B. RISQUES DE SURTRANSPOSITION ET MARGES DE MANoeUVRE LÉGISLATIVES
En renvoyant directement au texte européen, la France s'aligne parfaitement avec les dispositions adoptées par l'Union européenne. En outre, il s'agit non pas d'une transposition de directive mais d'une adaptation à un règlement.
C. INITIATIVES RÉCENTES OU À VENIR DE LA COMMISSION SUR CETTE THÉMATIQUE
Le RIA vise à être simplifié par « l'omnibus numérique », paquet de simplification présenté le 19 novembre 2025 et composé de deux règlements, dont l'un est spécifiquement consacré au RIA. Les modifications proposées sont les suivantes :
· un mécanisme de flexibilité pour les systèmes d'IA à haut risque : les obligations liées à ces systèmes dépendent désormais de la disponibilité des outils (lignes directrices, standards, codes, spécifications communes ...). Aucune obligation ne leur incombe tant que de tels outils ne sont pas publiés, puis, après publication de ces règles d'harmonisation, les systèmes à haut risque auront une période de transition pour leur permettre de se mettre en conformité, allant de six mois (pour les IA à haut risque classées dans l'annexe III, c'est-à-dire les systèmes pouvant porter atteinte aux droits fondamentaux des personnes dans certains domaines spécifiques comme la justice, l'éducation ou l'emploi) à douze mois (pour celles classées dans l'annexe I, à savoir les systèmes d'IA constituant un composant de sécurité d'un produit, par exemple d'un dispositif médical). Cette période de flexibilité est tout de même limitée dans le temps puisque, même sans outils d'harmonisation, les obligations incombant aux IA à haut risque devront s'appliquer à compter du 2 décembre 2027 (pour les systèmes classés dans l'annexe III) et à partir du 2 août 2028 pour ceux de l'annexe I ;
· un ajout dans l'article 111 du RIA, concernant les obligations relatives aux mesures de transparence : les systèmes d'IA à usage général mis sur le marché avant août 2026 auront désormais droit à une « période de transition » de six mois pour entrer en application avec ces obligations ;
· l'ajout d'un nouvel article sur les données collectées par les systèmes d'IA, en remplacement de l'article 10(5) du RIA : si la liste des conditions à remplir pour pouvoir collecter des données personnelles à des fins de détection et de correction des biais en ce qui concerne les systèmes d'IA à haut risque, sous réserve de garanties appropriées pour les droits et libertés fondamentaux des personnes physiques, il est ajouté que cela peut s'appliquer aux fournisseurs et aux déployeurs d'autres systèmes et modèles d'IA et aux déployeurs de systèmes d'IA à haut risque, lorsque cela est nécessaire et proportionné ;
· un rôle plus étoffé pour le bureau de l'IA : la compétence du bureau de l'IA est renforcée s'agissant de la surveillance et de l'application du règlement pour certains systèmes d'IA, basés sur un modèle d'IA à usage général, lorsque le modèle et le système sont fournis par le même prestataire. En outre, la supervision et le contrôle de la conformité des systèmes d'IA intégrés dans des plateformes en ligne ou des moteurs de recherche en ligne de très grande taille désignés relèvent de la compétence du bureau de l'IA ;
· une prise en compte des petites entreprises de taille intermédiaire (« small and mid cap enterprises », employant entre 250 et 749 personnes) pour qu'elles puissent bénéficier de certaines simplifications techniques au même titre que les PME.
Actuellement discuté en groupe ad hoc du Conseil sur la simplification, ce texte ne dispose pas encore de calendrier précis. À ce stade, on sait simplement que la Commission européenne aimerait aboutir à un accord rapide, tandis que les colégislateurs souhaiteraient revoir de nombreux éléments.