Tu suis la course aux modèles IA ?
Chaque sortie (GPT, Claude, Gemini, Mistral…) décryptée le soir même, en 5 min. Gratuit.
Inclus dès l'inscription : notre sélection des meilleurs guides & comparatifs IA.
Choisis ton rythme
Gratuit · Pas de spam · Désabonnement en 1 clic
Un report qui ne concerne qu'une partie des obligations
Le 7 mai 2026 a marqué un tournant pour les entreprises européennes impliquées dans le développement et l'utilisation de l'intelligence artificielle. Ce jour-là, le Conseil et le Parlement européens ont conclu un accord provisoire sur le Digital Omnibus on AI, repoussant certaines obligations de l'Annexe III du règlement de l'AI Act. Initialement prévues pour le 2 août 2026, ces obligations ne s'appliqueront pleinement que le 2 décembre 2027. Cependant, cette extension ne concerne qu'une partie des exigences réglementaires, ce qui a conduit à des malentendus coûteux parmi les responsables de l'IA.
Bien que la presse ait décrit cette décision comme un répit, il s'agit en réalité d'un report partiel. Les obligations qui restent en vigueur dès le 2 août 2026 couvrent une large gamme de technologies utilisées quotidiennement, telles que les chatbots, les agents IA, les copilotes, les outils de génération IA et les systèmes biométriques. Les entreprises doivent donc être prêtes à se conformer à ces exigences imminentes.
Les obligations réellement reportées
L'accord de trilogue, en attente d'adoption formelle et de publication au Journal officiel de l'UE, prévoit deux principaux reports. Premièrement, l'application complète des obligations pour les systèmes d'IA classés comme haut risque selon l'Annexe III est repoussée du 2 août 2026 au 2 décembre 2027. De plus, les systèmes haut risque intégrés dans des produits couverts par la législation sectorielle de l'Annexe I voient leur échéance glisser du 2 août 2027 au 2 août 2028.
Deuxièmement, les obligations de marquage et de détection des contenus synthétiques prévues à l'Article 50(2) de l'AI Act sont également concernées. Bien que la date d'application générale reste le 2 août 2026, les fournisseurs de systèmes d'IA générative déjà en service avant cette date bénéficient d'une période transitoire de quatre mois, jusqu'au 2 décembre 2026, pour s'y conformer. Ce délai est plus court que les six mois initialement proposés par la Commission et le Conseil, et bien en deçà des douze mois demandés par l'industrie.
Ce qui reste inchangé
Malgré le report partiel, une grande partie des obligations de l'AI Act reste inchangée et prend effet le 2 août 2026. Les pratiques interdites définies à l'Article 5 sont déjà en vigueur depuis le 2 février 2025. Ces pratiques incluent la manipulation subliminale, le scoring social et le scraping biométrique non ciblé. Les sanctions pour non-conformité peuvent atteindre jusqu'à 35 millions d'euros ou 7 % du chiffre d'affaires mondial.
De plus, les obligations de transparence de l'Article 50(1), (3) et (4) demeurent applicables sans report. Les chatbots et agents IA doivent se déclarer comme tels, et les systèmes de reconnaissance d'émotion et de catégorisation biométrique doivent informer les personnes concernées. Les déployeurs de deepfakes et de contenus IA publiés sur des sujets d'intérêt public doivent également étiqueter ces contenus. Les Guidelines de la Commission, publiées le 29 juillet 2025, sont claires sur ces points, avec des sanctions pouvant atteindre 15 millions d'euros ou 3 % du chiffre d'affaires mondial.
Enfin, les obligations RGPD de l'Article 35 concernant l'analyse d'impact préalable pour les traitements IA à risque sont en vigueur depuis 2018. La CNIL a annoncé qu'elle se prépare à devenir autorité de surveillance de l'AI Act, en complément de son rôle RGPD, avec des contrôles croisés prévus dès cette année.
Les pièges managériaux à éviter
Face à l'Omnibus, trois interprétations erronées circulent parmi les comités IA français, dont deux représentent des erreurs stratégiques majeures.
Le premier piège est la perception d'un "répit". Beaucoup pensent avoir 18 mois supplémentaires et reportent les actions à fin 2026. Cependant, cette lecture ne concerne que l'Annexe III, qui ne représente qu'une fraction des obligations. Les chatbots, agents IA, outils GenAI et systèmes biométriques tombent sous l'Article 50 et ne sont pas concernés par le report.
Le deuxième piège est l'attentisme, où les entreprises attendent la publication officielle au Journal officiel pour confirmer le report avant d'agir. Bien que juridiquement compréhensible, cette approche est risquée. Le texte trilogue doit encore être revu, traduit, adopté formellement et publié, ce qui pourrait prendre plusieurs mois. Pendant ce temps, le calendrier initial reste applicable, et une organisation contrôlée le 3 août 2026 ne pourra pas invoquer un accord politique non publié.
Le troisième piège est de confier la conformité au CTO sans comité IA. Cela est fréquent dans les scale-ups et ETI, où le CTO se retrouve seul à gérer un dossier complexe mêlant technique, juridique, RGPD, gouvernance des données et responsabilité civile. L'AI Act exige explicitement une gouvernance interne intégrée, et une décision technique isolée du DPO peut entraîner une non-conformité RGPD détectée par la CNIL lors d'un contrôle croisé.
Trois décisions cruciales à prendre avant août 2026
Pour éviter les pièges, les comités IA français devraient prendre trois décisions structurantes dans les douze semaines à venir.
Premièrement, ils doivent composer formellement un comité IA multidisciplinaire, incluant le DPO, RSSI, juriste, représentant de la direction, et éventuellement un Chief AI Officer. Ce comité doit se réunir au moins trimestriellement et avoir un mandat écrit, conformément aux attentes explicites de l'AI Act.
Deuxièmement, il est crucial de finaliser l'inventaire des systèmes IA hors Annexe III mais sous Article 50. Les chatbots de support client, copilotes commerciaux, outils GenAI en marketing, transcripteurs de réunion et agents internes doivent être inventoriés pour être classifiés correctement. Sans inventaire, il n'y a pas de stratégie de divulgation possible, exposant l'entreprise à des contrôles dès le 2 août.
Troisièmement, les entreprises doivent publier une politique IA d'entreprise alignée sur l'Article 4 du règlement. Cette politique, qui est également un contrôle de la norme ISO 42001, doit formaliser les usages autorisés et proscrits, les rôles et le plan de formation. Sans ce cadre écrit, la défense en cas de contrôle est impossible. Il est donc essentiel que cette politique soit publiée, datée et signée par la direction.
Un déplacement, pas une suspension
L'erreur la plus courante parmi les comités IA français est de voir le report comme une opportunité de gagner du temps. En réalité, le calendrier offre une chance de structurer sereinement la conformité. Les organisations qui auront formellement composé leur comité IA, finalisé leur inventaire et publié leur politique IA d'ici le 2 août 2026 seront mieux préparées pour l'avenir. Celles qui auront ignoré ces étapes découvriront que la pile de conformité s'est effondrée lors du premier contrôle croisé de la CNIL.
Le Digital Omnibus du 7 mai n'a jamais signifié "vous pouvez attendre", mais plutôt "concentrez votre conformité sur ce qui est applicable maintenant". C'est un déplacement des priorités, pas une suspension des obligations.
Dans douze semaines, le périmètre des Articles 50, 4, 5, ainsi que l'ensemble du dispositif RGPD croisé, entreront pleinement en application. La question n'est plus de savoir si vous serez contrôlé, mais si votre comité IA aura été constitué et quels documents il pourra présenter le 3 août au matin.

