AI Act : pour l'EDPS, c'est la nouvelle « grande idée européenne » — ce que cette vision change pour les DPO

À l'occasion de la Journée de l'Europe du 9 mai, le Contrôleur européen de la protection des données (EDPS) a publié une tribune qui érige l'AI Act en nouvelle « grande idée européenne », dans la lignée directe du RGPD. Au-delà de la commémoration, le texte précise le rôle opérationnel que l'EDPS s'attribue dans la supervision de l'IA — et donne des indices sur la philosophie qui guidera l'application du règlement.

Ce qui s'est passé

Dans un blog publié le 7 mai 2026 sur son site institutionnel, l'EDPS — autorité de supervision de la protection des données pour les institutions, organes et agences de l'Union européenne — replace l'AI Act dans une généalogie politique précise. Après la Déclaration Schuman de 1950 et le RGPD de 2016, l'AI Act adopté en 2024 constituerait, selon l'EDPS, la troisième « grande idée » qu'a portée l'Europe : un cadre juridique fondé sur le risque, qui interdit les systèmes d'IA inacceptables et impose des obligations contraignantes (sécurité, transparence, supervision humaine, protection des droits fondamentaux) pour les systèmes à haut risque.

Le texte révèle plusieurs initiatives concrètes pilotées par l'EDPS qui dépassent le simple positionnement éditorial :

• Un réseau de 100 correspondants AI Act au sein des institutions, organes et agences de l'UE, lancé en 2024.
• Le premier mapping des systèmes d'IA actuellement utilisés dans l'administration publique européenne et tombant sous les catégories de risque de l'AI Act.
• Le lancement, début 2026, d'un projet pilote de bac à sable réglementaire (regulatory sandbox) pour tester le développement et la validation de systèmes d'IA en conformité avec l'AI Act. Le premier dossier retenu : une application de job matching développée par la Commission européenne, destinée aux candidats aux concours d'institutions européennes.
• Une participation active à plusieurs réseaux internationaux : UNESCO Global Network of AI Supervising Authorities (GNAIS), framework HUDERIA du Conseil de l'Europe, échanges OCDE et IASEAI.

Pourquoi c'est important

Sur le fond, la tribune EDPS n'introduit aucune obligation nouvelle. Mais elle envoie trois signaux que les DPO et responsables IA des organisations privées doivent intégrer.

Premier signal : l'AI Act est traité comme une matrice civilisationnelle, pas comme un texte technique. Quand un régulateur compare publiquement un règlement à la Déclaration Schuman et au RGPD, c'est qu'il anticipe une application large, dans la durée, et avec la même intensité interprétative que celle qu'a connue le RGPD depuis 2018. Pour les organisations, cela signifie qu'il faut renoncer à l'espoir d'une lecture minimaliste : les obligations de conformité IA seront travaillées par les autorités sous l'angle des droits fondamentaux, comme l'a été le RGPD.

Deuxième signal : la sandbox européenne devient un standard de gouvernance. En lançant elle-même un bac à sable pour tester une IA d'une institution européenne, l'EDPS donne l'exemple : pas de déploiement opaque, mais un environnement contrôlé d'expérimentation avant mise en production. Les bacs à sable nationaux prévus par l'AI Act ont été repoussés à août 2027 par l'omnibus numérique, mais les organisations matures devraient s'en inspirer dès maintenant pour leurs propres systèmes à haut risque.

Troisième signal : la cartographie des systèmes d'IA est non-négociable. Si l'EDPS commence par cartographier les IA des institutions européennes, c'est parce que cette étape conditionne toute supervision sérieuse. Le message implicite aux organisations privées est limpide : sans inventaire exhaustif, pas de conformité possible. Cet inventaire est d'ailleurs la première étape attendue par les autorités compétentes en France en cas de contrôle.

Ce que ça change pour les organisations

La tribune EDPS confirme une trajectoire que les récentes lignes directrices de la Commission sur l'article 50 avaient déjà laissé présager : l'AI Act sera appliqué dans la continuité méthodologique du RGPD. Concrètement, quatre actions devraient être prioritaires pour les DPO et responsables IA :

1. Mettre à jour la cartographie des systèmes d'IA en distinguant clairement les systèmes minimal risk (hors champ), high risk (annexe III) et ceux relevant des modèles d'usage général. Le mapping de l'EDPS sur les institutions UE fournira un référentiel méthodologique utile.
2. Documenter la chaîne de responsabilité, en désignant les « AI Act correspondents » internes — sur le modèle EDPS — qui assureront le suivi opérationnel du règlement.
3. Aligner la gouvernance IA sur la norme ISO 42001, qui devient progressivement le standard de management des systèmes d'IA et facilitera l'audit de conformité.
4. Articuler conformité IA et conformité RGPD : l'EDPS rappelle implicitement que les deux corpus dialoguent en permanence, ce qui implique de revoir les audits RGPD existants pour y intégrer un volet IA.

Ce que Leto pense de cette décision

La tribune EDPS est une habile opération politique : transformer un règlement technique en récit fondateur permet de mobiliser l'opinion et de désamorcer par avance les contestations qui ne manqueront pas, notamment sur l'article 50 et sur la classification des systèmes à haut risque. Mais pour les organisations, le message à retenir est plus pragmatique : l'application de l'AI Act sera intransigeante, parce que les régulateurs européens ont décidé qu'elle ne pouvait pas être autre chose. Mieux vaut anticiper en bâtissant dès aujourd'hui une cartographie sérieuse de ses systèmes d'IA et en testant la mise en conformité de ses cas d'usage à haut risque dans un environnement maîtrisé — plutôt que de découvrir l'AI Act sous le coup d'un premier contrôle.

Sources :

• EDPS Blog — Safe and Ethical AI: a big European idea for the world (7 mai 2026)
• European Data Protection Supervisor (EDPS)