EU AI Act omnibus : ce qui a changé le 7 mai 2026 et ce qu'il faut faire
Le Conseil et le Parlement ont trouvé un accord politique provisoire sur un Digital Omnibus qui repousse les obligations applicables aux IA à haut risque de l'EU AI Act et remodèle la manière dont l'Acte interagit avec le droit sectoriel. Voici le nouveau calendrier, les nouvelles interdictions, et là où les équipes conformité doivent garder le pied sur l'accélérateur.
Le 7 mai 2026, le Conseil et le Parlement européen ont trouvé un accord politique provisoire sur le Digital Omnibus on AI. Les obligations applicables aux IA à haut risque au titre de l'Annexe III s'appliquent désormais à partir du 2 décembre 2027, et l'IA à haut risque intégrée dans les produits régulés de l'Annexe I à partir du 2 août 2028. L'adoption formelle reste en attente, mais l'AI Office, le communiqué de presse du Conseil et les grands cabinets qui couvrent l'accord travaillent tous sur ces dates. Considérez-les comme votre base de planification.
Voici ce qui a bougé, ce qui n'a pas bougé, et où le travail de ce trimestre reste à faire.
Le nouveau calendrier
L'architecture d'ensemble de l'Acte n'a pas bougé. Classification fondée sur les risques, les 4 niveaux, le régime d'évaluation de la conformité, la voie GPAI, le rôle de supervision de l'AI Office. Tout cela reste. Ce qui change, ce sont les dates d'application des obligations pour les IA à haut risque, plus la période de grâce pour la transparence de l'Article 50(2).
| Disposition | Date précédente | Nouvelle date | Statut |
|---|---|---|---|
| Interdictions de l'Article 5 | 2 février 2025 | 2 février 2025 | En vigueur |
| Article 4 culture IA | 2 février 2025 | 2 février 2025 | En vigueur |
| Obligations GPAI (Articles 51–55) | 2 août 2025 | 2 août 2025 | En vigueur |
| Watermarking et divulgation de contenu synthétique de l'Article 50(2) | 2 août 2026 | 2 décembre 2026 | Report de 4 mois (période de grâce comprimée de 6 à 3 mois) |
| Bacs à sable réglementaires nationaux | 2 août 2026 | 2 août 2027 | Report de 12 mois |
| Systèmes autonomes à haut risque Annexe III | 2 août 2026 | 2 décembre 2027 | Report de 16 mois |
| IA à haut risque intégrée dans des produits régulés Annexe I | 2 août 2027 | 2 août 2028 | Report de 12 mois |
Deux choses sur ces dates ne sautent pas aux yeux à la lecture du tableau.
Les dates s'appliquent que les normes harmonisées et la guidance de la Commission soient prêtes ou non d'ici là. L'argument initial du report était que les entreprises avaient besoin d'accéder aux normes techniques que la Commission est encore en train de rédiger. Le compromis politique a été de fixer de nouvelles dates malgré tout. Si les normes arrivent en retard, les dates ne se décalent pas avec elles.
Et l'échéance du watermarking est l'obligation la plus proche en vie. Si vous livrez la moindre fonctionnalité générative sur le marché européen, vous devez avoir l'étiquetage UI, l'embedding de métadonnées lisibles par machine et la capacité de détection opérationnels d'ici au 2 décembre 2026. Cela représente environ 7 mois d'ingénierie. Planifiez en conséquence.
Une nouvelle interdiction a été ajoutée à l'Article 5
L'accord ajoute une nouvelle pratique interdite au titre de l'Article 5 : les systèmes d'IA qui génèrent des images intimes non consenties (NCII) ou du matériel d'abus sexuels sur enfants (CSAM), y compris les applications dites « nudifier ». Il existe une zone refuge (safe harbour) pour les systèmes dotés de garde-fous préventifs effectifs.
Cela ne figurait pas dans la proposition initiale de la Commission. Le Conseil et le Parlement l'ont imposé pendant le trilogue. Deux implications pratiques :
- Si vous fournissez un modèle de génération d'images généraliste, la conception du safe harbour doit faire partie de votre documentation de gestion des risques. Il n'y a pas de voie « on l'ajoutera plus tard ».
- Si vous construisez des applications en aval sur le modèle génératif d'un autre, l'interdiction s'applique quand même à vous. Vous êtes le fournisseur du système d'IA qui produit la sortie ; les garde-fous doivent donc vivre quelque part dans votre stack aussi.
Droit sectoriel et le compromis sur l'Annexe I
La partie la plus difficile de la négociation a été la manière dont l'AI Act doit interagir avec la législation existante sur la sécurité des produits. Là où le droit sectoriel impose déjà des exigences pertinentes pour l'IA (Règlement Machines, MDR/IVDR pour les dispositifs médicaux, jouets, ascenseurs, embarcations et autres), l'applicabilité parallèle de l'AI Act crée une double régulation. Personne ne le voulait.
Le compromis a 2 volets.
Les machines obtiennent une exclusion complète de l'applicabilité directe de l'AI Act. Les exigences de santé et de sécurité pour les IA à haut risque dans les produits machines sont ajoutées via des actes délégués sous le Règlement Machines lui-même. Les fabricants de machines font face à un seul régime d'évaluation de la conformité, avec des exigences spécifiques à l'IA ajoutées par-dessus.
Les autres secteurs de l'Annexe I obtiennent une exclusion conditionnelle via des actes d'exécution. La Commission peut limiter l'application de l'AI Act là où le droit sectoriel couvre déjà des exigences comparables spécifiques à l'IA. La Commission prend aussi une nouvelle obligation : publier de la guidance aidant les opérateurs de systèmes d'IA à haut risque dans les secteurs régulés à se conformer sans faire deux fois le travail. Les décisions de portée concrètes sont reportées aux actes d'exécution de 2027.
Si vous produisez des produits régulés à fonctionnalité IA hors du règlement Machines, votre voie exacte de conformité est encore en cours de rédaction. Planifiez par défaut l'applicabilité de l'AI Act. Surveillez la trajectoire des actes d'exécution 2027 pour des réductions de portée spécifiques à votre secteur.
Ce qui n'a pas changé (les éléments opérationnellement importants)
3 points ont survécu à la cure de simplification que la couverture de surface manquera surtout.
L'enregistrement de l'Article 6(3) a été conservé. La Commission proposait de supprimer l'obligation d'enregistrer, dans la base de données de l'UE, les systèmes d'IA opérant dans des contextes Annexe III que les fournisseurs auto-évaluent comme non à haut risque. Le Conseil et le Parlement ont rejeté la suppression. L'obligation survit sous une forme rationalisée à l'Annexe VIII Section B.
L'auto-évaluation, c'était autrefois un mémo interne. C'est désormais un dépôt public. Si vous décidez que votre outil RH, de crédit ou biométrique n'est pas à haut risque, cette décision doit aller dans la base de données de l'UE. Les autorités nationales compétentes et l'AI Office obtiennent une liste consultable des décisions de classification limites — exactement le type d'apport qui déclenche des vagues d'application thématiques. L'approche « classer hors champ et espérer que personne ne s'en aperçoive » était toujours risquée. Elle exige désormais une défense publique de la position.
La stricte nécessité pour la correction de biais a été préservée. La Commission avait proposé d'assouplir la norme de traitement des catégories particulières de données personnelles pour la détection de biais, de « strictement nécessaire » à « nécessaire ». Le Parlement a refusé. La norme de stricte nécessité demeure. Les programmes d'audit de biais qui traitent des données de race, de santé ou d'orientation sexuelle ont toujours besoin d'une justification documentée de stricte nécessité.
Les obligations GPAI continuent de s'appliquer. Les Articles 51–55 s'appliquent depuis août 2025 et l'omnibus n'y touche pas. Les fournisseurs de modèles de fondation doivent continuer à travailler sur le GPAI Code of Practice et les seuils de risque systémique comme auparavant.
Ce qu'il faut maintenir au plan de travail 2026
La tentation, avec un report de 16 mois, est de relâcher sur l'inventaire et la classification. Ce serait une erreur, pour 2 raisons.
Le travail lui-même ne devient pas plus facile avec le temps. Le plus dur de la conformité à l'AI Act, ce n'est pas le modèle de documentation. C'est de trouver chaque système d'IA dans votre organisation, de décider dans quelle catégorie de l'Annexe III chacun tombe, et d'obtenir des équipes produit et ingénierie qu'elles maintiennent l'inventaire au fil des nouveaux systèmes livrés. Rien de cela ne dépend du fait que les normes soient finalisées. Commencez maintenant et vous avez environ 18 mois pour affiner. Commencez fin 2027 et vous avez des semaines, pas des mois.
Le risque sous-jacent ne bouge pas non plus avec les dates de l'AI Act. Les préjudices causés par l'IA en 2026 restent soumis au droit sectoriel existant : responsabilité du fait des produits, RGPD, MDR, lois anti-discrimination, régulateurs sectoriels comme la FCA ou la BaFin. L'omnibus reporte le signalement formel des incidents au titre de l'Article 73 et l'évaluation de la conformité. Il ne reporte pas le droit de la responsabilité ni le RGPD.
Trois chantiers à garder en mouvement cette année :
- Inventoriez et classifiez chaque système d'IA. Autonome, intégré, construit en interne, acheté. Tout le reste dépend de l'inventaire. L'omnibus ne change pas cela.
- Mettez en place le watermarking et la divulgation des contenus synthétiques. En production d'ici le 2 décembre 2026 si vous livrez la moindre fonctionnalité générative dans l'UE. Cela représente 7 mois d'ingénierie.
- Tranchez votre position au titre de l'Article 5 sur NCII/CSAM. Génération d'images, multimodal, toute application en aval produisant de la sortie. Soit vous êtes clairement hors champ, soit vous avez une conception safe harbour documentée, soit vous cessez d'offrir la fonctionnalité dans l'UE.
Et trois sur lesquels vous pouvez relâcher :
- Engagement auprès des organismes notifiés pour les systèmes Annexe III. Décembre 2027 est suffisamment loin pour que les files d'attente soient réelles mais pas encore critiques. Restez en dialogue, ne vous engagez pas tout de suite sur des évaluations complètes.
- Documentation finale de conformité pour les systèmes à haut risque. Esquissez la structure, remplissez le détail quand les normes seront plus proches du final. La Commission a encore des normes harmonisées à publier au titre de l'Article 40.
- Workflows de marquage CE pour les produits intégrant de l'IA. Attendez les actes d'exécution de 2027 avant de décider si votre voie sectorielle absorbe les exigences de l'AI Act ou si vous avez besoin d'une voie parallèle.
Ne pariez pas sur un second report
L'AI Act pourrait-il être à nouveau reporté ? Probablement pas, et planifier autour de cette possibilité n'est pas raisonnable.
Le plaidoyer politique pour le premier report s'appuyait sur l'état de préparation des normes harmonisées et la pression compétitive issue de la feuille de route Digital Networks de la Commission. Les deux arguments ont été consommés. Les institutions ont tenu la ligne sur l'architecture et sur les dates. Rouvrir le dossier reviendrait à reconnaître que le navire amiral de la simplification a échoué.
Un règlement qui se fait reporter à chaque fois que l'application approche perd sa crédibilité en tant que règlement. Le Brussels Effect dépend du fait que l'AI Act soit un texte contraignant. Les institutions le savent, et le cadrage compétitivité du deal actuel est le cadrage qu'elles défendront si quelqu'un propose un second report.
Planifiez donc pour décembre 2027 et août 2028. Le travail à faire d'ici là est le travail de ce trimestre.
Sources
- Communiqué de presse du Conseil de l'UE, 7 mai 2026
- Hogan Lovells: EU legislators agree to delay for high-risk AI rules
- Travers Smith: EU agrees to delay key AI Act compliance deadlines
- Lewis Silkin: Council and Parliament agree to slim down and delay parts of the EU AI Act
Pour voir comment VerifyWise mappe chaque obligation de l'AI Act, consultez notre page solution conformité EU AI Act.
À propos de l'équipe VerifyWise
VerifyWise développe des logiciels de gouvernance de l'IA en source-available (code accessible) utilisés par les organisations pour gérer les risques, la conformité et la supervision de leurs portefeuilles d'IA. Notre équipe éditoriale s'appuie sur une expérience pratique de la mise en œuvre de workflows de gouvernance pour les industries réglementées et les équipes IA en forte croissance.
En savoir plus sur VerifyWise →Pret a gouverner votre IA de maniere responsable ?
Commencez votre parcours de gouvernance de l'IA avec VerifyWise des aujourd'hui.
Articles similaires
Réglementations IA aux États-Unis en 2026 : décrets fédéraux, lois des États, et ce qu'il faut respecter dès maintenant
May 15, 2026
ResearchSalaires de la gouvernance de l'IA 2026 : ce que le marché paie vraiment
May 28, 2026
ComplianceColorado SB 21-169 : playbook de conformité pour les assureurs
Apr 20, 2026