AI Act, Data Act, Cybersecurity Act et normalisation technique

Ce 9 septembre, la Direction Générale des Entreprises et la Direction Générale de la Concurrence, de la Consommation et de la Répression des Fraudes ont publié le très attendu schéma français de gouvernance de l’IA en désignant les autorités nationales en charge de la mise en oeuvre du règlement IA (EU AI ACt). Ce schéma doit être soumis au Parlement par le biais d’un projet de loi.

L’EU AI Act avec le Data Act et le Cybersecurity Act forment un trio réglementaire européen conçu pour encadrer l’innovation numérique tout en garantissant sécurité, transparence et compétitivité.

Chacun couvre un volet clé du numérique. L’AI Act régule les risques liés à l’intelligence artificielle (classification par niveau de risque, obligations de transparence). Le Data Act facilite l’accès et le partage de données en équilibrant droits des utilisateurs et besoins des entreprises. Le Cybersecurity Act impose des normes de sécurité pour les produits et services. Ces trois textes se rejoignent sur la gestion des données (qualité, sécurité, interopérabilité) et la confiance numérique. Par exemple, un système d’IA (AI ACt) utilisant des données industrielles (Data Act) doit respecter les normes de cybersécurité (Cybersecurity Act). Complémentaires, ces trois textes présentent des interdépendances. En effet, l’AI Act dépend du Data Act en matière de fiabilité des données et du Cybersecurity Act pour garantir des échanges de données sécurisés. Ils partagent par ailleurs des exigences communes: transparence, responsabilité et conformité avec des sanctions en cas de manquement. Ce cadre intégré, qui vise à renforcer la souveraineté européenne en offrant aux entreprises et citoyens un environnement sûr et prévisible, vise aussi à stimuler l’innovation tout en limitant les risques.

D’un point de vue opérationnalisation, la mise en oeuvre de ces 3 piliers réglementaires s’appuie sur le programme de travail de l’Union européenne en matière de normalisation technique. Par exemple, les travaux des comités techniques JTC21 du CEN-CENELEC, ceux des comités techniques Data, Secured AI et Cyber de l’ETSI jouent un rôle central dans cette dynamique, en lien avec le programme de travail 2025-2027 du Digital Europe Programme. Ils permettent de clarifier les exigences techniques pour les systèmes à haut risque, d’opérationnaliser la gestion des risques et la transparence, le partage sécurisé et interopérable des données ou encore d’offrir des références techniques pour la certification des produits et services permettant ainsi de renforcer les dimensions de résilience des infrastructures critiques et des systèmes d’IA. L’articulation entre les travaux de ces comités et réglementations est essentielle pour créer et développer un écosystème numérique européen sécurisé, interopérable et innovant. Ces normes ne sont pas une contrainte mais un levier stratégique pour innover, financer et se positionner sur des marchés régulés tout en contribuant à l’autonomie européenne. C’est un enjeu majeur, essentiel, pour les PMEs mais aussi les structures de R&D et offices de transfert technologique que de maitriser ce continuum, cette articulation entre normes techniques et réglementation IA, data et cyber.

C’est ce qui a motivé Cobelty, ce 9 septembre, à déposer sa candidature à l’appel à experts 2026 du Small Business Standards, en cohérence avec sa mission: soutenir et accompagner PMEs, laboratoires de recherche et offices de transfert technologiques en matière de standardisation qu’il s’agisse de contribution ou d’information.