Le feu vert de l’Allemagne pour la loi sur l’IA de l’UE : un compte à rebours pour la conformité des entreprises
L’Allemagne a approuvé un projet de loi pour mettre en œuvre la loi sur l’IA de l’UE, désignant l’Agence fédérale des réseaux (Bundesnetzagentur) comme l’autorité centrale de surveillance de l’IA du pays.
Cadre national de régulation de l’IA
Dans le cadre du projet de loi sur la surveillance du marché de l’IA et la promotion de l’innovation (KI-MIG), l’Allemagne établira son cadre national pour réguler le développement et le déploiement des systèmes d’IA. Ce projet de loi sera soumis au Bundestag (chambre basse du parlement) et au Bundesrat (chambre haute) pour approbation parlementaire.
« Avec cette loi, nous mettons en œuvre les exigences européennes de manière maximisée et favorable à l’innovation tout en créant une supervision de l’IA allégée avec un focus clair sur les besoins de l’économie », a déclaré le ministre fédéral du Numérique, Karsten Wildberger, dans un communiqué.
Modèle de surveillance décentralisée
Selon le projet de loi, l’Agence fédérale des réseaux agira en tant que coordinateur central, autorité de surveillance du marché et organisme notificateur. L’agence de Bonn coordonne déjà la mise en œuvre de la loi sur les services numériques de l’UE et supervise des plateformes telles que Facebook, Instagram, YouTube, TikTok et X.
Le projet de loi attribue la surveillance de l’IA à des régulateurs établis, y compris l’Office fédéral des cartels, l’Autorité fédérale de supervision financière (BaFin) et les autorités de protection des données à l’échelle fédérale et étatique.
« La carte de supervision a changé de forme. Il n’est plus sensé de penser en termes de relation unique avec un régulateur pour l’IA », a déclaré Sanchit Vir Gogia, analyste en chef chez Greyhound Research. « L’Allemagne a choisi d’ancrer la coordination à l’intérieur de l’Agence fédérale des réseaux, ce qui lui confère un centre de gravité. Mais elle n’a pas centralisé le pouvoir d’exécution en un seul endroit. »
Complexité pour les entreprises
Cette approche décentralisée crée une complexité pour les entreprises. Un modèle de notation utilisé dans les ressources humaines, le crédit ou intégré dans un dispositif réglementé ne passe pas par le même canal de supervision. « Cela signifie que les entreprises doivent disposer d’une capacité de classification et de routage en interne », a-t-il ajouté.
L’approche de l’Allemagne reflète un schéma plus large au sein de l’UE. La France se dirige vers une décentralisation coordonnée, tandis que l’Espagne a investi dans l’expérimentation en sandbox. L’Italie a promulgué une loi nationale sur l’IA préservant les canaux de supervision sectoriels. « Structurellement, la coordination centrale plus l’exécution sectorielle ne sont pas uniques à l’Allemagne. Cela devient le modèle opérationnel », a conclu Gogia.
Appels à des réformes au niveau de l’UE
Les groupes industriels ont accueilli l’approche de mise en œuvre de l’Allemagne tout en appelant à des changements fondamentaux dans la loi sur l’IA de l’UE elle-même.
« Nous accueillons la structure proposée, qui donne à l’Agence fédérale des réseaux un rôle de coordination significatif tout en maintenant l’expertise accumulée par les autorités de surveillance sectorielles », a déclaré Sarah Bäumchen, directrice générale de l’Association allemande des industries électriques et numériques (ZVEI). « Cependant, comme la loi sur l’IA est une réglementation européenne, la loi de mise en œuvre pragmatique allemande ne peut pas aborder ses graves lacunes. »
La date limite d’août 2026 représente une préoccupation majeure pour les entreprises, selon Bäumchen. « Des éléments clés, tels que des normes européennes harmonisées spécifiant comment les entreprises peuvent se conformer aux exigences à haut risque, ne sont pas encore disponibles. Un report de la date limite de mise en œuvre de 24 mois est donc nécessaire pour éviter que les entreprises ne retardent ou n’annulent même l’introduction des fonctionnalités d’IA. »
ZVEI appelle à l’exclusion de l’IA industrielle de la loi dans son ensemble. « Les garde-fous nécessaires à une utilisation sûre de l’IA dans les contextes industriels sont déjà en place », a déclaré Bäumchen, citant la réglementation sur les machines et les réglementations sur les logiciels des dispositifs médicaux.
Priorités de conformité des entreprises
En vertu de la loi sur l’IA de l’UE, les entreprises doivent évaluer les niveaux de risque des systèmes d’IA et mettre en œuvre des mesures de transparence et de sécurité correspondantes. La réglementation interdit les programmes d’IA qui effectuent des évaluations de comportement social et interdit la reconnaissance des émotions dans les lieux de travail et les établissements d’enseignement.
Les entreprises développant ou utilisant des systèmes d’IA à haut risque doivent respecter des exigences couvrant la transparence, la gouvernance des données, la documentation, la robustesse et la cybersécurité lorsque les obligations entreront en vigueur dans les six mois suivant l’approbation.
Pour les entreprises opérant en Allemagne, la priorité immédiate est de construire ce que Gogia appelle un « système opérationnel de conformité fonctionnel » avant la date limite d’août 2026.
« La plupart des entreprises n’ont toujours pas d’inventaire complet des systèmes d’IA à travers les constructions internes, les fonctionnalités intégrées des fournisseurs et les déploiements informels dans les unités commerciales », a-t-il déclaré. La gouvernance des fournisseurs représente un point de pression critique, car les entreprises doivent s’assurer que les fournisseurs peuvent produire une documentation technique et des preuves d’évaluation de conformité.
Les services financiers seront soumis à un examen minutieux concernant la notation de crédit et l’automatisation de la souscription, tandis que les systèmes d’emploi risquent de générer des applications basées sur des plaintes en raison de leur impact direct sur les individus, a-t-il ajouté. La mise en œuvre de l’Allemagne comprend un chemin central d’introduction des plaintes, ce qui signifie que « l’exécution ne repose pas uniquement sur l’initiative du régulateur. Elle peut être déclenchée de l’extérieur. »
L’Allemagne a manqué la date limite du 2 août 2025 de l’UE pour établir des structures de supervision nationales en raison des élections fédérales anticipées. L’Agence fédérale des réseaux a établi un service d’assistance à l’IA en juillet 2025 et publié des orientations sur la sensibilisation à l’IA en juin 2025. Plus de 1 000 propositions de changement ont été prises en compte lors de la rédaction, selon le communiqué du ministère.