AI Act : Should we « stop the clock » or not ?

La difficile mise en application des deuxième et troisième phases du règlement européen sur l’IA se retrouve sous le feu des critiques, engendrant un risque de report de son entrée en vigueur, voire un risque de refonte des dispositions de cet instrument en vue de le simplifier.

Le règlement sur l’intelligence artificielle du 13 juin 2024 fait l’objet d’une entrée en vigueur différée et échelonnée, conformément à son article 113 (voir La rem n°69-70, p.11). Le calendrier de la mise en application des dispositions est organisé autour de quatre dates clés :

• le 2 février 2025, pour l’article 5 relatif aux pratiques d’IA interdites ;
• le 2 août 2025, pour les articles 51 et suivants, relatifs aux modèles d’IA à usage général, mais également pour la désignation des autorités nationales compétentes pour la mise en œuvre de l’AI Act ;
• le 2 août 2026, pour la plupart des autres règles de l’AI Act, et en particulier les articles 6 et suivants relatifs aux systèmes d’IA à haut risque de l’annexe III (systèmes d’IA dans les domaines de la biométrie, des infrastructures critiques, de l’éducation, de l’emploi, de l’accès aux services publics essentiels, de l’application de la loi, de l’immigration et de l’administration de la justice) ;
• le 2 août 2027, pour les règles relatives aux systèmes d’IA à haut risque de l’annexe I (jouets, équipements radio, dispositifs médicaux de diagnostic in vitro, sécurité de l’aviation civile, véhicules agricoles, etc.).

La première phase d’entrée en application de l’AI Act est intervenue, le 2 février 2025, de manière relativement sereine, avec la production par le bureau de l’IA, les 4 et 6 février 2025, de deux premiers jeux de lignes directrices de type soft law – l’un relatif à la définition des systèmes d’IA de l’article 3(1) et à ses sept critères, en vue de préciser le champ d’application matériel dudit règlement¹, et l’autre détaillant et illustrant les pratiques d’IA interdites de l’article 5, en les articulant avec d’autres prohibitions contenues dans les textes européens². En revanche, les deuxième et troisième phases d’entrée en application de l’AI Act n’ont pas bénéficié du même contexte géopolitique. Tant et si bien que la deuxième phase, prévue pour le 2 août 2025, déploie ses effets avec retard, et que se profile même, portée par l’antienne du « Stop the clock », la possibilité d’un report de la troisième phase, voire d’un allègement du contenu de ses dispositions à la faveur d’un futur instrument européen de simplification, le Digital Omnibus.

Fragilisation et retard de la deuxième phase d’entrée en application de l’AI Act

Les codes de bonnes pratiques de l’article 56 devant intervenir au plus tard le 2 mai 2025

L’article 56 de l’AI Act s’inscrit dans la section consacrée aux modèles d’IA, c’est-à-dire à la brique technique principale du système d’IA (art. 3(1)). À leur propos, l’article 56(1) précise que le Bureau de l’IA, émanation de la Commission européenne (art. 3(67) et art. 64), « encourage et facilite l’élaboration de codes de bonnes pratiques au niveau de l’Union afin de contribuer à la bonne application du présent règlement ». Le Bureau de l’IA et le Comité IA (art. 56(2)) s’efforcent de veiller à ce que les codes de bonnes pratiques couvrent au moins les obligations prévues à l’article 53, c’est-à-dire les obligations mises à la charge des fournisseurs de modèles d’IA à usage général (art. 3(63) et art. 55), ainsi que ceux comportant de surcroît des risques systémiques (art. 3(65) et art. 51). L’article 56(9) prévoit que les codes de bonnes pratiques soient prêts au plus tard le 2 mai 2025. Si, à la date du 2 août 2025, un code de bonnes pratiques n’a pas pu être mis au point, ou si le Bureau de l’IA estime qu’il n’est pas approprié, à la suite de son évaluation, la Commission peut prévoir, au moyen d’actes d’exécution, des règles communes pour la mise en œuvre des obligations que devront respecter les fournisseurs de modèles d’IA.

Le 10 juillet 2025, à l’issue d’un long processus rédactionnel impliquant à des degrés divers environ mille parties prenantes³, un premier code de bonnes pratiques centré sur les articles 53 et 55 a finalement été publié⁴, puis approuvé par la Commission européenne le 1^er août 2025, à la veille de l’entrée en application de la seconde phase. Ce code contient trois chapitres, relatifs à la « transparence », à la « propriété intellectuelle » et à la « sûreté et sécurité » des modèles d’IA. Ainsi que le permet l’article 56(9), le Bureau de l’IA a invité tous les fournisseurs de modèles d’IA à usage général à adhérer à ce premier code de bonnes pratiques. Cependant, seuls quelques-uns d’entre eux ont accepté de le faire, quand les autres sont restés critiques, non seulement concernant son contenu, mais également à l’égard des articles de l’AI Act qui le fondent, et en particulier ceux consacrés aux modèles d’IA à usage général et à risques systémiques.

Ce premier code s’est accompagné, le 24 juillet 2025, d’un « template for General-Purpose AI model providers to summarise the data used to train their model »⁵ émis par le Bureau de l’IA, lequel a subi les critiques des titulaires de droits de propriété intellectuelle, qui considèrent ce template – modèle de résumé des données utilisées – insuffisamment détaillé pour faire valoir leurs droits à l’égard des fournisseurs de modèles d’IA.

Ce code est également complété par des lignes directrices, en date du 18 juillet 2025, concernant les obligations des fournisseurs de modèles d’IA à usage général⁶. Ces lignes directrices, très techniques, précisent en particulier que l’on se trouve face à un modèle d’IA à usage général lorsque la puissance de calcul utilisée pour l’entraîner est supérieure à 10²³, mesurée en opérations en virgule flottante (la notion de « floating point operation », ou FLOP, est définie à l’article 3(67) de l’AI Act), quand celle concernant un modèle d’IA à usage général et à risque systémique doit être, au sens de l’article 51 de l’AI Act, supérieure à 10²⁵. Ces seuils de puissance de calcul font l’objet de critiques, étant considérés, soit comme insuffisamment bas, soit comme insuffisamment hauts, au regard de l’évolution rapide des techniques relatives à l’entraînement des modèles.

En septembre 2025, la Commission européenne, en dehors du champ d’application matériel et des délais de l’article 56 de l’AI Act, a initié la future rédaction d’un second code de bonnes pratiques, cette fois-ci, relatif à la mise en œuvre de l’article 50, déterminant les obligations de transparence à la charge des déployeurs de systèmes d’IA⁷.

La double complexité de la désignation des autorités nationales de surveillance du marché

La Commission européenne, par le truchement du Bureau de l’IA, n’est pas, loin s’en faut, la seule autorité en charge de la mise en œuvre de l’AI Act. Le considérant 153 dudit règlement précise que « les États membres jouent un rôle clé dans l’application et le contrôle du respect du présent règlement. À cet égard, chaque État membre devrait désigner au moins une autorité notifiante et au moins une autorité de surveillance du marché en tant qu’autorités nationales compétentes chargées de contrôler l’application et la mise en œuvre du présent règlement ». À cet effet, le ministère français de l’Économie a publié, avec retard, le 9 septembre 2025, la version finale de la répartition des compétences du règlement sur l’intelligence artificielle entre les différentes autorités françaises⁸.

Aux termes de cette répartition, complexe, la DGCCRF (Direction générale de la concurrence, de la consommation et de la répression des fraudes) obtient un rôle de « coordination opérationnelle », pendant que la DGE (Direction générale des entreprises) hérite de celui de « coordination stratégique ». En complément, une ou plusieurs autorités se retrouvent en charge de la bonne mise en œuvre de chacun des paragraphes des articles clés de l’AI Act, concernant en particulier les pratiques interdites (art. 5) et les systèmes d’IA à haut risque (art. 6). Ainsi, l’Arcom et la DGCCRF se partagent la mission de surveiller la bonne mise en œuvre de l’article 5(1.a) sur les pratiques interdites d’IA subliminales, manipulatrices ou trompeuses, pendant que la Cnil obtient la mission de surveiller, dans le prolongement de l’article 6 (point 1, annexe III), les systèmes d’IA à haut risque dans le domaine de la biométrie.

Outre sa complexité, le dispositif doit encore être consacré par ordonnance. Cependant, le projet de loi d’habilitation du gouvernement à prendre une telle mesure (projet de loi DDADUE – Diverses dispositions d’adaptation au droit de l’Union européenne) n’a pas encore fait l’objet d’un dépôt devant le Parlement. Ce qui laisse présumer un retard conséquent pour la mise en œuvre effective de la deuxième phase d’entrée en application de l’AI Act.

Mise sur la sellette de la troisième phase d’entrée en application de l’AI Act : entre Stop the clock et Digital Omnibus

La difficile normalisation technique des systèmes d’IA à haut risque à l’origine du Stop the clock

L’article 40 de l’AI Act précise qu’un processus de normalisation technique peut accompagner la mise en application des dispositions relatives aux systèmes d’IA à haut risque (art. 6 et suiv.), mais également des modèles d’IA à usage général (art. 53 et suiv.). Sur ce fondement, la Commission européenne a, d’ores et déjà, saisi un joint technical committee, le JTC 21 CEN-Cenelec, comité conjoint entre deux organismes de normalisation technique européens, le CEN (Comité européen de normalisation) et le Cenelec (Comité européen de normalisation électrotechnique), en vue d’établir une dizaine de « normes harmonisées » au niveau européen, qui doivent définir précisément les exigences applicables aux systèmes d’IA à haut risque. Le respect de ces normes harmonisées doit permettre, sous certaines conditions strictes, d’offrir aux fournisseurs des systèmes d’IA à haut risque une présomption de conformité aux obligations de l’AI Act.

Les institutions européennes s’interrogent actuellement sur le point de savoir si le respect des obligations des articles 6 et suivants de l’AI Act – dont l’entrée en application est fixée au 2 août 2026 pour la mise en œuvre de l’annexe III du règlement – ne risque pas d’être compromis par le retard pris sur le calendrier de l’établissement desdites normes harmonisées⁹. Un premier lot de normes devait, en effet, être initialement publié en avril 2025, mais il est finalement attendu au plus tôt pour le premier semestre 2026. Pour certains acteurs, cette nouvelle échéance ne garantirait pas un délai suffisant pour s’adapter aux nouvelles règles de l’AI Act.

En outre, la médiatrice européenne a ouvert, en septembre 2025, une enquête sur l’élaboration des normes harmonisées en matière d’intelligence artificielle, en vue d’étudier la question de l’équilibre de la représentativité des intérêts en présence dans le cadre du processus de normalisation¹⁰. Face à l’ensemble de ces difficultés, les institutions envisagent d’avoir recours à un futur instrument européen de simplification, le Digital Omnibus.

L’AI Act réformé à l’occasion d’un futur Digital Omnibus ?

Depuis le 16 septembre 2025, la Commission européenne a lancé un appel à contribution afin de recueillir les travaux de recherche et les bonnes pratiques sur la façon de simplifier sa législation, au moyen d’un ou de plusieurs futurs instruments européens – en particulier, en ce qui concerne les données, la cybersécurité et l’intelligence artificielle¹¹.

Ce processus s’inscrit dans le cadre d’un programme de simplification de la législation européenne sur le numérique pour « créer un environnement plus favorable aux entreprises, en allégeant les charges administratives et les coûts pour les entreprises »¹².

Dans le document qui accompagne cet appel à contribution, est précisément sollicitée toute contribution permettant de « veiller à une application prévisible et efficace de l’AI Act, en accord avec la disponibilité de toutes les structures de soutien et de mise en œuvre nécessaires »¹³.

Ce processus n’en est qu’à ses débuts, mais il laisse présager de futures modifications non seulement du calendrier de mise en application, mais également potentiellement du contenu de l’AI Act, dans l’optique, cette fois-ci, de mettre en œuvre la nouvelle stratégie de l’Union européenne « Apply AI », publiée le 8 octobre 2025¹⁴.

1. Commission européenne, « La Commission publie des lignes directrices sur la définition des systèmes d’IA afin de faciliter l’application des règles de la première législation sur l’IA », Bâtir l’avenir numérique de l’Europe, digital-strategy.ec.europa.eu, 6 février 2025.
2. Commission européenne, « La Commission publie les lignes directrices sur les pratiques interdites en matière d’intelligence artificielle (IA), telles que définies par la législation sur l’IA », Bâtir l’avenir numérique de l’Europe, digital-strategy.ec.europa.eu, 4 février 2025.
3. Commission européenne, « Élaboration d’un code de bonnes pratiques en matière d’IA à finalité générale », Bâtir l’avenir numérique de l’Europe, digital-strategy.ec.europa.eu, 1^er août 2025.
4. European Commission, « The General-Purpose AI code of practice », Shaping Europe’s digital future, July 10, 2025.
5. European Commission, « Commission presents template for General-Purpose AI model providers to summarise the data used to train their model », Shaping Europe’s digital future, July 24, 2025.
6. European Commission, « Guidelines for providers of General-Purpose AI models », Shaping Europe’s digital future, October 17, 2025.
7. Commission européenne, « La Commission européenne lance une consultation en vue d’élaborer des lignes directrices et un code de bonnes pratiques sur les systèmes d’IA transparents », Bâtir l’avenir numérique de l’Europe, digital-strategy.ec.europa.eu, 4 septembre 2025.
8. Ministère de l’économie, des finances et de la souveraineté industrielle, énergétique et numérique, « Les autorités compétentes pour la mise en œuvre du règlement européen sur l’intelligence artificielle », Direction générale des Entreprises, 9 septembre 2025.
9. CEN, « CEN/CLC/JTC 21 – Artificial Intelligence », About CEN.
10. Médiateur européen, « La Médiatrice ouvre une enquête sur l’élaboration de normes de l’UE en matière d’intelligence artificielle », Newsroom, 30 septembre 2025.
11. European Commission, « Simplification – Digital package and Omnibus », About this initiative, October 14, 2025.
12. Commission européenne, « La Commission recueille des informations en retour afin de simplifier les règles en matière de données, de cybersécurité et d’intelligence artificielle dans le cadre du prochain règlement omnibus numérique », Bâtir l’avenir numérique de l’Europe, digital-strategy.ec.europa.eu, 16 septembre 2025.
13. Commission européenne, « Appel à contribution », Simplification – paquet numérique et Omnibus, 16 septembre 2025 : « Ensure a predictable and effective application of the AI Act, aligned with the availability of all the necessary support and enforcement structures », ec.europa.eu/info/law/better-regulation/have-your-say/initiatives.
14. European Commission, « Apply AI Strategy », Shaping Europe’s digital future, 23 octobre 2025.