Report de l’application des règles relatives aux systèmes d’IA à haut risque

Le Digital Package on Simplification introduit un report significatif du calendrier d’application des règles régissant les systèmes d’IA à haut risque. Ces règles ne deviendront applicables que lorsque la Commission confirmera la disponibilité des normes techniques et des outils de soutien nécessaires à leur mise en œuvre. Ce report, pouvant atteindre 16 mois maximum, répond aux difficultés pratiques rencontrées depuis l’entrée en vigueur du règlement sur l’IA le 1er août 2024.

Le texte étend par ailleurs aux small & mid caps (petites et moyennes sociétés cotées) les mesures de simplification réservées jusqu’alors aux PME, notamment concernant les exigences en matière de documentation technique. Cette extension devrait générer des économies d’au moins 225 millions d’euros par an. Un « bac à sable réglementaire » à l’échelle européenne sera mis en place à partir de 2028, pour permettre de tester et développer des systèmes d’IA en conditions réelles, particulièrement dans certains secteurs industriels porteurs.

Centralisation des obligations de signalement et adaptations du RGPD

L’omnibus crée un point d’entrée unique pour l’ensemble des obligations de signalement des incidents en matière de cybersécurité. Cette mesure met fin à la dispersion actuelle qui oblige les entreprises à effectuer des déclarations distinctes au titre de la directive NIS2, du règlement général sur la protection des données (RGPD) et du règlement sur la résilience opérationnelle numérique du secteur financier (DORA). L’ensemble des mesures de simplification devrait permettre aux entreprises européennes d’économiser jusqu’à 5 milliards d’euros de coûts administratifs d’ici à 2029.

Le paquet introduit également des modifications ciblées au RGPD telles que la réduction de la fréquence d’apparition des bandeaux de consentement, et la possibilité pour les utilisateurs enregistrer leurs préférences de manière centralisée directement dans les paramètres de leur navigateur.

Simplification du cadre réglementaire relatif aux données

Le Digital Package on Simplification simplifie substantiellement les règles européennes en matière de données en fusionnant quatre actes législatifs distincts en un seul règlement : le Data Act, renforçant ainsi la clarté et la cohérence juridiques.

Des dérogations spécifiques sont prévues pour les PME et small & mid caps concernant les règles de changement de fournisseur de services cloud. Ces dérogations devraient générer des économies d’environ 1,5 milliard d’euros. Le texte prévoit par ailleurs l’adoption de clauses contractuelles types pour l’accès aux données et leur utilisation, ainsi que pour les contrats relatifs au cloud, facilitant la mise en conformité des entreprises.

Enfin, le paquet vise à améliorer l’accès à des datasets de qualité pour le développement de l’IA, renforçant ainsi le potentiel d’innovation des entreprises européennes dans ce secteur stratégique.

Les trois points clés à retenir

  • L’application des règles relatives aux systèmes d’IA à haut risque est décalée, avec une date butoir conditionnée à la disponibilité des normes techniques nécessaires, avec extension des mesures de simplification aux petites et moyennes entreprises cotées.
  • Un point d’entrée unique pour l’ensemble des obligations de signalement des incidents en matière de cybersécuritéest créé.
  • Le Digital Package on Simplification fusionnequatre actes législatifs en un seul règlement sur les données : le Data Act.