AVANT-PROPOS
La proposition d'omnibus numérique, objet de ce rapport d'information, intervient dans un cadre juridique européen dense et qui présente un rythme d'évolution particulièrement soutenu ces dernières années.
Ainsi, le cadre juridique européen du numérique, déjà complexe car composé de textes épars couvrant différents aspects et champs de régulation du secteur numérique (économie et concurrence, gestion des données, cybersécurité...) a été agrémenté depuis 2022 de plusieurs ajouts majeurs, dont notamment :
· en matière de cybersécurité : le règlement sur la résilience cyber de 20221(*) et le règlement sur la cyber-solidarité de 20232(*), destinés à améliorer la préparation, la détection et la réaction aux incidents de cybersécurité dans l'ensemble de l'UE ;
· en matière d'encadrement du secteur numérique : le règlement sur les services numériques (DSA) de 20223(*) qui encadre les activités des plateformes, en particulier celles des GAFAM, et le règlement sur les marchés numériques (DMA) de 20224(*) également, qui prévoit des obligations et interdictions opposables aux géants du numérique dans l'objectif de lutter contre les pratiques anticoncurrentielles dans ce secteur ;
· en matière d'IA : le règlement sur l'IA de 20245(*) ;
· de manière générale, concernant l'industrie numérique : le règlement sur les infrastructures gigabit de 20246(*) et le règlement européen sur les semi-conducteurs (Chips Act) de 20237(*).
Malgré leur complexité et leur prolifération, il convient de souligner que la commission des affaires européennes du Sénat s'est efforcée d'analyser de manière systématique et approfondie l'ensemble des propositions de la Commission européenne ayant abouti à ces règlements.
S'agissant de règlements, ces textes trouvent à s'appliquer directement en droit français. Sur le plan national, le cadre européen a par ailleurs été conforté et complété par l'adoption le 21 mai 2024 de la loi n° 2024-449 visant à sécuriser et à réguler l'espace numérique (dite « loi SREN »).
C'est dans cet écosystème normatif foisonnant que s'inscrit la nouvelle proposition de la Commission européenne dite « omnibus numérique », présentée le 11 novembre 2025, dans un objectif affiché de simplification et d'harmonisation. Il s'agit d'un ensemble dense qui balaie une large portion de l'arsenal juridique européen du numérique. Il est ainsi composé de deux volets : le premier portant spécifiquement sur l'intelligence artificielle (IA) et modifiant le règlement sur l'IA de 2024, et le second, couvrant dans une approche plus extensive, les données et la cybersécurité.
I. LE VOLET IA DE L'OMNIBUS NUMÉRIQUE : UN TEXTE PRÉSENTÉ COMME ESSENTIELLEMENT TECHNIQUE, NÉGOCIÉ AU PAS DE COURSE ET QUI SOULÈVE POURTANT DES QUESTIONS DE FOND
La proposition de règlement du Parlement européen et du Conseil modifiant les règlements (UE) 2024/16898(*) et (UE) 2018/11399(*) en ce qui concerne la simplification de la mise en oeuvre des règles harmonisées concernant l'intelligence artificielle (ci-après « train de mesures omnibus numérique sur l'IA ») vise deux objectifs principaux :
· le report dans le temps de certaines obligations prévues par le règlement sur l'IA de 2024, d'une part ;
· des ajustements décrits par la Commission européenne comme « ciblés » pour favoriser l'innovation en matière d'IA en Europe, d'autre part.
L'objectif de simplification apparaît légitime pour alléger certaines charges administratives pour les entreprises, notamment lorsqu'elles apparaissent disproportionnées au vu de leur taille. C'est un enjeu clé pour favoriser le développement de startups innovantes et leur passage à l'échelle (scale-up), face à la concurrence des géants américains et chinois.
En outre, le train de mesures omnibus numérique sur l'IA vise à renforcer la cohérence du cadre législatif européen du numérique. Ainsi, un rapport de la commission de l'industrie, de la recherche et de l'énergie (ITRE) du Parlement européen du 30 octobre 2025 (Interplay between the AI Act and the EU digital legislative framework, PE 778.575), avait souligné la nécessité d'améliorer la coordination du règlement sur l'IA avec les nombreux autres textes européens sur le numérique.
Pour autant, les rapporteures estiment que la proposition de la Commission européenne excède pour partie ces seuls objectifs d'harmonisation et de simplification. Elles soulignent ainsi la nécessité qu'il y aurait à enfin « mieux légiférer » au niveau européen10(*), ce qui est fondamental dans un contexte géopolitique incertain.
1. L'arrêt du chrono pour certaines obligations faites aux systèmes d'IA : un aveu d'échec pour l'UE ?
a) Le choix d'un report à date fixe : la meilleure option du point de vue de la sécurité juridique pour les entreprises du secteur
Le règlement sur l'IA est entré en vigueur le 1er août 2024. Depuis lors, ses dispositions entrent en application de manière échelonnée, avec pour date butoir théorique le 2 août 2027.
En particulier, les obligations pour les systèmes d'intelligences artificielles dits « à haut risque », la mise en place des bacs à sable réglementaires en matière d'IA ou de systèmes d'évaluation de conformité, devaient théoriquement entrer en application le 2 août 2026.
Qu'est-ce qu'une IA à haut risque ?
Le règlement sur l'IA de 2024 se fonde sur une approche par niveau de risque des systèmes d'IA pour définir les modalités de régulation et obligations qui incombent aux fournisseurs et déployeurs.
Un système d'IA est considéré comme à haut risque s'il est utilisé comme composant de sécurité d'un produit, ou s'il s'agit d'un produit lui-même, qui est couvert par la législation européenne de l'annexe I du règlement sur l'IA. Cette annexe couvre notamment les secteurs suivants : machines, jouets, ascenseurs, dispositifs médicaux, véhicules de transport...
Outre les systèmes d'IA de l'annexe I, des systèmes d'IA sont considérés à haut risque s'ils entrent dans des domaines d'utilisation « cruciaux », tels l'éducation, la biométrie, les autorités répressives, l'administration de la justice... Ces domaines sont listés à l'annexe III du règlement sur l'IA.
De façon générale, un système d'IA n'est pas considéré à haut risque s'il ne présente pas de risque significatif pour la santé, la sécurité ou les droits des personnes.
Or, compte tenu des retards pris dans l'élaboration de normes harmonisées sur l'IA11(*) rédigées par l'organisme européen de normalisation, il est apparu nécessaire de reporter cette échéance, en réponse notamment aux plaintes de nombreux acteurs, industrie numérique en tête. On parle en conséquence de « l'arrêt du chrono » ou « stop the clock », en anglais.
Dans sa proposition initiale, la Commission européenne envisageait un report de l'entrée en application des règles pour les systèmes à haut risque conditionné à la disponibilité des normes, orientations ou lignes directrices, précisant toutefois des dates butoirs :
· le 2 décembre 2027 (soit un report de 18 mois) pour les systèmes d'IA de l'annexe III (les systèmes d'IA à haut risque utilisés dans certains secteurs, comme l'éducation, les prestations sociales ou le contrôle des frontières) ;
· le 2 août 2028 (soit un report de 24 mois) pour les systèmes d'IA de l'annexe I (les systèmes d'IA à haut risque intégré dans un produit, par exemple, de l'imagerie médicale).
Alors qu'a été débattue la pertinence du choix d'un report à dates fixes ou de son conditionnement à la publication des normes de références, les colégislateurs se sont accordés dans leurs négociations sur un report à dates fixes. Cette approche est en ligne avec la position défendue par la France au Conseil, dans un objectif de clarté et de sécurité juridique.
Ainsi, le trilogue conclusif du 7 mai 2026 a supprimé le mécanisme de flexibilité proposé par la Commission européenne et retenu uniquement les dates de report d'entrée en application du 2 décembre 2027 pour les systèmes d'IA de l'annexe III et du 2 août 2028 pour les systèmes d'IA de l'annexe I.
Tout en déplorant le retard pris dans l'édiction des normes harmonisées, les rapporteures estiment qu'un report à date fixe et à relativement brève échéance est la meilleure option en termes de sécurité juridique et de prévisibilité pour les entreprises du secteur.
· En outre, les rapporteures saluent la position qui a été défendue par la France de n'appliquer aucun report dans le temps des obligations de transparence pour les fournisseurs et les déployeurs de certains systèmes d'IA (article 50 du règlement sur l'IA), qui visent le marquage des contenus générés artificiellement. Cet article du règlement sur l'IA va ainsi dans le sens d'une première couche de protection des contenus protégés par le droit d'auteur, comme le soulignait déjà la commission des affaires européennes dans son avis politique relatif au code de bonnes pratiques en matière d'intelligence artificielle à usage général, du 14 mai 202512(*).
· À l'issue du trilogue conclusif du 7 mai 2026, un report de 6 mois des obligations de marquage au titre de l'article 50 du règlement sur l'IA aurait été acté13(*) (soit le 2 décembre 2026 au lieu du 2 août 2026). Les rapporteures regrettent ce report qu'elles estiment dommageable tant du point de vue de la protection du droit d'auteur que de la transparence pour les citoyens dans leur utilisation de l'IA.
b) Un report
certes nécessaire mais révélateur de la difficulté
à encadrer
l'IA et d'un échec relatif du processus
décisionnel européen
À l'issue d'une série d'auditions, les rapporteures de la commission des affaires européennes estiment que le report des obligations faites à certains systèmes d'IA était devenu nécessaire, eu égard à l'incertitude de l'application des normes, en l'absence de guides et outils de conformité à destination des entreprises. Ce report apparaît ainsi justifié du point de vue de la compétitivité des entreprises européennes et pour éviter toute entrave à l'innovation dans le secteur de l'IA, critique pour la compétitivité des systèmes d'IA européens.
Pour autant, alors que le règlement sur l'IA a été adopté il y a à peine deux ans, les rapporteures jugent ce report révélateur des maux qui frappent la législation européenne du numérique : une forme de « capture du régulateur » face un écosystème numérique complexe et rapide, d'une part, et un certain dysfonctionnement des processus européens, d'autre part.
Ainsi, confronté à une industrie numérique au rythme d'innovation soutenu et aux évolutions techniques particulièrement complexes, ce report intervient sans suffisamment de recul pour pouvoir expertiser les effets des règles proposées par le règlement sur l'IA de 2024, qui n'est pas totalement implémenté. D'ailleurs, la Commission européenne n'a pas soumis d'étude d'impact pour sa proposition d'omnibus numérique, indiquant que le « document de travail des services » (« staff working document ») était suffisant.
Les rapporteures déplorent l'absence d'étude d'impact, qui - dans un environnement législatif européen du numérique dense, foisonnant et rapidement renouvelé - nuit à la bonne compréhension des propositions formulées et de leur insertion dans le droit de l'Union européenne. Elles soulignent que cette situation tend à démontrer que la Commission européenne a privilégié dans la période récente les effets d'annonce politique, au détriment d'un travail de fond abouti, qui certes prend du temps, mais s'avère nécessaire dans l'environnement numérique actuel.
Cette situation soulève un sujet d'ordre plus général sur la clarté du droit européen. En contradiction avec l'objectif affiché de simplification, des révisions rapides et peu expertisées du règlement sur l'IA peuvent paraître difficilement compréhensibles pour les entreprises, mais aussi pour les citoyens européens. Elles posent question quant à leur acceptabilité, qui en l'absence d'effort de pédagogie suffisant, participe au phénomène de décrochage démocratique.
Dès lors, les rapporteures s'interrogent sur le calendrier de cet « arrêt du chrono » : doit-il être perçu comme un aveu d'échec de la Commission européenne, confrontée à l'impossibilité de tenir les délais qu'elle s'était elle-même fixée pour l'édiction des normes de références harmonisées sur l'IA ?
La France, dans les négociations inter-institutionnelles menées en 2024 et 2025 sur le règlement sur l'IA, avait déjà identifié que le calendrier proposé était difficilement tenable au vu de la complexité d'aboutir à des normes techniques dans les délais prescrits, sur des sujets de droit aussi novateurs et complexes, l'UE étant en effet la première puissance à proposer une régulation systématique de l'IA.
Comme l'avait déjà soulignée la commission des affaires européennes dans son rapport d'information « Législation européenne : Peut mieux faire ! »14(*), le volontarisme européen alimente une dérive normative au risque de fragiliser l'UE. C'est particulièrement vrai dans le cas de la législation européenne du numérique et de l'IA, qui frappe par sa fragmentation. Ainsi, près d'une dizaine de textes européens ont été adoptés entre 2022 et 2025 spécifiquement dans le secteur du numérique15(*), sans compter les textes sectoriels ou connexes intéressant ces questions de près ou de loin. À titre d'exemple, les rapporteures estiment qu'un seul texte européen aurait pu utilement couvrir les mesures comprises dans le règlement sur l'IA, le règlement sur les services numériques (DSA) et le règlement sur les marchés numériques (DMA), tous trois adoptés ou mis en oeuvre en 2024.
Face au cadre réglementaire européen du numérique très vaste posé par la précédente mandature, force est de constater qu'il faudra du temps à l'ensemble des acteurs de l'écosystème numérique - agences nationales de régulation, entreprises et administrations - pour mettre en oeuvre et appliquer les règles. En conséquence, l'omnibus IA - comme les autres paquets omnibus - doit veiller à respecter une approche strictement circonscrite aux objectifs de simplification, de clarification et d'harmonisation. Il s'agit donc de limiter les nouvelles mesures ou les modifications profondes de textes récents.
Dans ce contexte, les rapporteures rappellent l'importance d'une association pleine et entière des parties prenantes dans la préparation des projets de législation européenne, y compris des Parlements nationaux. De même, l'effort de pédagogie et de communication auprès des entreprises et des citoyens européens doit être poursuivi et renforcé.
2. Des propositions pas si « ciblées » pour favoriser l'innovation : la tentation de déréguler l'IA
Outre l'enjeu du report dans le temps des obligations faites à certains systèmes d'IA, le train de mesures omnibus numérique sur l'IA comprend plusieurs ajustements présentés par la Commission européenne comme « ciblés » au règlement sur l'IA de 2024.
Destinés à favoriser l'innovation au sein de l'UE, en réduisant les coûts administratifs induits pour les entreprises, certaines mesures sont jugées positives par l'industrie numérique comme par les rapporteures ; d'autres soulèvent, par leur ampleur ou leurs effets cumulés, des questions quant aux risques potentiels, notamment du point de vue de la protection des données à caractère personnel.
a) Une série de mesures de simplification favorables aux startups et aux « scaleups »
Les rapporteures considèrent que plusieurs mesures vont dans le bon sens, c'est-à-dire dans le sens d'une simplification effective et de la réduction des charges induites pour les entreprises du secteur.
Plusieurs mesures visent ainsi la simplification des obligations administratives pour les petites et moyennes entreprises (PME) et les petites entreprises à moyenne capitalisation (PEMC), dont les définitions sont clarifiées (paragraphe 3 de l'article 1 du train de mesures omnibus numérique sur l'IA).
La nouvelle catégorie européenne des
petites entreprises
à moyenne capitalisation (PEMC)
Introduite par l'omnibus IV de mai 2025 sur le marché unique, la catégorie petites entreprises à moyenne capitalisation (PEMC) correspond aux entreprises qui comptent plus de 249 salariés (PME), mais moins de 750 salariés, et qui ont soit un chiffre d'affaires n'excédant pas 150 millions d'euros, soit des actifs totaux n'excédant pas 129 millions d'euros.
L'omnibus numérique propose de faire bénéficier la logique de simplification à destination des PEMC, issue de l'omnibus IV, aux entreprises du numérique qui ont dépassé le stade de la startup et rejoignent le stade de la « scaleup ».
Les simplifications existantes (documentation technique allégée, sanctions proportionnées, etc.) et les mesures de soutien à l'innovation ouvertes aux PME sont élargies aux PEMC. Concrètement les mesures de simplification des startups seraient ouvertes aux scaleups, c'est-à-dire aux entreprises innovantes du numérique ayant atteint une certaine taille critique (paragraphes 1, 8 et 9 de l'article 1 du train de mesures omnibus numérique sur l'IA). D'autres mesures de simplification administrative de nature technique, à destination des micro-entreprises, PME et PEMC, sont également jugées favorablement par les rapporteures (notamment celles figurant aux paragraphes 21, 23, 27, 28 et 29 de l'article 1 du train de mesures omnibus numérique sur l'IA).
Alors que - comme le rappelle Arthur Mensch, co-fondateur et CEO de Mistral AI16(*), près d'un tiers des licornes européennes ont délocalisé leur siège à l'étranger, notamment vers les Etats-Unis, toute mesure destinée à faciliter le développement des scaleups contribue effectivement à une stratégie européenne intégrée visant à faire de l'UE un acteur souverain et compétitif dans l'IA. Les mesures destinées à faciliter la conformité réglementaire des scaleups sont de nature à les encourager à demeurer implantées dans l'UE pour la suite de leur croissance. Elles viennent en complément des mesures destinées à améliorer leur accès au financement, projetées par ailleurs par la Commission européenne et des perspectives ouvertes par le 28e régime (« EU Inc. »), présenté le 18 mars 2026.
Les mesures visant l'harmonisation et la simplification en matière de documentation technique et de système de gestion de la qualité, avec un formulaire simplifié pour les PME/PEMC, sont également jugées favorablement. Elles rejoignent la proposition de Mistral AI de faire bénéficier les entreprises de documentations unifiées et standardisées pour réduire les coûts de conformité réglementaire.
Auditionnée le 29 avril 2026, l'association France digitale, qui regroupe 2 000 entreprises françaises et européennes du numérique, a confirmé que ces mesures sont jugées favorablement par ses adhérents. France digitale a néanmoins indiqué que les entreprises de son réseau ne s'attendaient pas particulièrement à de nouvelles mesures en matière d'IA (outre le report dans le temps des obligations faites à certains systèmes à haut risque, compte tenu de l'absence de normes harmonisées publiées dans les temps), ayant même déjà commencé à travailler à leur mise en conformité au règlement sur l'IA de 2024.
b) Les bacs à sable réglementaires : des dispositifs pas si enfantins en matière d'IA ?
En matière d'IA, les bacs à sable règlementaires, créés par le règlement sur l'IA de 2024, permettent aux entreprises, startups et développeurs de tester des systèmes d'intelligence artificielle innovants dans un environnement contrôlé, sous la supervision des autorités réglementaires. Le Sénat s'était déjà prononcé en faveur de la création des bacs à sable règlementaires en matière d'IA, tout en soulignant la nécessité d'un fonctionnement le plus homogène possible de ces bacs à sable, à travers les États membres17(*). Entendue le 29 avril 2026, France digitale confirme que les bacs à sable règlementaire en matière d'IA sont très appréciés par leurs adhérents pour permettre le test de nouvelles solutions, tout en bénéficiant, pour la France, d'un accompagnement de la Cnil.
Que sont les bacs à sable réglementaires ?
Les bacs à sable réglementaires sont des lieux d'expérimentation ouverts aux entreprises afin de leur permettre de tester leur technologie ou service innovant sans devoir nécessairement respecter l'ensemble du cadre réglementaire qui s'appliquerait normalement.
Ils sont opérés pour une durée donnée, sous la supervision d'agences nationales ou européennes, afin d'assurer une surveillance et de mitiger les risques.
L'omnibus IA propose plusieurs amendements concernant les bacs à sacs réglementaires de l'article 57 du règlement sur l'IA.
D'une part, le Bureau de l'IA (Commission européenne) deviendrait compétent pour mettre en place un bac à sable réglementaire européen, dès 2028, en plus des bacs nationaux, avec accès prioritaire pour les PME. Les rapporteures sont favorables à cette mesure qui apparaît de nature à renforcer la capacité des startups à atteindre une taille critique suffisante pour s'ouvrir au marché européen, bien qu'elles soulignent la nécessité pour les États membres de conserver des marges de manoeuvre quant aux modalités de leur participation.
D'autre part, les bacs à sable, initialement réservés aux PME, seraient étendus aux petites entreprises à moyenne capitalisation (PEMC) et aux entreprises de taille intermédiaire (ETI).
Enfin, les bacs à sable pourront désormais inclure des essais en conditions réelles pour les systèmes d'IA à haut risque couverts par la législation sectorielle (ex : dispositifs médicaux, machines), sous supervision stricte.
Ces mesures sont jugées plutôt favorablement par les rapporteures, qui soulignent néanmoins l'absence de recul suffisant pour déterminer réellement la pertinence de ces amendements, notamment en l'absence d'étude d'impact. Elles considèrent en outre comme potentiellement risqués les essais en conditions réelles pour les systèmes d'IA à haut risque dans certains secteurs (santé, industries critiques, ...), ce qui plaide pour une supervision très stricte des autorités nationales, notamment en termes de sécurité des produits et de protection des données personnelles (notamment les données de santé).
Enfin, des questions restent ouvertes quant aux bacs à sable réglementaires pour l'IA, relativement à leur opérationnalité du point de vue des acteurs privés du numériques et aux perspectives de leur contrôle par les États-membres et le Bureau de l'IA, s'agissant du nouveau bac à sable paneuropéen.
Ainsi, dans ces environnements de tests, libérés des contraintes réglementaires, ou tout est virtuellement permis, les risques sont nombreux : risque de faille cyber, risque du point de vue de la gestion des données... ce qui fait de ces bacs à sable des terrains de jeu pas si enfantins à ce stade...
c) Les risques d'une gouvernance trop centralisée pour la surveillance de l'IA
La Commission européenne propose de renforcer les pouvoirs du Bureau de l'IA (le Bureau de l'IA étant pour mémoire intégré à la Commission européenne) dans une démarche de centralisation de la surveillance des systèmes d'IA, en vue de réduire la fragmentation de la gouvernance.
Ainsi, la compétence du bureau de l'IA serait renforcée s'agissant de la surveillance et de l'application du règlement pour certains systèmes d'IA basés sur un modèle d'IA à usage général, lorsque le modèle et le système sont fournis par le même prestataire. La supervision et le contrôle de la conformité des systèmes d'IA intégrés dans des plateformes en ligne ou des moteurs de recherche en ligne de très grande taille relèveraient également de la compétence exclusive du Bureau de l'IA.
Entendue le 28 avril 2026 en audition, la Commission nationale Informatique et Libertés (CNIL) a insisté sur l'importance d'une bonne articulation entre les prérogatives du Bureau de l'IA et des autorités nationales de surveillance de marché. Le renforcement des compétences du Bureau de l'IA et notamment le caractère exclusif de sa compétence dans les cas listés supra, conduiraient potentiellement à réduire la quantité et/ou la qualité des contrôles opérés, en empêchant les autorités nationales de se saisir d'un dossier, alors même que le Bureau de l'IA n'a pas souhaité se saisir.
Les rapporteures estiment ainsi qu'une logique de dessaisissement serait préférable. Selon une telle logique, les autorités nationales seraient tenues de se dessaisir dès lors que le Bureau de l'IA souhaite opérer un contrôle dans les secteurs concernés. Cette logique est favorable à une meilleure coordination entre agences nationales, tout en renforçant la gouvernance du Bureau de l'IA, pour les contrôles transfrontaliers.
Dans le cadre des négociations en cours, le Conseil et le Parlement européen ont souhaité réduire la portée des compétences techniques du Bureau de l'IA, notamment afin d'assurer un partage des compétences avec les autorités nationales concernées. Il conviendra de voir ce qu'il advient de ces propositions au prisme des résultats du trilogue conclusif du 7 mai 2026, dont les conclusions restent à paraître à la date de ce rapport.
d) L'extension des systèmes d'IA interdits (nudification, pédopornographie, ...) : quel cadre pour quelles interdictions ?
Deux points qui ne faisaient pas partie de la proposition initiale de la Commission européenne ont été ajoutés par le Conseil, à l'initiative de la France et d'autres États-membres, afin de compléter la liste des systèmes d'IA interdits (article 5 du règlement sur l'IA).
Considérant que le cadre juridique existant est insuffisant pour responsabiliser et sanctionner les fournisseurs de systèmes d'IA18(*), la France a porté au Conseil une logique d'élargissement de la liste des pratiques interdites en matière d'IA (article 5 RIA). Elle a proposé d'y ajouter de manière ciblée deux interdictions concernant d'une part, les systèmes d'IA capables de produire ou générer des hypertrucages sexuels sans consentement (« nudification »), et d'autre part, les contenus pédocriminels.
Dans son mandat de négociation, le Conseil a suggéré d'interdire les systèmes d'IA capables de générer, manipuler ou reproduire des contenus (image, vidéo, audio) « représentant les parties intimes ou des activités sexuellement explicites d'une personne », sans son consentement (« nudification »). De même, le Conseil a retenu l'interdiction des contenus pédopornographiques générés par IA (« child sex abuse materials »). Les systèmes qui, dans leur conception, entraînement, architecture ou fonctionnalité, permettent de produire ces contenus « sans nécessiter de modification technique » et qui n'ont pas de « mesures de sécurité techniques efficaces » pour lutter contre seraient aussi interdits, dans une logique conforme au principe de sécurité dès la conception (« safety by design »).
Pour sa part, dans son mandat de négociation, le Parlement européen a repris uniquement l'interdiction de la nudification (considérant 5 bis), tout en nuançant cette interdiction qui « ne devrait pas empêcher les fournisseurs d'IA de développer leurs capacités techniques à modifier, manipuler ou produire artificiellement des images ou des vidéos. »
Si l'interdiction des contenus de nudification a abouti lors du trilogue conclusif du 7 mai 2026, les rapporteures regrettent que tel ne soit pas le cas de l'interdiction des contenus pédopornographiques
Concernant le périmètre des interdictions de nudification, une approche listant les parties du corps concernées a été retenue, ce qui pourrait permettre de couvrir les contenus de nudification partielle. Cette extension des interdictions à la nudité partielle, en ligne avec la position du Gouvernement français, est effectivement jugée souhaitable par les rapporteures.
De façon principielle, les rapporteures estiment qu'une approche plus extensive pourrait viser toutes les atteintes à la personne ou à la dignité humaines (article 3 de la Charte des droits fondamentaux de l'UE). Toutefois, se poserait alors la question de la formulation juridique des interdictions listées à l'article 5 du règlement sur l'IA. Une extension systémique à tous contenus dégradants pour la dignité humaine pourrait en effet se heurter à des difficultés de proportionnalité (articles 11 et 49 de la Charte) et de prévisibilité, ce qui plaide pour une analyse au cas par cas, à travers des dispositions sectorielles le cas échéant, qui trouveraient leur place à l'annexe III, article 7 du règlement sur l'IA.
Les rapporteures notent en outre que l'effectivité des recours en cas de violation constatée est déjà garantie. Ainsi, l'article 226-8-1 du code pénal, créé par l'article 21 de la loi n° 2024-449 du 21 mai 2024 visant à sécuriser et à réguler l'espace numérique (loi SREN), sanctionne déjà de 2 ans et 60 000 euros d'amende, la mise à la connaissance du public ou d'un tiers d'un montage à caractère sexuel non consenti, y compris généré algorithmiquement. De plus, la directive (UE) 2024/1385 du 14 mai 2024 sur la lutte contre la violence à l'égard des femmes et la violence domestique fournit un socle juridique au niveau européen et le règlement sur l'IA permet la saisine de l'autorité de surveillance du marché (article 8519(*)), étant précisé que le retrait des contenus relève principalement du règlement sur les services numériques (DSA) de 2024.
Concernant l'interdiction des contenus de nudification, lors du trilogue conclusif du 7 mai 2026 aurait été ajouté un considérant dans le dispositif afin de préciser que « les interdictions sont sans préjudice des voies de recours offertes par le droit national », notamment en cas de non-respect de la dignité humaine. Cette disposition de principe va dans le sens de la position défendue par les rapporteures.
En revanche, les rapporteures considèrent que doit être renforcée la littératie de l'IA pour les citoyens européens - c'est-à-dire leur capacité à lire, comprendre et traiter l'information produite par l'IA -, y compris la connaissance de leurs droits et libertés et des voies de recours en cas d'abus. Au vu des usages émergents des IA, des risques nouveaux (cyberharcèlement, manipulation par l'IA, ...) pourraient émerger ou s'amplifier pour les citoyens européens et notamment les plus jeunes. L'éducation et la formation continue au numérique et à l'IA apparaissent critiques pour garantir des usages éclairés de ces outils.
e) Faut-il modifier l'annexe I du règlement sur l'IA, comme le propose le Parlement européen ?
Non prévu dans la proposition initiale de la Commission européenne, la fusion des deux sections de l'annexe I du règlement sur l'IA a été proposée par le Parlement européen (notamment par le groupe du parti populaire européen, PPE). Cette fusion conduirait à ce que, pour les produits intégrant de l'IA, les législations sectorielles (comme le règlement sur les dispositifs médicaux in vitro ou encore sur les jouets) priment sur le règlement sur l'IA, réduisant les obligations et besoins de documentation.
Cette proposition est le point de blocage principal dans les discussions entre les colégislateurs. La proposition de compromis de la Présidence chypriote n'a ainsi pas permis de faire aboutir le trilogue du 28 avril 2026, pourtant souhaité conclusif.
Souhaitée par les acteurs de l'industrie20(*), la fusion des deux sections de l'annexe I du règlement sur l'IA est au contraire jugée défavorablement par plusieurs associations de la société civile21(*), qui défendent qu'elle pourrait avoir des conséquences néfastes pour la protection des consommateurs, car elle reviendrait à « exclure un large éventail de systèmes d'IA industriels et grand public du champ d'application direct du règlement sur l'IA » notamment en matière de technologie de la santé où elle serait donc contraire à l'objectif de sécurité des patients.
L'enjeu est donc de savoir si, secteur par secteur, les réglementations sectorielles apportent des garanties équivalentes au règlement sur l'IA quant aux risques spécifiques des systèmes d'IA pour le secteur concerné.
Au sein du Conseil, plusieurs États membres (la Belgique, la Bulgarie, la République tchèque, la Grèce, l'Espagne, la Lettonie, le Luxembourg, la Hongrie, Malte, l'Autriche et la Slovaquie) s'opposent à la fusion des deux sections de l'annexe I du règlement sur l'IA, la Slovénie et la République tchèque ayant même fait de ce point une ligne rouge des négociations.
Entendue par les rapporteures le 28 avril 2026, le SGAE a indiqué que la France a, elle, estimé que cette proposition de fusion aurait mérité une analyse approfondie. La France appelle ainsi à une clarification des chevauchements éventuels entre le règlement sur l'IA et les régulations sectorielles, eu égard aux effets de bords potentiels pour la protection de la santé, de la sécurité et des droits fondamentaux.
Pour sa part, la Commission européenne estime que la fusion des deux sections de l'annexe I du règlement sur l'IA risquerait de « fragmenter » les règles européennes et d'« abaisser les exigences et les niveaux de sécurité ».
Les rapporteures soutiennent la position française et soulignent en outre l'importance, notamment dans certains secteurs « cruciaux » (jouets, équipements médicaux, etc.), de favoriser une approche de sécurité dès la conception ou « safety by design », qui est conforme à l'esprit du règlement sur l'IA avec son approche par niveau de risque.
Le trilogue conclusif du 7 mai 2026 a abouti à un accord interinstitutionnel sur ce point, conformément à la proposition de compromis présenté par la présidence chypriote du Conseil. Ce compromis reprend la proposition allemande de transférer uniquement le règlement sur les machines22(*) de la section A à la section B de l'annexe I. Ce règlement encadre une large gamme de machines et équipements de natures et d'importances diverses, allant des outils de bricolage aux machines et robots industriel. En pratique, cela signifie que le règlement sur l'IA ne s'appliquera plus directement aux systèmes d'IA intégrés dans des produits couverts par le règlement sur les machines.
Les rapporteures prennent acte de ce compromis qui a permis le déblocage des négociations interinstitutionnelles, mais regrettent qu'en l'absence d'étude d'impact, il soit difficile d'apprécier si le règlement sur les machines présente un niveau de garanties équivalent à celui du règlement sur l'IA pour les produits embarquant de l'IA, couverts par cette réglementation.
f) Des premières évolutions jugées sensibles de l'approche protectrice du traitement des données à caractère personnel aux fins de correction des biais des IA
La proposition initiale de la Commission européenne entendait élargir la possibilité de traitement de catégories particulières de données personnelles (sur l'origine, les convictions politiques ou religieuses, sur la santé, la sexualité, l'identification) aux fins de détection et correction des biais des systèmes d'IA, aux « fournisseurs et aux déployeurs d'autres systèmes et modèles d'IA ».
Dans le cadre des négociations inter-institutionnelles, le Conseil comme le Parlement européen ont souhaité conditionner cette extension pour qu'elle soit accordée « à titre exceptionnel, et lorsque cela est strictement nécessaire », aux systèmes d'IA qui ne sont pas considérés à haut risque, eu égard aux risques pour les droits fondamentaux.
Cette formulation reprend la recommandation de l'avis conjoint (n° 2/2026) du Comité européen de la protection des données (CEDP) et du Contrôleur européen de la protection des données (EDPS) sur la proposition de règlement omnibus numérique en date du 10 février 2026.
Les rapporteures soutiennent la formulation de compromis du Conseil et du Parlement qui s'appuie sur le standard de la jurisprudence issue de l'arrêt Schrems II (CJUE, 16 juillet 2020, C-311/18) en matière de nécessité du traitement.
Cependant, notant que ces traitements sont par principe interdits aux humains au titre du règlement général sur la protection des données (RGPD), les rapporteures considèrent que des garde-fous additionnels pourraient être utiles pour veiller au développement d'IA alignées avec les valeurs européennes. Ces garanties supplémentaires pourraient passer par la circonscription du champ d'application de la dérogation à la correction des biais affectant la santé, la sécurité ou des discriminations expressément prohibées et par une obligation explicite de documentation soumise au contrôle des autorités de surveillance, démontrant l'impossibilité d'une alternative moins intrusive (par exemple en utilisant des données synthétiques ou anonymisées).
3. Un avis en demi-teinte sur le volet IA
Tout en prenant acte des évolutions apportées, les rapporteures dénoncent la rapidité des négociations sur le volet IA et s'interrogent sur la réalité de l'association des parties prenantes et des États-membres, dans un calendrier aussi contraint. Ce constat est d'autant plus vrai que l'IA était particulièrement peu réglementée avant l'introduction du règlement sur l'IA en 2024. Alors que ce règlement n'est pas encore totalement mis en oeuvre, les amendements qui lui sont proposés peuvent être perçus comme des atténuations du cadre envisagé en 2024 pour le développement de l'IA dans une logique d'alignement avec les valeurs européennes. Cette situation apparaît à rebours de certaines orientations stratégiques qu'avait défendues la commission des affaires européennes du Sénat en 202323(*).
Si la simplification est nécessaire pour répondre aux défis de la compétitivité des entreprises européennes oeuvrant dans le secteur de l'IA, les rapporteures rappellent que les règles ainsi définies s'appliquent indifféremment à elles et aux géants américains et chinois, conformément au principe d'extraterritorialité.
Dès lors, certaines mesures, telles l'autorisation du traitement de catégories particulières de données personnelles (sur l'origine, les convictions politiques ou religieuses, sur la santé, la sexualité, l'identification) aux fins de détection et correction des biais des systèmes d'IA posent question quant à la protection des droits numériques des citoyens européens, d'où la nécessité de garde-fous et garanties suffisants.
4. L'environnement, grand oublié du train de mesures omnibus sur l'IA
Si le règlement sur l'IA invoque un objectif de protection de l'environnement « contre les effets néfastes de l'IA », à travers des règles harmonisées (considérants n° 1 et 8 du RIA), il ne prévoit aucune contrainte en la matière. Seules sont prévues des obligations déclaratives portant sur les systèmes d'IA, notamment concernant la consommation d'énergie. Néanmoins, ces obligations déclaratives ne sont pas assorties d'un objectif de réduction de la consommation énergétique des systèmes d'IA.
En outre, comme le rappelle le programme pour l'environnement des Nations Unis (PNUE), l'IA soulèvent d'autres enjeux pour l'environnement que la seule consommation énergétique en termes de puissance de calcul : l'IA implique une utilisation importante de matières premières et d'eau. Le PNUE suggère ainsi que « les gouvernements peuvent élaborer des réglementations obligeant les entreprises à divulguer les conséquences environnementales directes des produits et services basés sur l'IA ».
Les rapporteures déplorent par conséquent l'insuffisante prise en compte des aspects environnementaux de l'IA, qu'un train de mesures aussi large que l'omnibus numérique aurait pu facilement intégrer. Elles considèrent en outre qu'il serait utile d'assortir les obligations déclaratives existantes en matière de consommation énergétique, d'obligations en termes d'objectifs de réduction de ces consommations. Pourrait également être envisagée l'introduction d'obligations déclaratives en matière environnementale pour les grands fournisseurs d'IA, à l'échelle de l'ensemble du cycle de vie des systèmes d'IA.
Sur ce point, il convient de noter que la commission de l'aménagement du territoire et du développement durable du Sénat a lancé, le 10 décembre 2025, une mission d'information sur l'empreinte environnementale de l'intelligence artificielle.
5. Le rappel de la nécessité de concilier protection du droit d'auteur et IA
Les rapporteures regrettent également l'absence de toute disposition sur le droit d'auteur et l'IA dans le projet de la Commission européenne et dans les négociations en cours entre les colégislateurs.
Les rapporteures considèrent cette absence comme une omission dommageable, alors même que les juridictions commencent à se prononcer en la matière24(*) et que des solutions juridiques ont été identifiées pour concilier protection du droit d'auteur et développement de l'IA, comme le souligne d'ailleurs l'adoption par le Sénat de la proposition de loi n° 220 (2025-2026) relative à l'instauration d'une présomption d'utilisation des contenus culturels par les fournisseurs d'intelligence artificielle le 8 avril 2026 et pour laquelle le Conseil d'État avait rendu un avis favorable le 19 mars 2026.
* 1 Règlement (UE) 2024/2847 du Parlement européen et du Conseil du 23 octobre 2024 concernant des exigences de cybersécurité horizontales pour les produits comportant des éléments numériques et modifiant les règlements (UE) n° 168/2013 et (UE) 2019/1020 et la directive (UE) 2020/1828 (règlement sur la cyberrésilience).
* 2 Règlement (UE) 2025/38 visant à renforcer la solidarité et les capacités dans l'Union afin de détecter les cybermenaces et incidents, de s'y préparer et d'y réagir (règlement sur la cybersolidarité).
* 3 Règlement (UE) 2022/2065 du Parlement européen et du Conseil du 19 octobre 2022 relatif à un marché unique des services numériques et modifiant la directive 2000/31/CE (règlement sur les services numériques).
* 4 Règlement (UE) 2022/1925 relatif aux marchés contestables et équitables dans le secteur numérique (règlement sur les marchés numériques).
* 5 Règlement (UE) 2024/1689 établissant des règles harmonisées concernant l'intelligence artificielle (règlement sur l'intelligence artificielle).
* 6 Règlement (UE) 2024/1309 du Parlement européen et du Conseil du 29 avril 2024 relatif à des mesures visant à réduire le coût du déploiement de réseaux gigabit de communications électroniques, modifiant le règlement (UE) 2015/2120 et abrogeant la directive 2014/61/UE (règlement sur les infrastructures gigabit).
* 7 Règlement (UE) 2023/1781 du Parlement européen et du Conseil du 13 septembre 2023 établissant un cadre de mesures pour renforcer l'écosystème européen des semi-conducteurs et modifiant le règlement (UE) 2021/694 (règlement sur les puces).
* 8 Règlement (UE) 2024/1689 du Parlement européen et du Conseil du 13 juin 2024 établissant des règles harmonisées concernant l'intelligence artificielle et modifiant les règlements (CE) no 300/2008, (UE) no 167/2013, (UE) no 168/2013, (UE) 2018/858, (UE) 2018/1139 et (UE) 2019/2144 et les directives 2014/90/UE, (UE) 2016/797 et (UE) 2020/1828 (règlement sur l'intelligence artificielle).
* 9 Règlement (UE) 2018/1139 du Parlement européen et du Conseil du 4 juillet 2018 concernant des règles communes dans le domaine de l'aviation civile et instituant une Agence de l'Union européenne pour la sécurité aérienne, et modifiant les règlements (CE) n° 2111/2005, (CE) n° 1008/2008, (UE) n° 996/2010, (UE) n° 376/2014 et les directives 2014/30/UE et 2014/53/UE du Parlement européen et du Conseil, et abrogeant les règlements (CE) n° 552/2004 et (CE) n° 216/2008 du Parlement européen et du Conseil ainsi que le règlement (CEE) n° 3922/91 du Conseil.
* 10 Voir à cet égard le rapport d'information n° 190 (2024-2025), déposé le 4 décembre 2024, présenté par MM. Jean-François RAPIN et Didier MARIE et Mme Catherine MORIN-DESAILLY
* 11 Il s'agit des normes harmonisées du JTC 21 du CEN-CENELEC.
* 12 Avis politique relatif au code de bonnes pratiques en matière d'intelligence artificielle à usage général, présenté par Mmes Karine DANIEL et Catherine MORIN-DESAILLY, adopté par la commission des affaires européennes du Sénat le 14 mai 2025.
* 13 À la date du présent rapport, le texte du compromis issu du trilogue du 7 mai 2026 n'est pas paru.
* 14 Rapport d'information n° 190 (2024-2025), déposé le 4 décembre 2024, présenté par MM. JeanFrançois RAPIN et Didier MARIE et Mme Catherine MORIN-DESAILLY.
* 15 En 2022 : cyber resilience act, DSA, DMA, Chips act ; en 2023 : cyber solidarity act ; en 2024 : règlement sur l'IA, GIA, managed security services act.
* 16 Rapport « European AI : A playbook to own it », Arthur Mensch, Mistral AI (avril 2026).
* 17 Voir la résolution européenne du Sénat n° 100 (2022-2023) relative à la proposition de règlement du Parlement européen et du Conseil établissant des règles harmonisées concernant l'intelligence artificielle et modifiant certains actes législatifs de l'Union, COM(2021) 206 final.
* 18 Le règlement sur les services digitaux prévoit bien l'interdiction de la diffusion de tels contenus, mais le règlement sur l'IA n'interdit pas aux fournisseurs des systèmes d'IA que ces systèmes puissent proposer de telles options.
* 19 Des amendes sont en outre prévues à l'article 99, paragraphe 3 du règlement sur l'IA, mais sans droit subjectif à indemnisation des victimes.
* 20 Voir notamment la déclaration conjointe d'acteurs de l'industrie numérique sur le train de mesures omnibus sur l'IA : appel à un accord rapide axé sur la simplification (« Joint Industry Statement on the Digital Omnibus on AI calling for a swift agreement with simplification at its core ») du 10 avril 2026.
* 21 Voir la lettre ouverte de plusieurs organisations de la société civile, sur le train de mesures omnibus sur l'IA « préserver le périmètre et l'intégrité du règlement sur l'IA » (Open Joint Letter on the Digital Omnibus on AI, Preserving the Scope and Integrity of the AI Act), du 8 avril 2026.
* 22 Règlement (UE) 2023/1230 du Parlement européen et du Conseil du 14 juin 2023 sur les machines, abrogeant la directive 2006/42/CE du Parlement européen et du Conseil et la directive 73/361/CEE du Conseil.
* 23 Voir le rapport d'information n° 483 (2022-2023), déposé le 30 mars 2023, « Pour un déploiement de l'intelligence artificielle conforme aux valeurs européennes ».
* 24 Voir notamment la décision du Tribunal régional de Munich I, 11 novembre 2025, n° 42 O 14139/24, GEMA c/ OpenAI et la décision pendante de la CJUE C-250/25 Like Company c/ Google Ireland.