Alors que la Commission européenne envisage d’assouplir certaines obligations applicables aux systèmes d’intelligence artificielle à haut risque dans le cadre du paquet Omnibus, le débat dépasse largement la seule question administrative. Derrière la volonté affichée de faciliter la conformité des entreprises se cache une interrogation plus profonde : l’Europe a-t-elle voulu encadrer l’IA avant même de disposer de tous les outils nécessaires pour le faire ?
Lorsque l’on questionne Alan Walter, avocat spécialisé entre autres dans les technologies numériques et la protection des données personnelles, sur cette volonté d’introduire davantage de souplesse pour les systèmes à haut risque, il confirme l’idée d’un paradoxe.
« C’est assez contradictoire », observe-t-il. « Le niveau d’exigence mis en place pour les systèmes à haut risque est considéré comme tellement complexe que l’on estime aujourd’hui que certaines entreprises auront du mal à se mettre en conformité. »
Le raisonnement de la Commission européenne est pragmatique : mieux vaut obtenir l’adhésion d’un plus grand nombre d’acteurs à un cadre moins exigeant que de maintenir des obligations si lourdes qu’elles resteraient inappliquées. « La logique consiste à dire qu’il vaut mieux plus d’entreprises conformes à un standard moins strict que moins d’entreprises conformes à un standard plus élevé », résume l’avocat.
Pour autant, cette évolution modifie sensiblement l’esprit du texte initial. « En repoussant certaines échéances et en diminuant certains critères de vérification, on fait quand même l’inverse de ce qui était prévu », estime-t-il.
Un texte confronté à l’absence de ses propres règles d’application
Pour Alan Walter, les difficultés actuelles ne s’expliquent pas uniquement par la complexité intrinsèque de l’intelligence artificielle. Elles résultent aussi d’une méthode de construction réglementaire qui a laissé les entreprises avancer dans l’incertitude.
L’avocat établit volontiers un parallèle avec le RGPD. Le règlement européen sur la protection des données avait été adopté en 2016 pour une entrée en application deux ans plus tard. Les organisations disposaient alors d’un corpus relativement stabilisé pour préparer leur mise en conformité.
La situation est différente avec l’AI Act. « Il nous manque encore une grande partie des textes d’application », rappelle-t-il. Résultat : les entreprises sont invitées à se préparer sans toujours savoir précisément quelles seront les exigences opérationnelles à respecter.
Cette situation se traduit concrètement sur le terrain. Alan Walter évoque le cas récent d’un éditeur SaaS RH ayant intégré des fonctionnalités d’intelligence artificielle. Très rapidement, les interrogations se multiplient autour des données personnelles, des données sensibles ou encore des informations susceptibles de révéler certaines convictions religieuses à travers des usages métier spécifiques. « La question du client est simple : que dois-je faire ? Et toute la difficulté est là. »
Selon lui, les institutions européennes paient aujourd’hui une partie de ce retard. Les échéances réglementaires approchent alors que les entreprises manquent encore de visibilité et que les premiers retours d’expérience restent limités.
Réglementer une technologie encore en construction
Au-delà de l’AI Act, Alan Walter voit dans cette situation une illustration d’une difficulté plus ancienne : la capacité du droit à suivre le rythme de l’innovation technologique.
« Depuis vingt-cinq ans, on expérimente le même problème : la technique va plus vite que le droit », explique-t-il. Pour le législateur, tout l’enjeu consiste à trouver le bon niveau de granularité. Trop détaillé, un texte devient rapidement obsolète. Trop général, il laisse subsister de nombreuses zones d’incertitude.
Selon lui, l’IA reproduit aujourd’hui cette même difficulté. Lorsque les discussions autour de l’AI Act ont commencé, les usages, les risques et les modèles économiques restaient largement mouvants. Les premiers contentieux et les premières décisions commencent seulement à dessiner les contours des véritables enjeux juridiques.
« Aujourd’hui, on dispose d’une vision beaucoup plus précise des risques et des problématiques », souligne-t-il. Une maturité qui n’existait pas nécessairement au moment où le texte a été conçu.
Transformer la conformité en avantage concurrentiel
Face à cette incertitude réglementaire, certaines entreprises pourraient être tentées d’attendre les arbitrages définitifs avant d’investir davantage dans leur mise en conformité. Une stratégie qu’Alan Walter ne recommande pas, sauf lorsque les coûts deviennent disproportionnés.
Pour lui, la conformité ne doit pas être analysée uniquement sous l’angle de la contrainte réglementaire. Elle peut également constituer un élément différenciant sur le marché.
« Aujourd’hui, être capable de vendre un outil entièrement sécurisé et respectueux des données des personnes représente un avantage concurrentiel important », affirme-t-il.
L’Europe peine parfois à rivaliser avec certains acteurs internationaux sur les infrastructures, les composants ou les plateformes technologiques. En revanche, la protection des utilisateurs et le respect des données constituent, selon l’avocat, des domaines dans lesquels les entreprises européennes peuvent construire une proposition de valeur spécifique.
À condition toutefois que l’équilibre soit trouvé entre ambition réglementaire et applicabilité opérationnelle. C’est précisément cet arbitrage que les discussions actuelles autour de l’AI Act remettent au centre du débat.
