EU AI Act : l’Italie va au-delà du cadre européen sur l’IA
Le 17 septembre 2025, l’Italie est devenue le premier État membre de l’UE à adopter une loi-cadre complète sur l’IA. Ce texte n’est pas une seconde loi sur l’IA, mais plutôt un cadre national qui s’articule autour du règlement (UE) 2024/1689. Il définit des principes, attribue des pouvoirs de supervision, ajuste les règles dans des secteurs sensibles et amende les domaines laissés à la discrétion nationale tels que le travail, la santé, le droit d’auteur et le droit pénal.
1. Principes fondamentaux et portée
La loi-cadre italienne sur l’IA commence par un ensemble de principes généraux destinés à guider l’adoption, le développement et le déploiement de l’IA. Ces dispositions sont délibérément de haut niveau : elles n’imposent pas de nouvelles obligations de conformité aux fournisseurs ou aux utilisateurs de systèmes d’IA, mais elles établissent le ton légal et politique sur le fonctionnement de l’IA en Italie.
La loi affirme une approche anthropocentrique : l’IA doit soutenir la prise de décision humaine, respecter les droits fondamentaux et ne jamais remplacer la responsabilité humaine. La recherche, l’expérimentation et l’utilisation de l’IA doivent être conformes aux droits constitutionnels, au droit de l’UE et à des principes tels que la transparence, la proportionnalité, l’exactitude, la non-discrimination, l’égalité des genres, la vie privée et la cybersécurité. La supervision humaine et la possibilité d’intervenir restent essentielles tout au long du cycle de vie de l’IA.
Une innovation notable est la garantie expresse que l’utilisation de l’IA ne doit pas nuire au débat démocratique. La loi interdit le déploiement de systèmes de manière à compromettre les processus démocratiques ou l’échange libre d’opinions, en réponse aux préoccupations croissantes concernant l’amplification algorithmique, les deepfakes et la désinformation.
Enfin, la loi limite son propre champ d’application : elle n’a pas pour but de créer de nouvelles obligations au-delà de celles établies par la loi sur l’IA de l’UE. Les entreprises doivent considérer la loi sur l’IA comme la source de leurs obligations de conformité et voir la loi italienne comme un cadre qui fixe des lignes directrices nationales, attribue des responsabilités de supervision et ajoute des règles sectorielles dans des domaines comme la santé, le travail, l’administration publique, la propriété intellectuelle et le droit pénal.
2. Gouvernance et rôles institutionnels
La loi-cadre sur l’IA dessine la carte de supervision pour l’Italie, alignant les responsabilités nationales avec celles du règlement sur l’IA de l’UE tout en répondant aux priorités nationales. Elle définit qui est responsable de la supervision, de la coordination et de l’exécution.
Au centre se trouve un nouveau Comité de Coordination établi au Bureau du Premier Ministre, responsable de la conception et de la mise à jour de la stratégie nationale sur l’IA et d’assurer la cohérence interinstitutionnelle.
Deux agences spécialisées sont désignées comme autorités nationales de l’IA :
- AgID (Agence italienne de la transformation numérique) agit comme autorité notifiant. Elle gère l’accréditation et le suivi des organismes d’évaluation de conformité, promeut l’adoption de l’IA et supervise le fonctionnement des « sandboxes ».
- ACN (Agence nationale de cybersécurité) devient l’autorité de surveillance du marché. Elle dispose de pouvoirs d’enquête et de sanction, axés sur la sécurité et la résilience des systèmes d’IA, et sert de point de contact unique de l’Italie avec l’UE.
Les deux autorités doivent coopérer avec les régulateurs existants : (i) AGCOM comme coordinateur des services numériques sous la DSA ; (ii) le Garante pour la protection des données ; et (iii) la Banque d’Italie, CONSOB et IVASS dans le secteur financier.
3. Règles sectorielles
La loi-cadre sur l’IA complète le règlement de l’UE en introduisant des règles nationales ciblées dans des domaines de haute sensibilité sociale et juridique. Ces dispositions concernent moins des obligations de conformité technique que l’établissement de limites reflétant les valeurs constitutionnelles et les priorités politiques.
3.1. Santé et handicap
L’IA est reconnue comme un outil précieux pour la prévention, le diagnostic et le traitement. Les systèmes d’IA ne peuvent pas déterminer ou restreindre l’accès aux soins de santé sur des bases discriminatoires, et les patients ont le droit d’être informés lorsque l’IA est utilisée dans leur soin. Pour favoriser l’innovation, la loi qualifie certains usages de données de santé pour la recherche en IA comme étant d’intérêt public pertinent, permettant au Ministre de la Santé d’émettre des décrets d’application qui simplifient l’utilisation secondaire des données pour la R&D.
3.2. Emploi
Les employeurs doivent garantir que l’IA en milieu de travail est sûre, fiable et non intrusive, et les travailleurs doivent être informés lorsque de tels outils sont déployés. Cela reflète et renforce les obligations existantes du droit du travail italien. La loi crée également un Observatoire AI du Travail au sein du Ministère du Travail pour surveiller l’impact de l’IA, promouvoir la formation et guider les réponses politiques.
3.3. Administration publique et justice
Les organismes publics peuvent déployer l’IA pour simplifier les procédures et améliorer l’efficacité, mais la responsabilité ne peut pas être déléguée. La transparence et la traçabilité sont expressément requises. Dans le domaine judiciaire, la ligne est encore plus claire : les juges conservent le pouvoir décisionnel exclusif. L’IA peut soutenir des tâches organisationnelles ou analytiques, mais ne peut jamais remplacer le raisonnement judiciaire ou l’interprétation du droit.
3.4. Mineurs
La loi-cadre sur l’IA va plus loin que le RGPD en établissant des règles spécifiques de consentement liées à l’IA pour les moins de 18 ans. Les enfants de moins de 14 ans ne peuvent accéder aux technologies d’IA qu’avec le consentement parental ; ceux âgés de 14 à 17 ans peuvent consentir seuls à condition que l’information soit claire et compréhensible.
4. Propriété intellectuelle, contenu et droit pénal
En plus des garde-fous sectoriels, la loi-cadre sur l’IA modifie les codes de la propriété intellectuelle et pénal italien pour traiter les risques posés par le contenu synthétique et la créativité assistée par l’IA. Ces modifications ne sont pas des duplications du règlement sur l’IA de l’UE, mais des ajustements nationaux dans des domaines où les États membres conservent leur compétence.
4.1. Droit d’auteur et fouille de texte et de données
La loi modifie la loi sur le droit d’auteur pour réaffirmer que les œuvres protégées restent des « œuvres de l’esprit humain », même si des outils d’IA ont aidé à leur création. La protection ne s’applique que si l’auteur humain a apporté une véritable contribution créative.
La loi précise également les règles entourant la fouille de texte et de données pour l’entraînement de l’IA. Les développeurs doivent se référer aux exceptions et limitations de l’UE. De plus, la loi modifie les dispositions pénales pour faire de la fouille de texte et de données non autorisée une infraction pénale, élevant ce qui était auparavant une question de responsabilité civile à une exposition pénale potentielle.
4.2. Innovations en droit pénal
La loi introduit une nouvelle infraction autonome de diffusion illégale d’images, de vidéos ou d’audio générés ou altérés par l’IA (c’est-à-dire des deepfakes) lorsque ce matériel cause un préjudice injuste. Cette infraction est codifiée et peut entraîner des peines d’un à cinq ans d’emprisonnement.
Plus largement, la loi-cadre sur l’IA redéfinit la responsabilité pénale à travers une approche en couches. L’utilisation de l’IA peut désormais agir comme une circonstance aggravante générale pour toute infraction commise « au moyen de l’IA » qui augmente l’insidiosité, entrave la défense ou aggrave les conséquences.
5. Développement économique, signaux d’approvisionnement public et stratégie nationale
La loi-cadre italienne sur l’IA associe gouvernance à un agenda pro-investissement et pro-approvisionnement. Elle vise à influencer trois domaines : stratégie nationale, choix d’approvisionnement et flux d’investissement public.
- Stratégie nationale sur l’IA. Le Bureau du Premier ministre doit préparer et mettre à jour une stratégie nationale sur l’IA, approuvée tous les deux ans, et coordonner sa mise en œuvre tout en rendant compte annuellement au Parlement.
- Orientation des approvisionnements publics. Les administrations sont dirigées à ajuster leurs plateformes d’e-procurement pour privilégier les solutions d’IA qui maintiennent les données traitées et stockées dans des centres de données italiens et qui, pour l’IA générative, démontrent des normes de sécurité élevées.
- Capitaux pour les scale-ups. La loi autorise jusqu’à 1 milliard d’euros à investir directement ou indirectement dans des entreprises italiennes d’IA/cybersécurité et des technologies habilitantes.
6. Législation déléguée
Bien que la loi-cadre sur l’IA soit ambitieuse, elle établit également un programme exigeant de législation secondaire. Dans les 12 mois suivant son entrée en vigueur, le gouvernement doit adopter trois délégations législatives :
- Données d’entraînement, algorithmes et méthodes. Le gouvernement doit établir un cadre national pour l’utilisation des données et des algorithmes pour entraîner des systèmes d’IA.
- Utilisations illicites de l’IA. Une seconde délégation permet au gouvernement de « ajuster et spécifier » les règles sur le développement et l’utilisation illicites de systèmes d’IA.
- Alignement avec le règlement de l’UE sur l’IA. Une troisième délégation exige des décrets législatifs pour aligner la loi nationale avec le règlement de l’UE sur l’IA.
7. Conclusions
La loi-cadre italienne sur l’IA n’est pas une seconde code de conformité additionné au règlement de l’UE sur l’IA. Sa véritable signification réside dans l’établissement de l’architecture institutionnelle et des points de friction légaux et commerciaux que les entreprises pourraient rencontrer en Italie. Les priorités d’approvisionnement, les obligations envers les travailleurs et les patients, les protections pour les mineurs, et l’élévation des violations de droits d’auteur en matière pénale font désormais partie de la baseline nationale.
Cependant, il reste à voir si les entreprises pourraient soutenir que toute mesure nationale qui va au-delà – ou qui est perçue comme allant au-delà – du régime harmonisé du règlement de l’UE sur l’IA pourrait entrer en conflit avec le droit de l’Union, étant donné l’objectif du règlement d’assurer la libre circulation des systèmes d’IA et de limiter les restrictions supplémentaires des États membres sauf autorisation expresse.
