L'AI Act a mis des années à être négocié. Certaines de ses dispositions les plus structurantes — gestion des risques, supervision humaine, documentation, transparence — ne sont pas encore entrées en vigueur que la Commission européenne les a déjà rouvertes. L'AI Omnibus, présenté comme un exercice de simplification technique, reporte les obligations pour les systèmes à haut risque jusqu'au 2 décembre 2027, voire au 2 août 2028 pour les systèmes couverts par l'Annexe I. Pendant cette période, des systèmes déployés dans des domaines aussi sensibles que la santé, la justice, la migration ou les services publics opèrent sans les protections que la loi était censée garantir.
"Retarder les garanties n'est pas une étape administrative neutre. Cela retarde la responsabilité et prolonge la période pendant laquelle les personnes affectées par les systèmes d'IA manquent des protections que l'AI Act était censé fournir. [traduit de l'anglais]"
— Coalition EDRi et al., Analyse conjointe de neuf organisations européennes de défense des droits numériques
Le déplacement de la Réglementation Machines de la Section A vers la Section B de l'Annexe I illustre la mécanique à l'œuvre : en renvoyant les systèmes d'IA embarqués dans des machines vers les règles sectorielles de sécurité des produits, le texte soustrait ces systèmes au cadre horizontal de l'AI Act. Or ce cadre horizontal existait précisément parce que les risques liés à l'IA — sur l'autonomie des travailleurs, l'allocation des tâches, la surveillance — ne se réduisent pas à la sécurité physique des machines.
Sur la transparence, le compromis final maintient l'obligation d'enregistrement dans la base de données européenne, ce qui constitue un recul partiel d'une proposition initiale encore plus permissive. Mais les informations à publier sont allégées, ce qui réduit la capacité des régulateurs, chercheurs et personnes affectées à vérifier si les fournisseurs classifient correctement leurs systèmes. L'article 6(3) permet déjà aux fournisseurs de décider eux-mêmes qu'un système opérant dans un domaine à haut risque n'est pas à haut risque — sans enregistrement public complet, ce pouvoir discrétionnaire devient quasi-incontrôlable.
Neuf organisations européennes — EDRi, ARTICLE 19, Access Now, AlgorithmWatch, Amnesty International et quatre autres — documentent dans une analyse conjointe un précédent institutionnel : si une loi sur les droits numériques peut être rouverte avant même de s'appliquer, tout acteur disposant de ressources suffisantes peut traiter la phase d'implémentation comme une seconde chance de négociation. Le risque n'est pas limité à l'AI Act : le RGPD et la directive ePrivacy, déjà en vigueur, sont exposés à la même logique sous le label 'compétitivité'.
Points de vigilance
L'analyse est produite par une coalition d'organisations directement parties prenantes du débat réglementaire — leur lecture est documentée mais non neutre. Par ailleurs, l'ajout de nouvelles interdictions (contenus intimes non consentis, pédocriminalité) dans le même texte crée un effet d'optique : des avancées réelles coexistent avec les reculs documentés. Distinguer les deux évite les lectures trop binaires.
Et maintenant ?
- 🤘 Constituer un observatoire permanent des dérogations réglementaires numériques en Europe
EDRi, AlgorithmWatch, Access Now et leurs partenaires disposent déjà d'une capacité d'analyse conjointe. Transformer cette coalition ponctuelle en structure permanente de veille sur les révisions législatives permettrait de détecter en amont les tentatives de réouverture de textes adoptés — et de produire des contre-analyses avant que les compromis ne soient finalisés, plutôt qu'après.
→ On saura que ça avance quand au moins cinq organisations de pays différents publient une alerte commune dans les 30 jours suivant l'ouverture d'une consultation sur un texte numérique déjà adopté.
- 💪 Documenter et signaler les déploiements d'IA à haut risque pendant la période de dérogation
Entre aujourd'hui et décembre 2027, des systèmes d'IA opèrent dans la santé, la justice et la migration sans les obligations de l'AI Act. Chercheurs, journalistes et travailleurs du secteur public peuvent constituer un registre alternatif de ces déploiements — noms de systèmes, fournisseurs, contextes d'usage — pour alimenter les régulateurs nationaux et créer une pression documentaire sur les fournisseurs qui se prévalent de l'article 6(3).
→ On saura que ça marche quand un régulateur national cite ce registre alternatif dans une décision d'enquête ou une mise en demeure.
- ✊ Exiger une évaluation d'impact indépendante comme condition préalable à toute révision de texte numérique adopté
L'AI Omnibus a été adopté sans évaluation d'impact sérieuse ni consultation suffisante des parties prenantes d'intérêt public. Syndicats, associations de consommateurs et organisations de défense des droits peuvent cibler conjointement le Parlement européen pour inscrire dans le règlement intérieur l'obligation d'une évaluation d'impact indépendante avant toute réouverture d'un texte numérique en vigueur depuis moins de trois ans — en s'appuyant sur le précédent de l'AI Omnibus comme cas d'école.
→ On saura que ça marche quand le Parlement européen conditionne formellement l'examen d'un Omnibus numérique à la production préalable d'une évaluation d'impact indépendante.
8/10 : Score sur l'échelle des "5 piliers de la liberté", inspiré de l'ouvrage de Timothy Snyder
Damien Van Achter
Ces pistes ne sont pas des recettes toutes faites, mais des points d'entrée pour repenser nos systèmes numériques selon une logique de liberté positive : non pas limiter, mais augmenter nos capacités collectives d'action.
💬 On en discute ?
Tu veux recevoir le flux quotidien des articles publiés sur le site ? Suis-moi sur LinkedIn, Bluesky, Mastodon, Facebook !
Tu as des remarques, des suggestions, ou tu veux discuter d'une idée pour avancer dans tes propres projets ? Connecte-toi et laisse-moi un commentaire ou jette un oeil directement à mon agenda. 📆