Vers une mise en œuvre plus pragmatique du RIA

En novembre 2025, la Commission européenne a présenté le Digital Omnibus Package. Son second volet (le « Digital Omnibus II ») propose plusieurs ajustements ciblés du Règlement (UE) 2024/1689 sur l’intelligence artificielle (RIA) qui poursuivent un objectif central : améliorer sa mise en œuvre à la lumière des premières difficultés identifiées tout en gardant l’architecture de la loi fondée sur l’évaluation des risques que présente un système d’IA (SIA) ou un modèle d’IA à usage général (GPAIM).

Comme déjà évoqué dans un précédent commentaire (cf. Fischer, cdbf.ch/1397), le RIA s’applique au-delà des frontières de l’UE. Dans plusieurs scénarios, des entreprises suisses, comme les établissements financiers, qui mettent à disposition ou utilisent des SIA pour fournir certains services à des résidents de l’UE pourraient être considérées comme des déployeurs, voire comme des fournisseurs, et être soumises au RIA (cf. également Fischer, cdbf.ch/1418 et cdbf.ch/1420). Le présent commentaire vise à présenter cinq modifications prévues par le projet Digital Omnibus II qui méritent une attention particulière pour ces acteurs.

1. Nouvelle timeline pour l’entrée en vigueur des obligations pour les SIA

Le projet crée un nouveau mécanisme liant l’entrée en application de certaines obligations, en particulier celles applicables aux SIA à haut risque, à la disponibilité de nouveaux outils de conformité (notamment des normes harmonisées et des lignes directrices de la Commission).

Concrètement, une fois ces outils publiés par décision de la Commission, les obligations concernées entreront en application après les délais transitoires suivants :

• Pour les SIA à haut risque listés à l’annexe III (art. 6 ch. 2 RIA), les obligations seront applicables six mois après la décision, mais au plus tard à partir du 2 décembre 2027.
• Pour les SIA à haut risque listés à l’annexe I (art. 6 ch.1 RIA), les obligations seront applicables douze mois après la décision, mais au plus tard à partir du 2 août 2028.

S’y ajoutent les obligations en matière de transparence pour les fournisseurs et déployeurs de SIA ou de GPAIM générant des contenus de synthèse audio, image, vidéo ou texte (faisant partie de la catégorie des SIA à risque limité). Pour les systèmes placés sur le marché avant le 2 août 2026, une période de grâce de six mois est accordée pour se conformer à ces exigences (art. 50 ch. 2 RIA).

2. Révision de l’obligation de maîtrise de l’IA (« AI literacy  »)

Le projet supprime l’obligation actuelle des fournisseurs et déployeurs de garantir un niveau suffisant de maîtrise de l’IA pour leur personnel (art. 4 RIA) et transfère cette responsabilité à la Commission et aux États membres qui devront désormais encourager l’adoption de mesures de formation appropriées. En revanche, l’exigence selon laquelle les SIA à haut risque doivent être supervisés par du personnel disposant des compétences nécessaires demeure inchangée.

3. Allègement de l’obligation d’enregistrement

Selon l’art. 6 ch. 3 RIA, un système figurant sur la liste des SIA à haut risque de l’annexe III, mais que le fournisseur considère comme ne présentant pas un risque important de préjudice pour les personnes physiques, doit être enregistré dans la base de données européenne (art. 6 ch. 4 et 49 ch. 2 RIA).

Dans le projet de la Commission, cette obligation d’enregistrement est supprimée, mais le fournisseur doit conserver la documentation justifiant cette qualification et la mettre à disposition des autorités compétentes sur demande.

4. Renforcement du rôle du Bureau européen de l’IA

Afin d’améliorer la supervision des SIA fondés sur des GPAIM développés par le même fournisseur, la Commission prévoit de renforcer les pouvoirs du Bureau européen de l’IA. Le projet envisage l’adoption d’actes d’exécution précisant les pouvoirs du Bureau, en lui donnant, par exemple, la possibilité de prononcer des sanctions administratives.

5. Possibilité de traiter des données sensibles pour l’entraînement des SIA

Le projet introduit un nouvel art. 4a permettant, à titre exceptionnel, le traitement de données sensibles pour l’entraînement, la validation et le test de SIA lorsque cela est nécessaire pour détecter et corriger des erreurs, sous réserve du respect de conditions strictes. Cette possibilité s’étend aux SIA à haut risque ainsi qu’aux autres catégories de systèmes.

Ainsi, à la suite des critiques formulées à l’égard de la complexité et des difficultés d’application du cadre réglementaire européen dans le domaine du numérique, la Commission européenne entend, à travers le Digital Omnibus Package, ajuster ce cadre afin d’en améliorer sa mise en œuvre. L’objectif n’est pas de réduire le niveau de protection mais d’alléger certaines obligations jugées trop contraignantes et de renforcer la supervision au niveau européen.

Du côté de la Suisse, si aucun cadre réglementaire spécifique à l’IA n’a encore été adopté, les exigences applicables se précisent progressivement. Le secteur financier commence à mettre en place certaines règles, notamment au travers des attentes de la FINMA en matière de gouvernance et de gestion des risques, telles qu’exposées dans sa communication sur la surveillance 08/2024 (cf. Caballero Cuevas, cdbf.ch/1392/). L’objectif est clair : anticiper et maîtriser les risques opérationnels, juridiques et réputationnels liés au recours à l’IA.

Dans cette perspective, la mise en conformité avec le RIA ne constitue pas seulement une exigence liée à une activité orientée vers l’UE. Elle peut également s’inscrire dans une démarche plus large de structuration de la gouvernance des outils d’IA, cohérente avec les attentes prudentielles déjà applicables aux établissements financiers suisses.