226 pages de commentaires et de modifications : loin d’un simple travail d'ajustement technique, les discussions en cours au Conseil entre les Vingt-sept traduisent une volonté croissante de reprendre graduellement la main sur certains points les plus sensibles du texte de révision du règlement européen sur l'intelligence artificielle (AI Act).
Dans un document de travail daté de mercredi 11 février et qu'Agence Europe a pu consulter, les délégations nationales détaillent leurs retours sur la première version de compromis proposée par la Présidence chypriote du Conseil de l'UE, fin janvier (EUROPE 13794/8). Sans surprise, le document témoigne clairement d'une volonté des pays membres d'imposer de nouvelles coupes, plus strictes, dans le texte initial.
Traitement des données personnelles. Là où le compromis de janvier avait simplement réinstauré la notion de « stricte nécessité » pour la possibilité aux fournisseurs de systèmes d'IA à haut risque de traiter des catégories particulières de données à caractère personnel, les commentaires des pays membres prouvent une volonté d'aller encore plus loin dans les restrictions.
« Les dispositions proposées [...] pourraient bénéficier d'une clarification supplémentaire concernant les garanties en matière de protection de la vie privée et des limites clairement définies », estime ainsi la Pologne. L’Autriche estime que l’interprétation de la « stricte nécessité » demeure trop floue alors que le Portugal propose d’instaurer une obligation de consultation systématique des autorités nationales de protection des données pour chaque dérogation. Le Luxembourg s’interroge sur le seuil constitutif d’une violation des droits fondamentaux, jugé « insuffisamment défini », et la Lettonie plaide pour des mesures de sécurité renforcées.
Ces prises de position traduisent une réticence persistante des États membres à laisser à la Commission et aux fournisseurs d'IA une marge d’appréciation trop large sur l’usage de données sensibles. La révision d'une partie du RGPD, ouverte en parallèle, cristallise le même type d'inquiétude de la part des Vingt-sept (EUROPE 13785/2).
À ce stade, la Suède reste la seule délégation qui soutient sans réserve l’ajout de l’article 4(a) tel que proposé par la Commission.
Période de mise en place du calendrier. Autre sujet délicat, la question de la date d'entrée en vigueur des obligations pour les modèles d'IA à haut risque (EUROPE 13792/20) ainsi que celle sur la transparence des contenus générés par l'IA (EUROPE 13775/22).
Plusieurs États ont exprimé des réserves sur la possibilité laissée à la Commission de déclencher l’application anticipée de certaines dispositions, vue comme une source d’incertitude juridique. La Bulgarie, l’Allemagne, le Danemark et la Finlande se prononcent pour le maintien du calendrier initial. D’autres capitales proposent, en revanche, des modifications plus précises : la Grèce évoque décembre 2027 pour l’ensemble des modèles à haut risque tandis que la République tchèque suggère août 2028. L’Autriche, favorable à un calendrier fixe, ouvre parallèlement la voie à un décalage dans l’application des amendes.
Ce débat sur le calendrier est moins technique qu’il n’y paraît : si retirer à la Commission la possibilité de mettre en place prématurément certaines obligations fait l'unanimité, les Vingt-sept esquissent en parallèle une volonté partagée de maîtriser la montée en charge du règlement afin de réduire l'incidence sur les entreprises européennes.
Obligations d'enregistrement. La plupart des États membres maintiennent la nécessité de réinstaurer l'obligation d'enregistrement dans la base de données européenne pour les fournisseurs de systèmes d'IA qui ne sont pas considérés comme à haut risque, mais avec un allègement de la procédure. Seule la France se montre explicitement en faveur de sa suppression.
« AI Literacy ». L'AI Act exige des fournisseurs et déployeurs de systèmes d'intelligence artificielle de garantir un certain niveau de compétences en la matière à leur personnel ainsi qu'aux personnes qui utilisent ces systèmes en leur nom. Et là encore, les États membres sont divisés. Certains, parmi lesquels l'Autriche, la Pologne ou la Bulgarie, estiment qu'au moins une partie de ces exigences doit être transférée aux Vingt-Sept et à la Commission, potentiellement à travers la publication de recommandations ou d'une demande de standardisation.
D'autres, comme Malte, la Belgique, l'Espagne ou la France, insistent pour que cette obligation reste une tâche qui incombe principalement aux fournisseurs et aux déployeurs, mais ne s'opposent pas à ce que l'Union apporte une aide technique ou d'orientation. Ils sont également plusieurs à réclamer une définition plus précise du concept d'« AI Literacy ».
Le premier compromis de la Présidence chypriote, bien que n'étant qu'une première ébauche des tractations, avait mis en lumière le malaise général des Vingt-Sept face à l'orientation générale de l''omnibus' de simplification sur l'IA. Les contributions écrites issues de ce compromis confirment que le Conseil s’oriente vers une version plus stricte et plus politiquement sécurisée que celle défendue par la Commission, au risque de détricoter ses ambitions de 'simplification' du cadre réglementaire numérique. (Isalia Stieffatre)