenne est compétente pour la lutte contre les contenus illicites relativement aux très grandes plateformes en ligne (VLOP) et aux très grands moteurs de recherche (VLOSE). Dans le Digital Markets Act, la Commission européenne est compétente pour les questions de concurrence relativement aux fournisseurs de services de plateformes essentiels ou gatekeepers.

Cette nouvelle proposition inscrite à l’omnibus numérique sur l’IA a néanmoins engendré une réaction des États membres, y voyant un affaiblissement de leurs prérogatives au sein de l’AI Act. Ces derniers ont donc, dans un premier compromis en date du 23 janvier 2026, proposé de modifier la nouvelle rédaction de l’article 75, en vue de récupérer une partie de leurs prérogatives. Cette question de la répartition des compétences entre la Commission et les États membres est, à cet égard, d’autant plus cruciale que certains fournisseurs de modèles et de systèmes d’IA ont une position dominante sur le marché européen, ce qui risque mécaniquement de disqualifier, dans de nombreuses situations, la compétence des autorités nationales de surveillance du marché et de les conduire à une sorte d’impuissance.

Le silence regrettable de l’omnibus numérique sur l’IA sur les  deepfakes pédopornographiques et pornographiques

L’IA Grok de xAI produisant massivement des images de femmes et d’enfants dénudés durant l’hiver 2025-2026 a permis de rappeler qu’une IA générative à usage général, comme son nom l’indique, peut tout faire, le meilleur comme le pire. Elle sert ainsi à créer des deepfakes ou hypertrucages, non illicites par nature, mais qui le deviennent ou qui rendent illicites certaines actions accomplies à leur propos si ces deepfakes revêtent la qualification d’« images pédopornographiques » ou « pornographiques ».

De plus, une IA générative à usage général est souvent une fonctionnalité accessoire d’un autre service numérique, de type plateforme en ligne, tels un réseau social ou une plateforme de partage de vidéo. Or, avec l’effet amplificateur de la plateforme, les contenus produits par l’IA générative à usage général, licites ou illicites, vont se propager massivement en faisant l’objet de milliers, voire de millions de vues.

L’IA Grok oblige à s’interroger sur la nécessité d’ajouter une interdiction complémentaire dans le cadre de l’article 5 de l’AI Act, à savoir la production, associée ou non à la diffusion, de deepfakes pédopornographiques ou pornographiques, ce que malheureusement l’omnibus numérique sur l’IA omet pour l’instant de traiter.

Les effets secondaires sur la qualité de l’articulation entre l’omnibus numérique sur l’IA et l’omnibus numérique sur les données

La cohérence très partielle de la réglementation du traitement des données à caractère personnel pour l’apprentissage de l’IA, disséminée entre les deux omnibus numériques

Avec leur objectif commun de faciliter l’innovation en matière de systèmes et de modèles d’IA, les deux omnibus s’attachent à assouplir les règles relatives au traitement des données à caractère personnel utiles au développement et à l’exploitation des systèmes et modèles, néanmoins sans véritable cohérence.

C’est ainsi que l’omnibus numérique sur l’IA propose un nouvel article 4 bis au sein de l’AI Act, prévoyant, dans la limite nécessaire à la détection et à la correction des biais des systèmes d’IA à haut risque, conformément à l’article 10 de l’AI Act, que les fournisseurs de ces systèmes puissent exceptionnellement traiter des données à caractère sensible au sens de l’article 9 du RGPD, sous réserve de garanties appropriées pour les droits et libertés fondamentaux des personnes physiques.

Cette vision très mesurée, car exceptionnelle, du traitement de données personnelles sensibles, s’oppose à la plus grande souplesse des propositions introduites dans l’omnibus numérique sur les données. En effet, en articulation peu évidente avec l’article 4 bis précité, cet omnibus présente une modification de l’article 9 du RGPD, tendant à autoriser le traitement des données personnelles sensibles pour le développement et l’exploitation de l’IA, si des mesures de sécurité appropriées sont mises en œuvre et si les données sont ensuite supprimées.

Se trouve, en outre, dans l’omnibus numérique sur les données, un nouvel article 88 quater du RGPD tendant à autoriser le traitement des données à caractère personnel pour le développement et l’exploitation des systèmes d’IA sur la base légale de l’intérêt légitime, au sens de l’article 6.1.f) du RGPD, à condition que certaines garanties pour la protection des droits fondamentaux soient mises en place et que les personnes concernées puissent exercer leur droit d’opposition (opt-out) au sens de l’article 21 du RGPD.

La recherche d’une véritable cohérence entre ces trois propositions d’articles aurait nécessité que l’omnibus numérique sur l’IA et l’omnibus numérique sur les données soient négociés en parallèle, et cela, afin d’améliorer les articulations entre les textes. Néanmoins, à nouveau, l’urgence du « stop the clock » de l’AI Act et la négociation en décalage temporel des deux textes qui en découle vont rendre cette tâche plus difficile.

La fragilisation, précipitée et irréfléchie, du champ d’application matériel du RGPD

L’objectif consistant à faciliter l’activité des développeurs et des déployeurs de systèmes et modèles d’IA, au cœur de l’omnibus numérique sur l’IA, s’est finalement répercuté, comme un dernier effet collatéral malheureux, sur le champ d’application matériel du RGPD, tel que l’omnibus numérique sur les données se propose de le modifier. En effet, alors même que le droit est censé apporter la sécurité juridique, tout particulièrement pour ce qui concerne le champ d’application matériel d’une disposition ou d’un texte juridique, l’omnibus numérique sur les données ajoute une précision à la définition de la donnée personnelle qui en détruit toute la cohérence, en affirmant que « les informations relatives à une personne physique ne sont pas nécessairement des données à caractère personnel pour toute autre personne ou entité du simple fait qu’une autre entité peut identifier cette personne physique ». Cette précision, puisée dans un arrêt récent de la Cour de justice de l’Union européenne⁵, qui a pour objectif d’assouplir le déclenchement de l’application du RGPD en vue, justement, de favoriser le développement de modèles et systèmes d’IA, aboutit à créer des « Schrödinger’s Data »⁶.

En d’autres termes, à l’instar du chat de Schrödinger, expérience de pensée qui a permis l’avènement de la conceptualisation des questions quantiques, au terme de laquelle un chat peut être en même temps vivant et mort, l’omnibus numérique sur les données a fait advenir la donnée à la fois personnelle et non personnelle. La fragilisation du champ d’application du RGPD est telle que la proposition de l’omnibus numérique sur les données est obligée, dans un article 41 bis nouveau du RGPD, d’autoriser la Commission européenne à prendre des « actes d’exécution » pour déterminer quand une donnée est à caractère personnel ou non, lorsqu’elle a fait l’objet d’une pseudonymisation. Or, le recours aux actes d’exécution est, en principe, autorisé par l’article 291 du TFUE, uniquement pour établir « des conditions d’exécution uniformes » d’un règlement européen, et certainement pas pour préciser un élément principal de ce texte, tel que le champ d’application matériel de celui-ci. Cet usage inapproprié des actes d’exécution apparaît ainsi comme la quintessence des conséquences malheureuses de la précipitation ambiante, liée au « stop the clock » au sein de l’AI Act.

1. Proposition de règlement modifiant les règlements (UE) 2024/1689 et (UE) 2018/1139 en ce qui concerne la simplification de la mise en œuvre des règles harmonisées concernant l’intelligence artificielle (train de mesures omnibus numérique sur l’IA), COM/2025/836 final.
2. Proposition de règlement modifiant les règlements (UE) 2016/679, (UE) 2018/1724, (UE) 2018/1725 et (UE) 2023/2854 ainsi que les directives 2002/58/CE, (UE) 2022/2555 et (UE) 2022/2557 en ce qui concerne la simplification du cadre législatif numérique, et abrogeant les règlements (UE) 2018/1807, (UE) 2019/1150 et (UE) 2022/868 ainsi que la directive (UE) 2019/1024 (règlement omnibus numérique), COM/2025/837 final.
3. European Data Protection Board, « On the proposal for a regulation as regards the simplification of the implementation of harmonised rules on artificial intelligence (Digital Omnibus on AI) », EDPB-EDPS Joint Opinion, January 20, 2026.
4. Direction générale des entreprises, « Les autorités compétentes pour la mise en œuvre du règlement européen sur l’intelligence artificielle », 9 septembre 2025.
5. CJUE, C-413/23, EDPS vs. SRB, 4 septembre 2025.
6. Bieker Felix, « Schroedinger’s data: SRB and the Digital Omnibus », European Law Blog, January 20, 2026.