Brief IA : AI Act : Derrière le report, une exigence de preuve renforcée

AI Act : Derrière le report, une exigence de preuve renforcée

Brief IA
Tom Levy·3 min·6 vues

Le report de l'AI Act modifie les attentes en matière de conformité, avec des délais pour les systèmes à haut risque repoussés au 2 décembre 2027 et au 2 août 2028. D'ici mai 2026, le coût de la conformité et de la transparence des données augmentera significativement, poussant les entreprises à se concentrer sur le lignage des données plutôt que sur le calendrier de mise en conformité.

En bref
1Le report du Digital Omnibus on AI jusqu'en 2028 masque une exigence accrue de documentation et de transparence.
2Le G7 a introduit le SBOM for AI, exigeant une traçabilité complète des systèmes d'IA, incluant métadonnées et sécurité.
3L'OCDE adapte son cadre pour inclure les PME dans le reporting, renforçant la transparence dans toute la chaîne.
💡Pourquoi c'est importantLes entreprises doivent se préparer à fournir des preuves détaillées de leurs systèmes d'IA, malgré le report des délais de conformité.
Le brief IA que lisent les pros

Tu suis la course aux modèles IA ?

Chaque sortie (GPT, Claude, Gemini, Mistral…) décryptée le soir même, en 5 min. Gratuit.

Inclus dès l'inscription : notre sélection des meilleurs guides & comparatifs IA.

Choisis ton rythme

Gratuit · Pas de spam · Désabonnement en 1 clic

📄
L'analyse en français

Un report qui cache des exigences renforcées

En mai 2026, l'agenda de l'intelligence artificielle a été marqué par plusieurs événements clés. Parmi ceux-ci, le report des échéances du Digital Omnibus on AI, décidé par le Conseil de l'Union et le Parlement européen, a repoussé les dates de conformité pour les systèmes à haut risque de l'Annexe III au 2 décembre 2027, et ceux de l'Annexe I au 2 août 2028. Ce report est justifié par le retard des normes harmonisées du CEN-CENELEC JTC 21, nécessaires pour assurer la conformité. Cependant, cet accord reste provisoire tant qu'il n'a pas été formellement adopté avant le 2 août 2026, ce qui signifie que les dates d'origine de l'article 113 demeurent en vigueur. Ce délai supplémentaire ne doit pas être confondu avec une réduction des exigences.

La pression de la preuve s'intensifie

Le même mois, le groupe de travail cybersécurité du G7 a publié un texte crucial : le SBOM for AI. Ce document, co-piloté par l'Italie et l'Allemagne, et signé par les agences de cybersécurité des sept pays, dont l'ANSSI pour la France, exige une documentation détaillée des systèmes d'IA. Il structure la traçabilité en sept clusters : métadonnées, modèles, jeux de données, propriétés système, indicateurs de performance, sécurité, et infrastructure. L'objectif est de combler les lacunes laissées par les SBOM classiques, en adressant des risques spécifiques à l'IA tels que l'empoisonnement des données, l'injection de prompt, et l'altération des poids. Pour les opérateurs, cela signifie qu'ils devront fournir la généalogie complète de leurs modèles, y compris les données d'entraînement et les dépendances.

L'OCDE et la transparence des PME

Parallèlement, l'OCDE a révisé son cadre de notification dans le cadre du processus d'Hiroshima, afin d'inclure les PME dans le processus de reporting. Cette transparence, autrefois réservée aux grandes entreprises, devient désormais un attendu ordinaire pour les éditeurs et déployeurs de taille moyenne. Cette révision vise à faire descendre les exigences de transparence le long de la chaîne de production.

L'Omnibus et l'enregistrement des systèmes

Quant au Digital Omnibus on AI, souvent perçu comme un assouplissement, il rétablit en réalité l'enregistrement des systèmes à haut risque dans la base européenne, réduisant ainsi les échappatoires et augmentant la visibilité publique. Le calendrier semble se desserrer, mais la documentation se resserre, ce qui signifie que simplifier la déclaration revient souvent à alourdir la démonstration.

Les implications pour les entreprises

Pour les directions IA, le défi est clair : il ne s'agit plus seulement de respecter les délais, mais de pouvoir prouver l'origine et la validation de leurs modèles d'IA lors de contrôles ou d'investigations. Les entreprises doivent utiliser ce temps supplémentaire pour se préparer à fournir des preuves détaillées et non des promesses, en s'appuyant sur les normes existantes telles que l'ISO/IEC 42001. Les organisations qui réussiront seront celles qui pourront démontrer la transparence et la traçabilité de leurs systèmes sans difficulté.

Une convergence silencieuse

Ce mois de mai a également été marqué par une encyclique du pape Léon XIV consacrée à l'intelligence artificielle, soulignant l'importance croissante de ce domaine. L'accumulation de ces textes révèle une convergence silencieuse vers une exigence accrue de preuve et de transparence. Les organisations qui tireront parti de cette période de répit ne seront pas celles qui auront simplement attendu, mais celles qui seront prêtes à ouvrir le capot de leurs systèmes sans transpirer.

Suivez Brief IA

L'actu IA du jour, aussi dans votre fil.

Commentaires