Introduction de la Loi N° 132 du 23 septembre 2025
Avec l’approbation de la Loi N° 132 du 23 septembre 2025, l’Italie devient le premier État membre de l’Union européenne à adopter une loi complète et spécifique pour se conformer aux dispositions du Règlement de l’UE N° 2024/1689 (appelé AI Act). Cette loi établit un cadre national pour la gouvernance, la supervision et le soutien à l’innovation dans le domaine de l’intelligence artificielle (IA).
Contexte
Le projet de loi 1146/24 a été l’objet de divers avis d’autorités sectorielles, y compris de l’Autorité italienne de protection des données (le Garante) et de la Commission européenne. Cette dernière a souligné la nécessité d’une plus grande cohérence avec l’AI Act et d’une plus grande ouverture à l’utilisation de l’intelligence artificielle. Modifié partiellement selon les recommandations reçues, le texte a été approuvé par le Parlement italien le 17 septembre 2025 et publié au Journal officiel n° 223 du 25 septembre 2025.
Les secteurs concernés
La première section de la loi, dédiée aux principes généraux, introduit une stratégie nationale sur l’IA, à mettre à jour tous les deux ans par le Comité interministériel pour la transition numérique, avec le soutien du Département pour la transformation numérique de la Présidence du Conseil des ministres. Cette stratégie servira de référence pour les décisions politiques et réglementaires concernant l’IA.
La deuxième section contient des règles pour des secteurs individuels, indiquant les domaines et méthodes d’utilisation de l’IA. Par exemple, dans le secteur de la santé et de la recherche scientifique, l’IA est autorisée comme outil d’assistance, mais ne peut pas être utilisée pour discriminer ou décider de l’accès aux traitements ; le rôle humain reste central, avec la responsabilité finale incombant aux humains. La recherche publique et privée à but non lucratif est classée comme d’un intérêt public significatif, permettant le traitement des données personnelles sans consentement, sous réserve de l’approbation des comités d’éthique et de notification au Garante.
Emploi
Dans le secteur du travail, la loi introduit des sauvegardes spécifiques pour la gestion des processus de sélection, d’évaluation et de surveillance des travailleurs utilisant des systèmes d’IA. Elle établit des obligations de transparence pour les employeurs, le droit à l’information pour les employés et la nécessité d’évaluations d’impact pour prévenir la discrimination algorithmique.
La loi crée également un observatoire sur l’impact de l’IA sur le travail, visant à maximiser les avantages et à atténuer les risques liés à l’utilisation des systèmes d’intelligence artificielle sur le lieu de travail, tout en promouvant la formation pour les travailleurs et les employeurs dans le domaine de l’IA.
Justice
Dans le secteur de la justice, la législation établit des critères stricts pour l’utilisation des systèmes d’IA dans le domaine judiciaire, tant pour la gestion des affaires que pour le soutien à la décision. La supervision humaine est renforcée et l’utilisation de l’IA pour des activités interprétatives est interdite : l’utilisation d’outils d’analyse automatique est limitée à des fins organisationnelles, de simplification du travail et administratives, garantissant ainsi la pleine protection du droit à la défense et de la confidentialité des parties.
Droit d’auteur
La loi précise également que la protection du droit d’auteur est reconnue pour les œuvres « créées avec l’aide de l’intelligence artificielle », à condition qu’elles résultent du travail intellectuel de l’auteur. Il est donc clarifié que le matériel généré uniquement par l’IA n’est pas soumis à la protection. La reproduction et l’extraction de textes et de données à l’aide de l’IA sont autorisées si les sources sont légitimement accessibles.
Gouvernance
En termes de gouvernance, la stratégie nationale pour l’IA est confiée à la Présidence du Conseil des ministres, avec l’implication de l’Agence pour le numérique italien (AgID) et de l’Agence nationale de cybersécurité (ACN) en tant qu’autorités nationales, ainsi que des autorités de supervision sectorielles (Banque d’Italie, CONSOB, IVASS), dans leurs domaines de compétence respectifs. Une attention particulière est accordée à la cybersécurité, considérée comme un préalable essentiel tout au long du cycle de vie des systèmes et modèles d’IA.
Au niveau institutionnel, la coordination entre les autorités nationales (AgID/ACN, autorités sectorielles) et l’Autorité de protection des données sera décisive pour aligner les évaluations des risques des systèmes d’IA, y compris du point de vue du RGPD et des évaluations d’impact éthique.
Interconnexions avec l’AI Act, NIS2 et RGPD
La loi couvre de manière décisive les domaines laissés de côté par l’AI Act : elle identifie les autorités de supervision et leurs pouvoirs, régule les inspections, soutient les PME et les administrations publiques, et définit des sanctions pour les comportements non entièrement harmonisés (par exemple, les deepfakes). Même dans les limites de l’harmonisation européenne, le législateur national élève le niveau des sauvegardes organisationnelles et des exigences « procédurales » (transparence, contrôles, formation, documentation), les étendant à des cas à faible risque et à des secteurs sensibles tels que le travail, la santé et la justice.
Sur le front de l’IA générative et des deepfakes, l’Italie adopte une approche plus prescriptive : elle introduit des infractions pénales et des mécanismes de traçabilité et d’authenticité du contenu, tandis que l’AI Act privilégie les obligations d’information et les codes de conduite (avec des exigences renforcées pour les systèmes présentant un risque systémique). Le résultat est un modèle intégré avec le RGPD, NIS2 et les règles sectorielles, visant à traduire les clauses européennes générales en contrôles opérationnels vérifiables.
Conclusions
En termes concrets, la conformité dépendra de la capacité à orchestrer la gouvernance et les tests de contrôle. Parmi les priorités pour les entreprises, on peut certainement identifier la nécessité de :
- cartographier les systèmes et classer les risques ;
- intégrer les DPIA ;
- définir les rôles et responsabilités des développeurs et des utilisateurs ;
- inclure des clauses contractuelles « prêtes pour l’AI Act » dans la chaîne d’approvisionnement ;
- mettre en œuvre des mesures techniques, y compris pour le suivi de contenu et la gestion des incidents et des rapports.
Enfin, un suivi actif des actes exécutifs européens et des directives nationales (y compris celles de l’Autorité italienne de protection des données) est nécessaire, car ces normes donneront lieu à des critères d’évaluation, des paramètres techniques et des priorités d’inspection. Ceux qui agissent maintenant non seulement réduiront le risque de sanctions mais gagneront également un avantage compétitif : transformer la conformité en une exigence de qualité, de sécurité et de fiabilité des systèmes d’IA.
