Dans les grandes lignes du projet de loi irlandais de 2026 sur la réglementation de l'intelligence artificielle

Avec la publication du projet général de loi de 2026 sur la réglementation de l'intelligence artificielle, l'Irlande a exposé la manière dont elle entend mettre en œuvre et rendre opérationnelle la loi européenne sur l'IA au niveau national. Alors que la loi européenne sur l'IA établit les règles générales, cette législation irlandaise met en place l'architecture institutionnelle et procédurale qui permettra à ces règles de s'appliquer dans la pratique.

Pour les entreprises qui développent, déploient ou acquièrent des systèmes d'IA, ce projet de loi fournit des informations importantes sur le fonctionnement de l'application, de la supervision et de la coopération au niveau national. Bien que le ton du projet général soit technique, l'esprit général de cette politique vise à trouver un équilibre entre innovation et compétitivité, ainsi qu'entre gouvernance et protection des droits fondamentaux.

Qu'est-ce qu'un bac à sable réglementaire national pour l'IA ?

L'une des principales caractéristiques du projet de loi est la création d'un bac à sable réglementaire national pour l'IA, ou la participation de l'Irlande à un bac à sable établi au niveau de l'UE. Les bacs à sable réglementaires sont des environnements supervisés dans lesquels les entreprises peuvent développer et tester des technologies innovantes en coopération avec les autorités de régulation avant leur déploiement complet sur le marché. Dans le contexte de l'IA, cela revêt une importance particulière compte tenu de la complexité des obligations en matière de classification, d'évaluation de la conformité et de respect des règles prévues par la loi européenne sur l'IA.

Ce bac à sable sera géré par le Bureau irlandais de l'IA, qui pourra collaborer avec les autorités de surveillance du marché et d'autres organismes nationaux. Il aura le pouvoir de publier des lignes directrices, de fixer des critères de participation, de conclure des accords au niveau de l'UE et de surveiller les activités menées au sein de l'environnement du bac à sable. Les objectifs généraux reflètent ceux de la loi européenne sur l'IA elle-même : innovation et compétitivité, facilitation du développement d'un écosystème d'IA, soutien à l'apprentissage réglementaire fondé sur des données factuelles et accélération de l'accès au marché de l'UE pour les PME et les start-ups.

Il convient de noter que les petites et moyennes entreprises bénéficieront d’un accès prioritaire et gratuit, et que les procédures de participation devront être claires et accessibles. Cela reflète un choix politique délibéré. Plutôt que de considérer la réglementation comme une barrière à l’entrée, le cadre irlandais tente de positionner la conformité comme une partie intégrante du développement des produits. Pour les entreprises en phase de démarrage, le fait de s’engager avec les régulateurs à un stade précoce peut réduire le risque de devoir procéder à une refonte coûteuse ou de faire l’objet de mesures coercitives ultérieurement.

Toutefois, le bac à sable n’est pas une zone d’exemption réglementaire. Lorsque des données à caractère personnel sont traitées dans le cadre des activités du bac à sable, la Commission de protection des données doit être impliquée. Les obligations du RGPD continuent de s’appliquer pleinement. Le modèle du bac à sable est donc conçu pour soutenir l’innovation conforme, et non pour affaiblir les normes existantes en matière de protection des données. Son lancement officiel dépendra de l’adoption des actes d’exécution européens pertinents, prévue en 2026, mais le fondement législatif est en cours de mise en place.

Supervision coordonnée et partage contrôlé des données

Le projet de loi clarifie également le rôle du Bureau de l'IA en tant qu'autorité de coordination. Concrètement, cela signifie qu'il peut recevoir des plaintes ou des informations relatives à des systèmes d'IA relevant de la compétence d'autres autorités compétentes. Étant donné que la réglementation en matière d'IA recoupe la protection des consommateurs, la sécurité des produits, la législation sur l'égalité, la réglementation financière et la protection des données, cette fonction de coordination est essentielle pour éviter toute fragmentation.

Afin de permettre une coordination efficace, le projet de loi fournit une base juridique permettant au Bureau de l’IA de divulguer des données à caractère personnel dans des circonstances bien définies. La divulgation peut avoir lieu lorsqu’elle est jugée nécessaire et proportionnée pour la mise en œuvre effective de la loi sur l’IA ou pour transmettre une plainte, en tout ou en partie, à l’autorité compétente appropriée. Les informations peuvent également être partagées avec les institutions de l’UE, les organismes désignés chargés des droits fondamentaux et, lorsque cela est pertinent pour la prévention ou l’enquête sur des infractions pénales, avec An Garda Síochána.

Ces pouvoirs s’accompagnent de garanties. Toute divulgation doit respecter les critères de nécessité et de proportionnalité. Lorsque des catégories particulières de données à caractère personnel sont concernées, le traitement doit se conformer au règlement général sur la protection des données et à la loi de 2018 sur la protection des données. Les personnes concernées doivent être informées des divulgations lorsque cela est possible, et les données à caractère personnel traitées à des fins répressives doivent être définitivement effacées dès qu’elles ne sont plus nécessaires. En outre, tout accord de partage de données conclu par le Bureau de l'IA doit se conformer aux exigences de gouvernance prévues par le droit irlandais, avec des modifications visant à refléter le contexte spécifique de la réglementation en matière d'IA.

L'inclusion de mécanismes de contrôle parlementaire et l'exigence potentielle d'évaluations d'impact sur la protection des données avant que des organismes supplémentaires ne soient désignés pour le partage de données renforcent encore davantage la responsabilité. Pour les entreprises, cette structure souligne que les plaintes ou les enquêtes liées à l'IA peuvent impliquer une action réglementaire coordonnée plutôt qu'un contrôle isolé.

Surveillance du marché et pouvoirs d'exécution

Le projet de loi désigne les autorités de surveillance du marché (ASM) compétentes pour contrôler la conformité des systèmes d'IA à haut risque, conformément au règlement de l'UE sur la surveillance du marché. L'Irlande a choisi de ne pas déroger à l'approche par défaut de l'UE, ce qui signifie que les autorités existantes chargées de certaines catégories de produits assumeront automatiquement la responsabilité des systèmes d'IA à haut risque correspondants.

Ces autorités se voient conférer des pouvoirs d'enquête et de correction importants. Elles peuvent exiger des opérateurs économiques qu'ils fournissent de la documentation technique, des spécifications, des données de conformité et des informations sur la chaîne d'approvisionnement. Elles peuvent mener des inspections inopinées, pénétrer dans des locaux utilisés à des fins commerciales et ouvrir des enquêtes de leur propre initiative. Lorsqu'un manquement est constaté, elles peuvent exiger des mesures correctives, restreindre ou interdire la mise sur le marché de systèmes, ordonner le retrait ou le rappel et imposer des sanctions conformément à la loi sur l'IA.

Dans les cas graves, notamment lorsqu’un produit présente un risque significatif et que d’autres mesures se sont révélées inefficaces, les autorités peuvent exiger le retrait de contenus en ligne relatifs à un produit ou restreindre l’accès à une interface en ligne. Elles peuvent également se procurer des échantillons de produits, y compris sous une identité d’infiltration, et procéder à une ingénierie inverse des systèmes pour évaluer leur conformité.

L'accès au code source constitue une question particulièrement sensible. En vertu du projet de loi, les autorités de surveillance du marché ne peuvent demander l'accès au code source d'un système d'IA à haut risque que lorsque cet accès est nécessaire pour évaluer la conformité à la loi sur l'IA et lorsque les autres procédures d'audit et de documentation ont été épuisées ou s'avèrent insuffisantes. Cela fait de l'accès au code source une mesure exceptionnelle plutôt qu'une exigence de routine, conciliant ainsi une supervision efficace avec la protection de la propriété intellectuelle et du secret commercial.Pour les fournisseurs, il est clair qu'une documentation exhaustive, des registres de tests et des processus de conformité seront essentiels pour démontrer la conformité et réduire au minimum le risque de mesures d'enquête intrusives.

Intégration dans la réglementation financière

Le projet général modifie également la loi de 1942 sur la Banque centrale afin de créer un portail de partage d'informations pour cette dernière. Les obligations de secret professionnel limitent la divulgation d'informations confidentielles, sauf s'il existe une base légale claire justifiant cette divulgation. En ajoutant la loi européenne sur l'IA et les instruments connexes à la liste des textes législatifs désignés, ces modifications permettent à la Banque centrale d'échanger des informations avec le Bureau de l'IA, les autorités de surveillance des marchés, la Commission européenne et d'autres organismes compétents, sous réserve des exigences du droit de l'Union européenne.

Pour les institutions financières utilisant des systèmes d'IA dans des domaines tels que l'évaluation de la solvabilité, la détection des fraudes, l'analyse de la clientèle ou le trading algorithmique, cette intégration indique que la gouvernance de l'IA fera partie intégrante de la surveillance réglementaire générale.

Autorisation temporaire dans des circonstances exceptionnelles

Le projet de loi prévoit également l'autorisation temporaire de certains systèmes d'IA à haut risque sans que les procédures complètes d'évaluation de la conformité aient été préalablement menées à bien, dans des circonstances exceptionnelles. Ce mécanisme s'inspire des dispositions de la loi européenne sur l'IA qui autorisent des dérogations lorsque cela est nécessaire pour répondre à des besoins publics urgents, notamment en matière de santé publique, de sécurité ou de sécurité nationale.

Ces autorisations auraient une portée et une durée strictement limitées, seraient soumises à des conditions et à un suivi continu, et pourraient être révoquées si des risques pour la santé, la sécurité ou les droits fondamentaux venaient à apparaître. L'autorité de surveillance du marché compétente serait tenue de notifier toute dérogation au Bureau de l'IA et de publier un résumé de la décision, à moins que cette publication ne compromette la sécurité publique ou la sécurité nationale.

Il ne s'agit pas d'une procédure accélérée à des fins commerciales. Il s'agit plutôt de reconnaître que, dans des situations rares et urgentes, telles que les interventions d'urgence lors d'une catastrophe naturelle, il peut être nécessaire de déployer rapidement des systèmes d'IA avant que l'évaluation formelle de la conformité ne soit achevée.

Coopération avec l’Office de l’IA de l’UE et modèles d’IA à usage général

L’un des ajouts les plus nuancés du projet de loi concerne la manière dont l’Irlande traitera les modèles d’IA à usage général, ces systèmes de base pouvant être adaptés et intégrés en amont dans d’innombrables applications. En vertu de la loi européenne sur l’IA, ces modèles sont soumis à des obligations spécifiques énoncées au chapitre V, et la surveillance au niveau de l’UE incombe principalement à l’Office de l’IA de l’UE.

Le projet de loi irlandais reconnaît que la supervision de l’IA à usage général ne peut fonctionner uniquement au niveau national. Lorsqu’une autorité de surveillance du marché en Irlande examine un système d’IA reposant sur un modèle à usage général, elle peut avoir besoin d’informations techniques ou de documentation qui ne sont pas immédiatement accessibles au fournisseur irlandais. Dans de tels cas, la législation prévoit une coopération formelle avec l’Office de l’IA de l’UE, y compris des demandes d’assistance ou d’accès aux informations pertinentes.Cela revêt une importance particulière dans les scénarios transfrontaliers. De nombreux modèles d’IA à usage général sont développés et maintenus par des fournisseurs opérant dans plusieurs États membres. Une autorité irlandaise chargée de vérifier la conformité peut ne pas avoir directement accès à la documentation relative au modèle sous-jacent ou à son architecture technique. Le mécanisme de coopération garantit que les régulateurs irlandais ne sont pas limités par des barrières juridictionnelles ou par la complexité de la technologie elle-même.

Concrètement, cela crée un système de surveillance à plusieurs niveaux. Les autorités irlandaises de surveillance du marché restent responsables des systèmes d'IA mis sur le marché irlandais, mais lorsque ces systèmes s'appuient sur des modèles à usage général, l'Office de l'IA de l'UE peut fournir un soutien technique, coordonner l'application de la réglementation ou faciliter des enquêtes conjointes. Pour les entreprises, cela signifie que la conformité relative à l'IA à usage général ne sera probablement pas évaluée de manière isolée. La chaîne d'approvisionnement, du fournisseur de modèles de base au développeur de systèmes, pourra faire l'objet d'un examen minutieux si nécessaire.

Confidentialité et cybersécurité : protéger les données sensibles

La protection de la propriété intellectuelle et des données commercialement sensibles dans le cadre des interactions avec les autorités de régulation constitue une préoccupation récurrente chez les développeurs d’IA. Le projet de loi y répond directement en intégrant des obligations de confidentialité dans les missions des autorités de surveillance du marché.

Les autorités menant des enquêtes ou des évaluations doivent se conformer au cadre de confidentialité défini dans la loi sur l'IA. Cela inclut la protection des secrets d'affaires, des algorithmes propriétaires, de la documentation technique et, le cas échéant, du code source. Ainsi, une supervision efficace ne doit pas se faire au détriment d'une divulgation injustifiée d'informations à valeur commerciale.

La confidentialité n'est pas absolue, mais elle est fortement mise en avant. Les informations obtenues dans le cadre de l'activité réglementaire doivent être traitées conformément au droit européen et national, en trouvant un équilibre entre la transparence et l'application de la loi, d'une part, et la protection des droits de propriété intellectuelle et des intérêts de sécurité publique, d'autre part. Pour les entreprises en interaction avec les régulateurs, cela offre une certaine garantie que la divulgation d'informations au cours d'une enquête n'équivaut pas à une diffusion publique.

Outre la confidentialité, le projet de loi impose aux autorités compétentes l'obligation explicite de maintenir un niveau adéquat de cybersécurité. Cela va au-delà du simple symbole. Lorsque les régulateurs reçoivent des documents sensibles, des données techniques ou des informations sur les systèmes, l’intégrité et la sécurité de ces informations deviennent cruciales. Cette exigence s’aligne sur les normes plus générales de cybersécurité du secteur public irlandais et reflète la prise de conscience que les organismes de régulation doivent eux-mêmes donner l’exemple en matière de gouvernance, conformément aux attentes imposées à l’industrie.

Pour les entreprises, cette double insistance sur la confidentialité et la cybersécurité devrait apaiser les craintes selon lesquelles la coopération avec les régulateurs pourrait exposer par inadvertance des vulnérabilités ou des systèmes propriétaires.

Reclassification : quand la mention « à faible risque » n’est pas définitive

La loi européenne sur l’IA repose sur un système de classification fondé sur les risques, les systèmes d’IA à haut risque étant soumis à des obligations plus strictes, notamment en matière d’évaluation de la conformité, de documentation, de transparence et de surveillance post-commercialisation. Il incombe aux fournisseurs de procéder à la classification initiale de leurs systèmes. Toutefois, le projet de loi irlandais précise clairement que cette classification n’est pas immuable.

Si une autorité de surveillance du marché a des motifs raisonnables de croire qu’un système qualifié de « non à haut risque » répond en réalité aux critères de classification « à haut risque » prévus à l’annexe III de la loi sur l’IA, elle peut engager une évaluation. Cette évaluation consiste à examiner le système au regard des critères juridiques pertinents et de toute orientation émise au niveau de l’UE.

Si l'autorité conclut que le système relève de la catégorie à haut risque, elle peut exiger du fournisseur qu'il se conforme à l'ensemble des obligations applicables aux systèmes à haut risque. Cela peut inclure la réalisation ou l'achèvement d'une évaluation de la conformité, le renforcement de la documentation technique, la mise en œuvre de mesures de gestion des risques et la mise en place de processus de surveillance post-commercialisation dans un délai déterminé.

Si le fournisseur ne prend pas les mesures correctives requises, des mesures coercitives peuvent s’ensuivre, notamment la restriction, le retrait ou l’interdiction du système sur le marché.

Ce mécanisme est essentiel pour préserver l’intégrité de l’approche fondée sur les risques. Sans lui, il existerait un risque que des systèmes ayant un impact sociétal significatif soient déployés sous une classification erronée, que ce soit par incompréhension ou par sous-classification stratégique. Le projet de loi réaffirme donc que la désignation des risques est une question réglementaire de fond.Pour les organisations utilisant l'IA, il est important que les évaluations des risques soient soigneusement motivées, documentées et réexaminées lorsque les fonctionnalités du système évoluent. La décision de classification doit être défendable, fondée sur des preuves et conforme aux orientations de l'UE. Dans un cadre fondé sur la confiance et la responsabilité, la classification sera probablement l'un des premiers domaines examinés en cas de préoccupations.

Quelles sont les implications de la réglementation irlandaise pour les entreprises ?

Pour les entreprises opérant en Irlande, le point essentiel à retenir est que la gouvernance de l’IA s’intègre désormais dans l’architecture réglementaire nationale. Les entreprises devraient vérifier si leurs systèmes sont susceptibles d’être classés comme présentant un risque élevé au regard de la loi européenne sur l’IA, s’assurer que leur documentation et leurs processus de conformité sont solides, et envisager de prendre contact dès que possible avec les autorités de contrôle lorsque cela s’avère nécessaire.

L'approche de l'Irlande ne se limite pas à une transposition mécanique des règles de l'UE. Il s'agit de mettre en place un réseau de surveillance opérationnel, capable de faire face à la complexité technologique, au développement transfrontalier et à l'évolution des profils de risque.

Pour les entreprises opérant dans ce domaine, la conformité impliquera de plus en plus une interaction avec un réseau d’acteurs nationaux et européens. Les structures de gouvernance, les normes de documentation et les évaluations internes des risques doivent être conçues en tenant compte de cet écosystème plus large. Le projet de loi de 2026 sur la réglementation de l’intelligence artificielle ne se contente pas d’ajouter une couche supplémentaire de réglementation ; il intègre la gouvernance de l’IA dans la culture réglementaire existante de l’Irlande, en prenant pour principes directeurs la coopération, la responsabilité et la proportionnalité.

Dans son ensemble, le projet de loi de 2026 sur la réglementation de l'intelligence artificielle démontre que l'Irlande passe de déclarations politiques de haut niveau à une infrastructure réglementaire détaillée. L'accent mis sur l'innovation structurée par le biais de bacs à sable, la supervision coordonnée par le Bureau de l'IA, des pouvoirs solides de surveillance du marché et l'intégration avec les régulateurs sectoriels existants reflètent une approche globale.

Comment Gerrish Legal peut vous aider? 

Gerrish Legal est un cabinet juridique numérique et dynamique. Nous sommes fiers de prodiguer des conseils juridiques experts et de haute qualité à nos précieux clients. Nous sommes spécialisés dans de nombreux aspects du droit numérique tels que le RGPD, la confidentialité des données, le droit numérique et technologique, le droit commercial et la propriété intellectuelle. 

Nous offrons aux entreprises le soutien dont elles ont besoin pour gérer leurs activités avec succès et en toute confiance tout en se conformant aux réglementations légales, sans avoir à se plier aux exigences numériques en constante évolution. 

Nous sommes là pour vous aider, contactez-nous dès aujourd’hui pour plus d’informations. 

Article de Nathalie Pouderoux, Consultante pour Gerrish Legal