EU suspend les règles sur l’IA à haut risque – mais les entreprises ont encore du travail à faire
La Commission européenne propose des amendements à sa Réglementation sur l’IA. Parmi les modifications proposées, la plus significative est le report de l’entrée en vigueur des règles sur les hauts risques jusqu’à ce que des normes harmonisées et des outils d’accompagnement soient en place. Cela s’aligne avec la position de la Confédération des Entreprises Suédoises, qui souligne que les règles doivent être pratiquement applicables avant leur entrée en vigueur.
Cette pause offre un certain répit, mais ce n’est pas un bouton de pause pour les entreprises, déclare un expert. « Les entreprises qui cartographient déjà leurs systèmes d’IA, renforcent leur gouvernance interne et coordonnent leurs processus de conformité seront les mieux préparées lorsque le compte à rebours recommencera. »
Objectif de la Réglementation sur l’IA
La Réglementation sur l’IA de l’UE, qui établit des règles harmonisées pour l’intelligence artificielle, vise à promouvoir une IA de confiance en Europe. La loi sur l’IA est introduite par étapes, et les règles concernant les pratiques interdites et les modèles d’IA à usage général sont déjà en vigueur. Ce qui reste – et ce qui est le plus critique pour les entreprises – ce sont les dispositions pour les systèmes classés comme hauts risques selon les Annexes I et III.
Exigences pour les systèmes à haut risque
Cela inclut des exigences en matière de gestion des risques, de documentation, de gouvernance des données, de journalisation, de robustesse et de supervision humaine. Selon le calendrier actuel, les exigences de l’Annexe III devaient s’appliquer à partir du 2 août 2026, et celles de l’Annexe I à partir du 2 août 2027 – mais les règles sur les hauts risques seront maintenant reportées.
Raisons du report
Plusieurs raisons expliquent ce report :
- Les normes harmonisées sont retardées. Les règles sur les hauts risques de la Réglementation sur l’IA doivent être opérationnalisées par le biais de normes, et sans elles, les entreprises manquent d’un moyen pratique et légal de démontrer leur conformité.
- La Commission souhaite éviter un scénario où les règles commencent à s’appliquer avant que les normes, spécifications communes et structures de supervision soient prêtes. Cela entraînerait des coûts élevés, des risques d’interprétations nationales fragmentées et de grandes difficultés pour les entreprises à respecter les exigences à temps.
Coordination essentielle
Cependant, la pause ne résout que la question immédiate de la date d’application des règles – pas comment le cadre réglementaire doit fonctionner en pratique aux côtés d’autres législations de l’UE. De nombreuses entreprises doivent donc travailler de manière plus stratégique pour coordonner la Réglementation sur l’IA avec, par exemple, le Règlement Général sur la Protection des Données (RGPD), la Loi sur les Services Numériques (DSA), la Loi sur la Résilience Numérique (CRA) et la prochaine loi suédoise sur la cybersécurité mettant en œuvre la Directive NIS2.
Que peuvent faire les entreprises dès maintenant ?
Premièrement, les systèmes d’IA doivent être classés tôt, car la différence entre les règles de l’Annexe III et celles de l’Annexe I détermine l’ensemble du processus de planification – des investissements aux contrats. Deuxièmement, les entreprises doivent commencer à établir leurs structures de gouvernance interne : rôles, documentation, journalisation et processus de risque qui peuvent être établis indépendamment des normes détaillées.
Troisièmement, il est judicieux de coordonner les flux de travail réglementaires, en veillant à ce que le RGPD, le DSA, le CRA, la NIS2 et la Réglementation sur l’IA soient gérés au sein d’un cadre de conformité commun plutôt que comme des projets séparés.
Les entreprises doivent rester sur la bonne voie
La pause offre un répit précieux – mais ce n’est pas un bouton de pause pour le secteur des affaires. Le calendrier reste fluide. Les négociations à Bruxelles peuvent prendre plus de temps, le travail de normalisation n’est pas terminé et les chevauchements avec d’autres règles de l’UE demeurent. Les entreprises doivent donc se préparer à plusieurs scénarios, y compris la possibilité que les exigences à haut risque puissent entrer en vigueur plus tôt que les dates proposées.
Les entreprises qui cartographient déjà leurs systèmes d’IA, renforcent leur gouvernance interne et coordonnent leurs processus de conformité seront les mieux préparées lorsque le compte à rebours redémarrera – que cela se produise en 2027, 2028 ou plus tôt.
Conclusion
Les délais seront dictés par l’achèvement des normes, mais avec des dates de début fixes. Les entreprises recevront un soutien pour la conformité, mais doivent être prêtes à ce que les règles s’appliquent plus tôt. Si le début est avancé, la fenêtre d’adaptation sera relativement courte : 6 à 12 mois.