Marcus Belke
CEO de 2B Advice GmbH, moteur de l'innovation dans le domaine de la vie privée conformité et de la gestion des risques, et a dirigé le développement d'Ailance, la nouvelle génération de conformité plateforme.
Le 19 novembre 2025, la Commission européenne a adopté le „ Digital Omnibus ”. Celui-ci vise à simplifier et harmoniser la réglementation numérique de l'UE. Il prévoit notamment de rationaliser les règles existantes en matière d'intelligence artificielle (IA), de cybersécurité et d'utilisation des données afin de réduire la bureaucratie et de laisser plus de place à l'innovation pour les entreprises. Nous vous présentons ici les principaux changements.
Prolongation des délais de mise en œuvre pour les systèmes à haut risque
Le règlement sur l'IA adopte une approche fondée sur les risques et définit les systèmes d'IA à haut risque utilisés, par exemple, dans des domaines critiques pour la sécurité, dans l'éducation, dans les ressources humaines ou dans les dispositifs médicaux. La proposition omnibus prévoit que les obligations relatives à ces applications à haut risque entreront en vigueur plus tard que prévu initialement. Ainsi, le début des obligations pour les systèmes d'IA conformément à l'annexe III du règlement sur l'IA (par exemple dans le domaine des infrastructures critiques, de l'éducation ou de la gestion des ressources humaines) sera reporté de près d'un an et demi : du 2 août 2026 au 2 décembre 2027. Pour les systèmes d'IA à haut risque visés à l'annexe I (IA intégrée dans des produits déjà réglementés tels que les machines, les dispositifs médicaux ou les véhicules automobiles), l'application est reportée d'un an, du 2 août 2027 au 2 août 2028.
Ces prolongations visent à donner aux entreprises plus de temps pour la mise en œuvre. Toutefois, des dates antérieures sont également possibles : dès que des instruments de soutien appropriés (normes, Lignes directrices) et si la Commission en décide ainsi, les exigences relatives aux risques élevés entreront en vigueur plus tôt (après une période transitoire de 6 mois pour les systèmes de l'annexe III et de 12 mois pour les systèmes de l'annexe I). Dans tous les cas, des dates butoirs fixes s'appliquent : au plus tard à partir du Décembre 2027 respectivement Août 2028 toutes les obligations à haut risque doivent être respectées.
Pertinence pratique : les juristes et les équipes chargées de la conformité devraient adapter en conséquence les calendriers de mise en œuvre des projets d'IA. Les délais prolongés, convenus à la demande de plusieurs États membres (notamment l'Allemagne et la France), visent à donner un peu de répit aux fournisseurs européens dans la course à l'IA et à la normalisation.
Dans le même temps, cela crée une incertitude en matière de planification, car une application anticipée est possible dès que les normes techniques sont disponibles. Les entreprises doivent donc suivre de près la réglementation et réagir avec souplesse si la Commission active plus tôt les règles relatives aux risques élevés. Dans l'ensemble, le report atténue la pression à court terme en matière de mise en œuvre sans pour autant renoncer au niveau de protection. En effet, toutes les exigences doivent être satisfaites au plus tard en 2028.
Harmonisation de la classification des risques
L'Omnibus vise en outre à mieux articuler la classification des risques liés à l'IA avec les principes de la protection des données. Il s'agit notamment d'adopter une approche cohérente en matière de traitement des ensembles de données d'entraînement, d'exigences en matière de qualité des données, de contrôles des biais et de traçabilité des systèmes d'IA. L'idée directrice est que les développeurs et les exploitants d'IA puissent s'orienter vers un ensemble de normes cohérentes, au lieu de devoir se conformer à des exigences potentiellement contradictoires issues du droit de l'IA et du droit de la protection des données. Sur le plan pratique, il est également envisagé de soulager les composants IA d'une double réglementation dans les secteurs déjà strictement réglementés. Ainsi, les applications IA qui font partie d'un dispositif médical ou d'une machine pourraient être exemptées de certaines obligations à haut risque ou être classées différemment. Cela permettrait de reconnaître que ces domaines disposent déjà de leurs propres régimes de surveillance et de sécurité.
Pertinence pratique : pour le conseil, cela signifie qu'à l'avenir, les exigences de conformité spécifiques à un secteur (par exemple, celles issues de la législation sur les dispositifs médicaux ou de la directive sur les machines) pourront en partie se superposer aux obligations du règlement sur l'IA ou les remplir. Le double travail serait ainsi réduit. D'autre part, l'importance de la classification des données augmente : les entreprises doivent clairement distinguer si elles travaillent avec des données anonymes, pseudonymisées ou à caractère personnel. En effet, cela détermine les règles qui s'appliquent. Une classification claire Anonymisation peut réduire considérablement les risques et les obligations. En effet, une distinction plus précise entre les données anonymes et les données à caractère personnel est considérée comme essentielle. Une pseudonymisation ou une anonymisation robuste des données réduit considérablement les risques juridiques. Les délégués à la protection des données seront donc encore plus étroitement associés aux projets d'IA afin de garantir le respect des principes de protection des données tels que Minimisation des données, Affectation des fonds et la qualité des données soient prises en compte dès le départ dans l'évaluation et la classification des risques liés aux systèmes d'IA.
Identification des contenus générés par l'IA
Une exigence centrale du règlement sur l'IA en matière de transparence consiste à identifier les contenus synthétiques ou générés par l'IA comme tels. Cela peut se faire, par exemple, au moyen d'avertissements ou de filigranes sur les images, vidéos ou textes générés par l'IA. Cette obligation (art. 50, paragraphe 2, du règlement sur l'IA) reste en principe applicable. La proposition Omnibus accorde toutefois une période transitoire. En vertu de celle-ci, les autorités de surveillance du marché ne peuvent infliger aucune sanction pour absence d'identification jusqu'au 2 février 2027. Cela crée de facto un délai de grâce pour les fournisseurs d'IA générative. Cela concerne également les exploitants d'IA à usage général (LLM) qui génèrent, par exemple, des textes, des images ou des contenus audio. Les entreprises disposent ainsi de plus de temps pour mettre en œuvre des solutions techniques d'étiquetage, telles que des filigranes numériques ou des balises de métadonnées, qui indiquent de manière lisible par machine qu'un contenu a été généré ou manipulé artificiellement.
Pertinence pratique : la prolongation du délai accorde aux fournisseurs et aux utilisateurs d'IA générative (par exemple, les entreprises qui utilisent des outils d'IA pour la création de contenu) un sursis pour se conformer à leurs obligations de transparence. Les responsables de la conformité devraient profiter de ce délai pour mettre en œuvre et tester des procédures d'étiquetage appropriées avant que des amendes ne soient infligées à partir de 2027. Pour les juristes, ce report réduit à court terme le risque de responsabilité civile lié aux contenus générés par l'IA. Il est toutefois conseillé d'agir dès maintenant de manière proactive pour Transparence afin de gagner la confiance des utilisateurs et des partenaires commerciaux.
Suppression de l'obligation de formation interne
Jusqu'à présent, l'article 4 du règlement sur l'IA stipule que les fournisseurs et les utilisateurs de systèmes d'IA doivent s'assurer que leurs employés disposent de compétences suffisantes en matière d'IA. Cette obligation de formation devrait désormais être complètement supprimée. En conséquence, l'article 4 du règlement sur l'IA, qui est déjà en vigueur depuis la publication du règlement, serait supprimé. Au lieu de cette obligation, il y aurait simplement une invitation aux États membres à encourager les entreprises à former volontairement leurs employés à l'IA. En d'autres termes, la loi n'imposerait plus de programmes de formation internes à l'IA, mais se contenterait de recommandations non contraignantes.
Pertinence pratique : la suppression de cette obligation soulage immédiatement les entreprises. Il n'y a alors plus de risque d'être poursuivi en justice pour manque de formation des employés à l'IA. Les services de conformité peuvent réduire les coûts liés aux formations obligatoires et réaffecter leurs ressources à d'autres domaines de conformité. Toutefois, la prudence est de mise d'un point de vue pratique. En effet, même en l'absence d'obligation légale, les autorités de contrôle attendent implicitement que le personnel clé comprenne les risques et les exigences d'utilisation des systèmes d'IA. Les entreprises doivent donc continuer à investir dans la formation continue de leurs employés. Non pas comme une exigence de conformité stricte, mais comme un élément de bonne gouvernance afin d'éviter toute utilisation abusive de l'IA.
Conseil de lecture : Compétences en matière d'IA et obligations des entreprises selon l'article 4 du règlement sur l'IA
Simplification de la documentation et de la gestion de la qualité
Le règlement sur l'IA impose aux fournisseurs d'IA à haut risque de fournir une documentation technique complète, des évaluations des risques et un système de gestion de la qualité (QM) afin de prouver leur conformité. Le texte initial prévoyait déjà certaines facilités pour les petites et moyennes entreprises (PME). Le Digital Omnibus étend désormais ces exceptions aux „ petites entreprises de taille intermédiaire “ (SMC). Il s'agit d'entreprises comptant jusqu'à 749 employés et réalisant un chiffre d'affaires annuel maximal de 150 millions d'euros. À l'avenir, les moyennes entreprises haut de gamme devraient également bénéficier d'obligations réduites en matière de documentation et de surveillance. En outre, il est prévu que les amendes infligées à ces entreprises en cas d'infraction puissent être moins élevées que celles infligées aux grandes entreprises (une sorte d'échelle mobile du montant des sanctions en fonction de la taille de l'entreprise).
Pertinence pratique : cette extension des privilèges accordés aux PME représente pour de nombreuses entreprises une réduction bienvenue des efforts de mise en conformité. Les entreprises technologiques de taille moyenne qui ont dépassé le seuil des PME, en particulier, ne sont pas tenues de se conformer immédiatement et dans toute leur rigueur à toutes les obligations de documentation. Pour les équipes chargées de la conformité, cela signifie moins de bureaucratie dans la préparation des documents techniques et la mise en place de processus de qualité de type ISO. Les entreprises qui font usage des exemptions doivent toutefois vérifier et documenter soigneusement qu'elles respectent les seuils (nombre d'employés, chiffre d'affaires/total du bilan). Cette classification pourrait devoir être vérifiée en cas d'audit. En outre, l'objectif principal des entreprises privilégiées reste de fournir un système d'IA sûr et conforme aux règles. Les allègements ne changent rien à la responsabilité de satisfaire de manière substantielle à toutes les exigences à haut risque, même si c'est sous une forme simplifiée.
Clarifications concernant la transparence et l'accès aux informations (RGPD)
Parallèlement au règlement sur l'IA, le paquet Omnibus améliore certaines obligations de transparence dans le domaine Protection des données, ce qui a un impact indirect sur les projets d'IA, car de nombreuses applications d'IA sont basées sur des données à caractère personnel. Ainsi, Responsable Selon le projet, les demandes manifestement infondées ou excessives des personnes concernées pourront désormais être rejetées ou soumises à des frais. La charge de la preuve qu'il s'agit de demandes d'informations abusives en masse incombe certes au responsable, mais cette possibilité de défense répond à la pratique des lettres types automatisées, qui sont parfois utilisées comme moyen de pression.
En outre, une dérogation aux Obligations d'information intervenir lorsque données à caractère personnel ont été collectées dans le cadre d'une relation clairement définie entre la personne et le responsable et que l'on peut supposer que la personne dispose déjà des informations essentielles (par exemple dans le contexte professionnel ou dans le cas de clients existants déjà informés).
Pertinence pratique : pour les délégués à la protection des données et les services juridiques, cela signifie un allègement de la charge de travail liée au traitement des demandes des personnes concernées. À l'avenir, les entreprises pourront mieux se défendre contre les „ trolls de l'information ” ou les demandes répétées et hors de propos, ce qui leur permettra d'économiser de précieuses ressources. Cela est particulièrement pertinent dans les projets d'IA, qui traitent souvent de grandes quantités de données. L'accent peut être mis sur des éléments substantiels. Transparence être imposées, plutôt que de devoir satisfaire sans condition à toute demande formellement possible. Il est toutefois important de justifier et de documenter clairement tout refus ou toute obligation de paiement afin de pouvoir se défendre devant les autorités de contrôle en cas de doute. L'exception à la règle Obligations d'information évite également les doubles instructions dans les situations où Personnes concernées connaissent déjà la finalité du traitement des données. Cela peut être pertinent, par exemple, dans le cas d'applications d'IA modestes et gérables dans le cadre d'une relation de travail. Dans l'ensemble, ces adaptations favorisent une plus grande efficacité. Transparence, qui continue à fournir des informations utiles aux personnes concernées sans surcharger les entreprises de formalités administratives.
Perspectives : quand les nouvelles règles relatives à l'IA entreront-elles en vigueur ?
La proposition formelle de la Commission européenne a été présentée le 19 novembre 2025. Elle suivra ensuite la procédure législative ordinaire de l'UE : le Parlement européen et le Conseil des États membres examineront le projet et l'adopteront finalement. D'autres modifications des propositions sont tout à fait probables, car des discussions controversées sont déjà en cours et les défenseurs de la protection des données mettent en garde contre un affaiblissement de la protection des données.
Il n'est actuellement pas possible de donner une date précise à partir de laquelle les nouvelles règles s'appliqueront. Les scénarios optimistes tablent sur une adoption de la réforme d'ici fin 2026. Elle pourrait alors entrer en vigueur au plus tôt en 2027, en fonction du déroulement des négociations.
Source : Omnibus numérique sur la proposition de réglementation relative à l'IA
La gouvernance IA d'Ailance est prête pour la conformité IA
Même si le Digital Omnibus repousse les délais et assouplit certaines obligations de preuve, l'essence même du règlement sur l'IA reste inchangée.
Les entreprises doivent savoir, où L'IA fonctionne, quelles données traitées, quels risques existent et comme modèles sont surveillés. C'est précisément ces Transparence ne peut pas être rattrapé à la dernière minute.
Ailance AI Governance aide à mettre en œuvre ces exigences de manière structurée et sans perte d'efficacité : Un inventaire centralisé de l'IA, des évaluations automatisées des risques, des cartes de modèles intégrées et des validations conformes aux exigences d'audit. Le tout dans un flux de travail qui soulage les équipes et facilite la planification des audits.
Nous serions ravis de vous montrer comment Ailance AI Governance aide les entreprises à gérer l'IA de manière sûre et conforme.
German 
English 
Italian 
French