PROPOSITION DE RÉSOLUTION EUROPÉENNE SUR LA PROPOSITION DE RÈGLEMENT DU PARLEMENT EUROPÉEN ET DU CONSEIL MODIFIANT LES RÈGLEMENTS (UE) 2024/1689 ET (UE) 2018/1139 EN CE QUI CONCERNE LA SIMPLIFICATION DE LA MISE EN oeUVRE DES RÈGLES HARMONISÉES CONCERNANT L'INTELLIGENCE ARTIFICIELLE - COM(2025) 836 FINAL ET SUR LA PROPOSITION DE RÈGLEMENT DU PARLEMENT EUROPÉEN ET DU CONSEIL MODIFIANT LES RÈGLEMENTS (UE) 2016/679, (UE) 2018/1724, (UE) 2018/1725 ET (UE) 2023/2854 AINSI QUE LES DIRECTIVES 2002/58/CE, (UE) 2022/2555 ET (UE) 2022/2557 EN CE QUI CONCERNE LA SIMPLIFICATION DU CADRE LÉGISLATIF NUMÉRIQUE, ET ABROGEANT LES RÈGLEMENTS (UE) 2018/1807, (UE) 2019/1150 ET (UE) 2022/868 AINSI QUE LA DIRECTIVE (UE) 2019/1024 (RÈGLEMENT OMNIBUS NUMÉRIQUE) - COM(2025) 837 FINAL
(1) Le Sénat,
(2) Vu l'article 88-4 de la Constitution,
(3) Vu le traité sur le fonctionnement de l'Union européenne, notamment son article 114,
(4) Vu la charte des droits fondamentaux de l'Union européenne,
(5) Vu la convention de sauvegarde des droits de l'homme et des libertés fondamentales,
(6) Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), dit « RGPD »,
(7) Vu le livre blanc du 19 février 2020 intitulé « Intelligence artificielle. Une approche européenne axée sur l'excellence et la confiance », COM(2020) 65,
(8) Vu le rapport de Mario Draghi du 9 septembre 2024 sur le futur de la compétitivité européenne,
(9) Vu la stratégie de la Commission européenne pour l'Union des données du 19 novembre 2025, COM(2025) 835 final,
(10) Vu le plan d'action pour le continent de l'IA, présenté par la Commission européenne le 9 avril 2025, COM(2025) 165,
(11) Vu la proposition de règlement du Parlement européen et du Conseil modifiant les règlements (UE) 2016/679, (UE) 2018/1724, (UE) 2018/1725 et (UE) 2023/2854 ainsi que les directives 2002/58/CE, (UE) 2022/2555 et (UE) 2022/2557 en ce qui concerne la simplification du cadre législatif numérique, et abrogeant les règlements (UE) 2018/1807, (UE) 2019/1150 et (UE) 2022/868 ainsi que la directive (UE) 2019/1024,
(12) Vu la proposition de règlement du Parlement européen et du Conseil modifiant les règlements (UE) 2024/1689 et (UE) 2018/1139 en ce qui concerne la simplification de la mise en oeuvre des règles harmonisées concernant l'intelligence artificielle,
(13) Vu la proposition de règlement du Parlement européen et du Conseil relatif à la création de portefeuilles européens d'identité numérique pour les entreprises, COM(2025) 838 final,
(14) Vu l'avis conjoint (n° 2/2026) du Comité européen de la protection des données (CEDP) et du Contrôleur européen de la protection des données (EDPS) sur la proposition de règlement omnibus numérique, du 10 février 2026,
(15) Vu le rapport d'Arthur Mensch, Mistral AI, « European AI: A playbook to own it », d'avril 2026,
(16) Vu le rapport « Pour un déploiement de l'intelligence artificielle conforme aux valeurs européennes », n° 483 (2022-2023) de M. André GATTOLIN, Mme Catherine MORIN-DESAILLY, M. Cyril PELLEVAT et Mme Elsa SCHALK au nom de la commission des affaires européennes, ainsi que la résolution européenne n° 100 (2022-2023),
(17) Vu le rapport n° 444 (2024-2025) de Mmes Catherine MORIN-DESAILLY et Florence BLATRIX CONTAT, déposé le 13 mars 2025, ainsi que la résolution n° 106 (2024-2025) visant à l'application stricte du cadre réglementaire numérique de l'Union européenne et appelant au renforcement des conditions d'une réelle souveraineté numérique européenne, devenue résolution du Sénat le 18 avril 2025,
(18) Vu le rapport d'information du Sénat n° 279 (2018-2019) de MM. André GATTOLIN, Claude KERN, Cyril PELLEVAT et Pierre OUZOULIAS, fait au nom de la commission des affaires européennes, intitulé « Intelligence artificielle : l'urgence d'une ambition européenne », déposé le 31 janvier 2019,
(19) Vu le rapport d'information du Sénat n° 627 (2021-2022) de MM. Marc-Philippe DAUBRESSE, Arnaud de BELENET et Jérôme DURAIN, fait au nom de la commission des lois, intitulé « La reconnaissance biométrique dans l'espace public : 30 propositions pour écarter le risque d'une société de surveillance », déposé le 10 mai 2022,
(20) Vu le rapport « L'Europe, colonie du monde numérique ? » n° 443 (2011-2012) de Mme Catherine MORIN-DESAILLY au nom de la commission des affaires européennes,
(21) Vu le rapport d'information « Nouveau rôle et nouvelle stratégie pour l'Union européenne dans la gouvernance mondiale de l'Internet » n° 696 (2013-2014) de Mme Catherine MORIN-DESAILLY, au nom de la mission commune d'information du Sénat sur la gouvernance de l'Internet, ainsi que la résolution européenne n°122 (2014-2015),
(22) Vu les conclusions du rapport du Sénat n° 7 (2019-2020) du 1er octobre 2019, intitulé « Le devoir de souveraineté numérique : ni résignation, ni naïveté », fait au nom de la commission d'enquête sur la souveraineté numérique,
(23) Vu la proposition de loi n° 220 (2025-2026) relative à l'instauration d'une présomption d'utilisation des contenus culturels par les fournisseurs d'intelligence artificielle, adoptée par le Sénat le 8 avril 2026,
(24) Considérant la centralité des technologies numériques dans nos société sur les plans socio-économiques, sociétaux et environnementaux ;
(25) Considérant la place grandissante des technologies d'intelligence artificielle (IA) et les opportunités comme les risques que soulèvent ces technologies pour nos sociétés et nos économies et notamment pour la compétitivité des entreprises européennes, mais aussi pour l'efficacité des services publics, la sécurité et le bien-être de nos sociétés ;
(26) Considérant que ce processus de diffusion de l'IA ne doit en aucun cas amoindrir la protection des droits fondamentaux, y compris le haut niveau de protection des données à caractère personnel dont les Européens jouissent actuellement, et que ces technologies doivent être au service des personnes et soumises aux valeurs, principes et droits fondamentaux de l'Union européenne ;
(27) Considérant les risques que posent les technologies d'intelligence artificielle pour le respect la dignité et de la personne humaine, pour le respect de la vie privée et la protection des données à caractère personnel, la sécurité des données et la non-discrimination au regard au regard du genre, de l'origine ethnique, de l'âge, de la religion, mais aussi du statut économique ;
(28) Considérant que pour que l'Europe puisse tirer pleinement parti des potentialités économiques et sociétales de l'IA, il est nécessaire d'assurer une meilleure sécurité juridique, ce qui passe par l'élaboration de règles claires, précises, compréhensibles par tous et suffisamment stable dans le temps ;
(29) Considérant le risque élevé de capture du régulateur auquel sont confrontés les institutions publiques nationales et européennes dans le secteur numérique et en particulier l'IA, au vu de la complexité et du rythme des évolutions techniques et des asymétries d'informations entre ces acteurs publics et les acteurs privés, notamment les grandes plateformes extra-européennes ;
(30) Considérant les risques hybrides et systémiques que l'IA tend à créer pour les États membres dans un contexte géopolitique mouvant ;
(31) Sur le principe de l'omnibus :
(32) Appelle l'Union européenne à ne pas trembler ni transiger dans l'application de l'arsenal juridique novateur et ambitieux qu'elle a commencé à construire pour encadrer l'IA et le secteur numérique ;
(33) Accueille favorablement la volonté de la Commission européenne de simplifier le cadre applicable et de réduire la charge administrative et les coûts de conformité, notamment pour les petites et moyennes entreprises (PME) et les petites entreprises à moyenne capitalisation (PEMC), en vue d'améliorer leur compétitivité ;
(34) Se réjouit des mesures techniques destinées à améliorer la coordination des différentes normes européennes dans le secteur numérique, aux fins de clarté et de sécurité juridique ;
(35) Déplore que la proposition dépasse pour partie le seul objectif de simplification, tendant à complexifier un cadre régulatoire déjà complexe et dense, au risque de nuire à sa clarté et à son acceptation par les entreprises et les citoyens ;
(36) Regrette l'absence d'étude d'impact, ce qui nuit à la bonne compréhension des propositions formulées par la Commission européenne et de leur insertion dans le droit de l'Union européenne ;
(37) Souligne que les évolutions de la régulation en matière numérique ne doivent pas être menées avec une précipitation excessive, au risque d'être dictées par l'industrie numérique ;
(38) Regrette le calendrier très resserré des négociations du volet sur l'IA, qui n'a pas permis la pleine association de toutes les parties prenantes et des États membres ;
(39) Regrette l'absence de clarification du régime juridique du droit d'auteur en matière d'IA, alors que les juridictions commencent à se prononcer sur des cas d'espèce et que des solutions juridiques ont été identifiées pour veiller à la rémunération des contenus culturels utilisés par les systèmes d'IA, en particulier la proposition de loi relative à l'instauration d'une présomption d'utilisation des contenus culturels par les fournisseurs d'intelligence artificielle, adoptée par le Sénat le 8 avril 2026 ;
(40) Déplore que le train de mesures omnibus numérique sur l'IA n'ait pas été l'occasion d'assurer une meilleure prise en compte de l'empreinte environnementale de l'IA, notamment eu égard à l'utilisation importante qu'elle entraine en termes d'eau et de matière premières ;
(41) Invite la Commission européenne à envisager d'assortir les obligations déclaratives existantes en matière de consommation énergétique d'obligations en termes d'objectifs de réduction de ces consommations, ainsi qu'à envisager de futures obligations déclaratives en matière environnementale pour l'ensemble du cycle de vie des systèmes d'IA applicable aux grands fournisseurs d'IA ;
(42) Sur le report des obligations faites à certains systèmes d'IA :
(43) Prend acte du report des obligations faites à certains systèmes d'IA à haut risque décidé lors du trilogue du 7 mai 2026, estimant qu'un report à date fixe va dans le sens d'une meilleure sécurité juridique et d'une prévisibilité renforcée pour les entreprises du secteur ;
(44) Regrettent que ce report ait été étendu aux obligations de transparence figurant à l'article 50 du règlement sur l'IA, repoussant de six mois le marquage des contenus générés par l'IA, au détriment des bénéfices attendus par cette mesure tant du point de vue de la protection du droit d'auteur que pour la transparence vis-à-vis des utilisateurs d'IA ;
(45) Juge cependant ce report révélateur tant de la difficulté à réguler et réglementer un secteur technique aux évolutions si rapides, que des limites du processus décisionnel européen pour allier agilité et stabilité des normes ;
(46) Sur les efforts de simplification du cadre règlementaire de l'IA :
(47) Salue les efforts de simplification des obligations administratives pour les petites et moyennes entreprises (PME) et les petites entreprises à moyenne capitalisation (PEMC) du secteur de l'IA ;
(48) Regrette l'insuffisante simplification de l'articulation entre les exigences en matière de cybersécurité pour les fournisseurs de services d'IA, portées par le règlement sur l'IA et celles issues du cadre existant, notamment le règlement sur la cyberrésilience ;
(49) Sur l'élargissement des usages interdits de l'IA :
(50) Soutient la proposition d'interdiction des systèmes d'IA capables de générer, manipuler ou reproduire des contenus représentant les parties intimes ou des activités sexuellement explicites d'une personne, sans son consentement (« nudification ») ;
(51) Regrette que l'interdiction des systèmes d'IA capables de générer, manipuler ou reproduire des contenus (image, vidéo, audio) pédopornographiques n'ait pas abouti ;
(52) Souhaite de façon générale l'interdiction de toute pratique en matière d'intelligence artificielle susceptible d'exploiter les éventuelles vulnérabilités économiques, personnelles ou sociales d'une personne ou d'un groupe de personnes donné, de manière à causer ou étant susceptible de cause un préjudice à cette personne, à ce groupe ou à un tiers, et notamment de toute pratiques en matière d'IA de nature à porter atteinte à la dignité de la personne humaine ;
(53) Estime que doit être renforcée l'éducation et la formation continue au numérique et à l'IA en vue d'améliorer la littératie des citoyens européens en la matière, y compris la connaissance de leurs droits et libertés et des voies de recours en cas d'abus ;
(54) Sur les bacs à sable réglementaires en matière d'IA :
(55) Prend acte de la mise en place de bacs à sable réglementaires, y compris transfrontaliers, afin d'encourager l'innovation européenne et de favoriser le passage à l'échelle des startups européennes de l'IA ;
(56) Appelle à la vigilance concernant les essais en conditions réelles pour les systèmes d'IA à haut risque dans certains secteurs critiques (santé, industries critiques, ...) ;
(57) Estime particulièrement souhaitable que les autorités nationales de protection des données à caractère personnel soient systématiquement impliquées dans le fonctionnement desdits bacs à sable, notamment dans ces secteurs critiques, y compris concernant le bac à sable transfrontalier ;
(58) Sur la gouvernance et le contrôle du respect du cadre normatif de l'IA :
(59) Rappelle qu'une répartition équilibrée des prérogatives entre la Commission européenne et les autorités nationales de contrôle constitue un prérequis indispensable à une régulation efficace du secteur numérique et de l'IA ;
(60) Appelle la Commission européenne à renforcer son Bureau de l'IA aux seules fins d'amélioration des capacités d'expertise et d'anticipation des évolutions du secteur, en rendant possible le recrutement d'experts techniques et juridiques, sans pour autant nuire aux capacités nationales ;
(61) Estime ainsi que le Bureau de l'IA ne doit pas supplanter les prérogatives des États membres et de leurs agences nationales de supervision dans leurs champs de compétences respectifs et que, de manière générale, toute expérimentation en matière d'IA doit être placée sous le contrôle d'agences indépendantes de la Commission européenne ;
(62) Considère que le renforcement des compétences exclusives du Bureau de l'IA pour certains systèmes d'IA, notamment ceux basés sur un modèle d'IA à usage général, est contraire aux principes de subsidiarité et de proportionnalité, en privant les autorités nationales de surveillance de marché de la possibilité de se saisir, y compris dans les cas où le Bureau de l'IA n'a pas souhaité se saisir ;
(63) Considère donc que pour les systèmes d'IA concernés, une logique de dessaisissement, selon laquelle les autorités nationales seraient tenues de se dessaisir dès lors que le Bureau de l'IA souhaite opérer un contrôle dans les secteurs concernés, aurait été préférable et de surcroît favorable à une meilleure coordination entre agences nationales, tout en renforçant la gouvernance du Bureau de l'IA, pour les contrôles transfrontaliers ;
(64) Sur la modification de l'annexe I du règlement sur l'IA :
(65) Regrette le transfert du règlement sur les machines de la section A à la section B de l'annexe I du règlement sur l'IA, qui a pour effet de l'exclure du champ d'application du règlement sur l'IA, notant qu'en l'absence d'étude d'impact, il n'est pas possible d'apprécier utilement si ce règlement présente un niveau de garanties équivalent à celui du règlement sur l'IA pour les produits concernés embarquant de l'IA ;
(66) Souligne l'importance, notamment dans les secteurs critiques couverts par l'annexe I du règlement sur l'IA, de favoriser une approche de sécurité dès la conception ou « safety by design », qui soit conforme à l'esprit du règlement sur l'IA reposant sur une approche par niveau de risque ;
(67) Sur les mesures de simplification et de clarification portant sur les différents textes européens relatifs aux données :
(68) Salue l'effort de la Commission européenne visant à harmoniser et à améliorer la coordination des textes entre eux et de supprimer les redondances ;
(69) Soutient l'élargissement de la possibilité de s'opposer à la divulgation de données qui constituent un secret des affaires, lorsqu'il existe un risque élevé d'obtention ou d'utilisation illicites ou de divulgation illicite à des pays tiers, ou à des entités placées sous leur contrôle ;
(70) Sur la création d'un point d'entrée unique pour la déclaration des incidents cyber :
(71) S'oppose fermement à la proposition de la création d'un point d'entrée unique pour la déclaration des incidents de cybersécurité, eu égard au risque d'en faire un point de faille unique ;
(72) Doute de la capacité technique de l'ENISA à sécuriser ce point d'entrée unique de manière suffisante pour en assurer la résilience ;
(73) Considère la création d'un point d'entrée unique comme étant contraire aux principes de subsidiarité et de proportionnalité eu égard aux enjeux de sécurité nationale sous-jacents en matière d'incidents cyber et à l'importance stratégique pour les États membres de conserver le droit de filtrage dont ils disposent aujourd'hui pour partager ou non des informations sur les failles de cybersécurité d'infrastructures critiques nationales à l'échelon européen ;
(74) Sur le déplacement des règles en matière de cookies de la directive e-Privacy vers le RGPD :
(75) Considère que le déplacement des règles en matière de cookies de la directive e-Privacy vers le RGPD créerait un double régime dangereux pour le contrôle de ces cookies, sans répondre à l'enjeu de réduction de la fatigue du consentement aux traceurs ;
(76) Sur les amendements au règlement général sur la protection des données (RGPD) :
(77) Rappelle que l'objet du RGPD n'est pas en soi la protection des données, mais la protection des libertés et droits des personnes qui sont concernées par ces données ;
(78) Considère que les révisions proposées au RGPD sont trop substantielles et potentiellement dangereuses, eu égard à un texte devenu une référence mondiale en matière de protection des données à caractère personnel ;
(79) Accueille néanmoins favorablement les propositions d'harmonisation des cadres et documents relatifs aux analyses d'impact pour la protection des données (AIPD) ;
(80) Soutient la proposition d'allongement du délai de notification des incidents relatifs aux données personnelles de 72 heures à 96 heures, laissant davantage de temps aux délégués à la protection des données pour gérer l'urgence avant de remplir, dans des délais raisonnables leurs obligations de notification ;
(81) Estime que la modification de la définition de donnée à caractère personnel, en allant au-delà des contours définis par la jurisprudence récente de la CJUE en matière de pseudonymisation, ouvre la porte à des dérives potentiellement graves et nuirait au droit fondamental à la protection des données personnelles des citoyens français et européens, sans pour autant apporter la clarté juridique attendue par les entreprises et responsables de traitement ;
(82) Juge par conséquent qu'il n'est pas opportun de modifier la définition de « données à caractère personnel » figurant dans le RGPD ;
(83) S'oppose à la modification de la définition de « recherche scientifique » dans le RGPD, pour l'élargir à toute recherche soutenant l'innovation, y compris dans un intérêt purement marchant ;
(84) Estime que des garanties supplémentaires sont nécessaires pour assurer le caractère véritablement « scientifique » du traitement de données à caractère personnel aux fins de recherches scientifiques, par l'ajout à la définition de notions de vérifiabilité, de transparence et d'objectifs de la recherche scientifique ;
(85) Considère que l'IA ne doit pas bénéficier de privilèges en matière de traitement des données personnelles, sans que des garanties de protection suffisantes soient assurées ;
(86) Appelle de ses voeux la recherche de la préservation de l'équilibre fragile entre innovation et protection des droits fondamentaux qui découlent de la protection des données à caractère personnel ;
(87) Sur la possibilité ouverte à la Commission européenne de prendre des actes d'exécution :
(88) Juge disproportionnées les dispositions visant à permettre à la Commission européenne de prendre des actes d'exécution dans plusieurs domaines (relativement aux critères de définition des données pseudonymisées, aux listes et documents harmonisés relatifs aux AIPD, etc.) et estime que les institutions sectorielles européennes compétentes sont mieux placées pour émettre les lignes directrices qui s'imposent, le cas échéant ;
(89) Demande donc la suppression de cette disposition ;
(90) Invite le Gouvernement à faire valoir cette position dans les négociations au Conseil.