L'UE démantèle en douce les règles qu'elle a mis 5 ans à construire

L'UE démantèle en douce les règles qu'elle a mis 5 ans à construire

Cinq ans de négociations. Des centaines de milliers d'heures de débats parlementaires. Et au bout, un texte que la Commission présentait au monde entier comme le modèle à suivre pour encadrer l'IA.

Depuis novembre 2025, une bonne partie de ce travail est en train d'être défaite. Pas frontalement. Par une série de reports, d'exemptions et de redéfinitions regroupés dans ce qu'on appelle le Digital Omnibus.

Qu'est-ce que le Digital Omnibus ?

En novembre 2025, la Commission européenne a publié deux textes : un premier qui modifie l'AI Act, un second qui retouche le RGPD. L'ensemble forme le "paquet numérique", rebaptisé Digital Omnibus. L'argument officiel ? Simplification administrative. Réduire les charges bureaucratiques pour permettre aux entreprises européennes de rester compétitives face aux géants américains et chinois.

Ce cadrage "compétitivité" n'est pas sans fondement. L'IA progresse vite, et les standards techniques nécessaires à la mise en conformité n'étaient pas encore prêts. Mais la façon dont on simplifie importe autant que la simplification elle-même.

Ce qui change concrètement sur l'AI Act

L'AI Act classifie les systèmes IA en niveaux de risque. Les systèmes dits "haut risque" (scoring de crédit, tri de CV, reconnaissance biométrique, décisions d'accès au logement) devaient se soumettre à des obligations strictes dès août 2026 : évaluations de conformité, publication des rapports de risque, registre obligatoire.

Le Digital Omnibus repousse ces obligations à décembre 2027 pour la plupart d'entre eux, et à août 2028 pour les systèmes embarqués dans des produits réglementés (dispositifs médicaux, véhicules). L'obligation de watermarking pour les contenus générés par IA est reportée à février 2027 pour les outils déjà sur le marché.

Le plus significatif reste cependant la question des systèmes déjà déployés. Selon la proposition de la Commission, les outils en production avant ces nouvelles dates butoir ne seraient jamais soumis aux règles initialement prévues. Ce n'est pas un délai de grâce. C'est une exemption définitive. Tout ce qui tourne aujourd'hui dans les entreprises européennes pourrait rester hors cadre réglementaire pour toujours.

Ce qui change sur le RGPD

Le volet RGPD du Digital Omnibus est moins médiatisé, mais il est potentiellement aussi important. La proposition réduit la définition de ce qui constitue une donnée personnelle et élargit le recours au "legitimate interest" comme base légale pour traiter des données. C'est un peu comme déplacer subtilement les bornes d'un terrain : personne ne remarque au quotidien, mais la surface appropriée change.

Concrètement, les entreprises pourraient s'appuyer plus facilement sur cet intérêt légitime pour entraîner leurs modèles IA, sans avoir à demander le consentement explicite des utilisateurs. Ce type de modification passe inaperçu dans les titres, mais change les équilibres de fond.

Qui a rédigé ce texte ?

En janvier 2026, le Corporate Europe Observatory a publié une analyse comparative entre les positions lobbying de l'industrie tech et le texte final de la Commission. Résultat : sur huit modifications majeures contenues dans le Digital Omnibus, sept correspondent directement aux revendications des acteurs technologiques.

Ce n'est pas une coïncidence statistique. Les chiffres du lobbying à Bruxelles donnent le contexte : le secteur tech dépense aujourd'hui 151 millions d'euros par an en lobbying européen, contre 113 millions en 2023, soit une hausse de 33% en deux ans. On compte désormais 890 lobbyistes tech à temps plein à Bruxelles, un chiffre qui dépasse le nombre d'eurodéputés. Au premier semestre 2025, les grandes plateformes ont eu 146 réunions avec des hauts fonctionnaires de la Commission, soit plus d'une par jour ouvrable.

Amnesty International a qualifié l'ensemble du processus de "plus grand recul des droits fondamentaux numériques dans l'histoire de l'UE, réalisé dans l'opacité, avec des procédures conçues pour éviter le contrôle démocratique."

Le Parlement a résisté, partiellement

Le 26 mars 2026, le Parlement européen a adopté sa position de négociation par 569 voix contre 45. Les eurodéputés ont réintroduit certaines garanties supprimées par la Commission et fixé des délais plus précis. Ils ont notamment proposé d'interdire les deepfakes sexuels non consentis, une mesure absente de la version initiale.

Mais les reports de délais restent dans le texte. Et la question des systèmes déjà déployés n'a pas été résolue.

Le trilogue final entre Commission, Parlement et États membres s'ouvre ce mardi 28 avril. Cette séance doit sceller le contenu définitif du texte. Ce que chacune des trois institutions acceptera de lâcher dans les heures qui viennent déterminera la portée réelle des reports et des exemptions.

Ce que ça change pour toi

Si tu utilises des services de crédit, si tu passes par une plateforme de recrutement automatisée, si tu es concerné par des décisions algorithmiques dans l'accès au logement ou aux services sociaux, les protections que l'AI Act devait t'apporter en 2026 n'arriveront pas avant 2027 au mieux, 2028 pour certains systèmes.

Et les outils qui tournent déjà aujourd'hui dans ces domaines ? Ils pourraient ne jamais y être soumis.

Pour vérifier si un système qui te concerne entre dans les catégories à "haut risque" de l'AI Act (Annexe III), le registre officiel sera accessible via le portail de l'Agence IA européenne dès sa mise en place. Ce n'est pas encore là. Mais c'est utile de savoir à quoi ressemble la liste : scoring financier, recrutement, évaluation scolaire, gestion des foules, accès aux services publics.

La question n'est pas de savoir si ces systèmes méritent d'être régulés. Sur ce point, même la Commission est d'accord. La question est de savoir à quel rythme, et dans quelle mesure les règles s'appliqueront à ceux qui sont déjà en place.

Sources : EDRi, Amnesty International, Corporate Europe Observatory, OneTrust, Parlement européen (suivi législatif Digital Omnibus), IAPP