Le Centre pour la Sécurité de l’IA (CeSIA) désapprouve vivement plusieurs dispositions du « digital omnibus » et appelle le Parlement à refuser son adoption. Ce texte, publié par la Commission européenne mercredi 19 novembre, prévoit le report de l’application des règles devant s’imposer aux systèmes d’IA à haut risque ainsi que l’annulation de certaines obligations pesant sur leurs fournisseurs.
La Commission a officiellement proposé de retarder l'application du règlement sur l’IA pour les systèmes à haut risque, repoussant l'échéance maximale à décembre 2027 pour les systèmes utilisés dans des domaines sensibles tels que l’analyse biométrique, les activités de police ou les élections, et au mois d’août 2028 pour les systèmes de sécurité des produits réglementés tels que les machines industrielles ou l’aviation civile.
« Sous couvert de simplification administrative, la Commission accède aux doléances de l’industrie et envoie un signal déplorable en signifiant qu’il suffit de réclamer un assouplissement des règles pour l’obtenir. Toute réforme du cadre existant doit être fondée sur des preuves et faire l’objet d’un processus démocratique clair. Cet ajustement précipité ne fait qu’affaiblir la confiance dans la capacité de l’UE à réguler l’IA. Retarder les protections quand les risques croissent, c’est aller à contre-sens », déclare Charbel Raphaël Segerie, directeur exécutif du CeSIA.
Le besoin de “certitude réglementaire”, un prétexte fallacieux
Le principal argument invoqué par les fournisseurs d’IA – et repris par la Commission dans sa communication officielle – pour justifier le report de la loi s’appuie sur le retard pris dans la publication des standards techniques devant s’imposer aux systèmes à haut risque. Si ce retard est avéré, le CeSIA souligne que l’AI Act prévoyait déjà ce cas de figure : en l’espèce, l’article 41 permet à la Commission d’établir elle-même des “spécifications communes” faisant office de standards provisoires pour parer à l’éventualité où les standards harmonisés ne seraient pas livrés à temps. Le CeSIA demande à la Commission d’activer ce levier plutôt que de repousser l'entrée en vigueur des exigences de sécurité.
Une dérégulation confirmée : fin de la transparence sur les auto-exemptions
Le CeSIA dénonce la confirmation, dans le texte final, de la modification de l'article 6 et de la suppression de l'article 49(2). Les fournisseurs pourront désormais conclure que leur système n'est pas à haut risque sans avoir à l'enregistrer dans la base de données publique de l'UE. « Permettre à un fournisseur de se déclarer hors-champ de responsabilité sans aucune trace publique est l’antithèse de la transparence. La proposition de la Commission confirme nos craintes : les fournisseurs seront juges et partis, et personne ne saura quels systèmes échappent à tout examen », souligne le CeSIA.
Vers un affaiblissement du cadre pour l'IA à usage général ?
Le CeSIA note également avec inquiétude que le texte retire à la Commission le pouvoir de conférer, par acte d'exécution, une validité générale aux codes de bonnes pratiques, fragilisant ainsi la portée normative de ces outils cruciaux pour les modèles les plus puissants, dits « à usage général ».
Alors que les incidents impliquant des systèmes d’IA se multiplient et que cette technologie est rapidement déployée dans des secteurs sensibles, le CeSIA appelle le Parlement européen et le Conseil à rejeter le paquet de simplification et à amender fermement cette proposition pour rétablir l'intégrité du règlement sur l'IA.
