L'EDPS positionne l'AI Act comme la nouvelle 'grande idée' européenne et dévoile son arsenal opérationnel

8/5/26
👈 les autres actualités

À deux jours de la Journée de l'Europe, le Contrôleur européen de la protection des données (EDPS) signe une tribune qui sort de l'exercice rhétorique habituel. Le régulateur y inscrit l'AI Act dans la lignée directe de la déclaration Schuman et du RGPD — et surtout, il dévoile l'arsenal opérationnel que son institution déploie depuis 2024 pour faire vivre le règlement. Pour les DPO et les responsables conformité, le texte n'est pas une simple célébration : c'est un signal sur le standard qu'ils auront à appliquer.

Ce qui s'est passé

Publiée le 7 mai 2026 sur le blog officiel de l'EDPS, la tribune intitulée "Safe and Ethical AI: a big European idea for the world" place explicitement l'AI Act adopté en 2024 dans la généalogie des "grandes idées" européennes : la Communauté européenne du charbon et de l'acier (1951), la Charte des droits fondamentaux, le RGPD (2016) et désormais l'IA Act. L'EDPS rappelle que ce dernier "interdit les systèmes les plus nuisibles — ceux qui posent un risque inacceptable pour la santé, la sécurité et les droits fondamentaux des citoyens — et impose des exigences contraignantes, en particulier pour les systèmes à haut risque, en matière de sécurité, de transparence, de supervision humaine et de protection des droits fondamentaux".

Mais l'essentiel de la tribune n'est pas dans le rappel doctrinal. Wojciech Wiewiórowski et son équipe y détaillent trois mécanismes opérationnels rarement consolidés ailleurs : le réseau des 100 correspondants AI Act dans les institutions UE (créé en 2024), le premier mapping des systèmes d'IA utilisés par l'administration publique européenne classés selon les catégories de risque de l'AI Act, et un projet pilote de regulatory sandbox portant sur une application de matching d'emploi développée par la Commission — destinée à impacter les procédures de sélection du personnel des institutions UE.

Pourquoi c'est important

Pour les régulateurs nationaux et les entreprises soumises à l'AI Act, ce que l'EDPS publie n'est pas anecdotique. Le superviseur européen joue, sur les institutions UE, le même rôle qu'une autorité nationale joue sur les entreprises : autorité de surveillance du marché et organisme notifié. Les méthodes qu'il met en œuvre aujourd'hui — cartographie systématique, réseau de correspondants, sandbox sur cas d'usage à haut risque — préfigurent celles que les autorités compétentes en France appliqueront dès l'entrée en vigueur des principales obligations en août 2026.

L'angle "grande idée" n'est donc pas un habillage. La tribune s'inscrit dans une séquence cohérente : trois semaines plus tôt, la newsletter 119 de l'EDPS annonçait déjà la "boussole AI Act" du régulateur et un avis conjoint EDPB/EDPS sur le paquet cybersécurité. L'EDPS construit méthodiquement sa doctrine, et la tribune du 7 mai en fixe l'horizon politique : l'IA éthique comme prolongement direct de la protection des données consacrée par la Charte des droits fondamentaux.

L'EDPS revendique aussi une dimension internationale qui pèsera dans les décisions ultérieures : membre du UNESCO Global Network of AI Supervising Authorities (GNAIS), contributeur à la méthodologie HUDERIA du Conseil de l'Europe, observateur OCDE et IASEAI. Cette position multilatérale lui donne un poids doctrinal qui dépasse les seules institutions UE.

Ce que ça change pour les organisations

Trois enseignements opérationnels à retenir, dès maintenant, pour les DPO et responsables conformité IA :

1. La cartographie devient le standard de fait. L'EDPS a réalisé le premier inventaire des systèmes d'IA des institutions UE par catégorie de risque AI Act. Les autorités nationales suivront. Les entreprises qui n'ont pas encore lancé l'inventaire de leurs systèmes — y compris les briques GenAI déployées sans gouvernance — accumulent une dette qui sera coûteuse à rattraper en septembre.

2. Les sandbox réglementaires arrivent. Le pilote EDPS sur l'application de matching d'emploi est un cas d'école : système à haut risque (sélection de personnel, art. 6 AI Act + Annexe III), volume significatif, environnement contrôlé. Les autorités françaises prépareront probablement leurs propres dispositifs. Identifier dès aujourd'hui les cas d'usage candidats à un éventuel passage en sandbox est une option stratégique.

3. Le réseau de correspondants AI Act devient un levier de gouvernance. Les institutions UE ont 100 correspondants désignés. La logique est transposable : nommer un référent AI Act par direction ou business unit, articulé avec le DPO, permet d'industrialiser la sensibilisation des équipes et la remontée des cas d'usage.

Ce que Leto pense de cette décision

La tribune EDPS n'est pas un texte rhétorique. C'est un acte politique qui fixe le récit : l'AI Act n'est pas un fardeau imposé aux entreprises, c'est la prolongation logique du projet européen de protection des droits fondamentaux. Pour les organisations, l'enseignement est moins idéologique qu'opérationnel : l'EDPS construit publiquement le référentiel que les autorités nationales reprendront. Anticiper sa propre cartographie, structurer un réseau interne d'AI Act correspondents et identifier les cas d'usage à haut risque revient à se mettre, dès maintenant, dans le standard de demain — sans attendre que la sanction l'impose.

Sources : EDPS — Safe and Ethical AI: a big European idea for the world (7 mai 2026)

Restez connecté(e).

Téléchargez notre application mobile de veille RGPD, Intelligence Artificielle et Cybersécurité. 
100% gratuite. 
Je télécharge

Discutons ensemble — et voyons comment Leto peut vous simplifier votre quotidien

Demander une démo
Produits
Logiciel RGPDLogiciel Sensibilisation RGPD, Cyber, IAQuestionnaires Sécurité & DataLogiciel AI ActApplication mobile veille RGPD
Leto
Nous rejoindreContactÀ proposPresseYoutubeConnexion
Légal
Politique de confidentialitéMentions légalesExercez vos droits
Copyright Leto 2026