Aller au contenu principal
🤖Intelligence Artificielle
AI Act : report de l'échéance d'août 2026 — ce que les entreprises doivent savoir sur les systèmes IA à haut risque

AI Act : report de l'échéance d'août 2026 — ce que les entreprises doivent savoir sur les systèmes IA à haut risque

Olivier RAFALOlivier RAFAL
IA10 min

Le calendrier de l'AI Act est en train de changer. Le report des dispositions les plus contraignantes du Règlement européen sur l'intelligence artificielle — initialement prévues pour le 2 août 2026 — vers décembre 2027 crée une zone d'ombre juridique que certaines entreprises pourraient être tentées d'exploiter. C'est l'alerte lancée par l'eurodéputé allemand Sergey Lagodinsky : le contexte légal ne pouvant être rétroactif, des acteurs pourraient déployer rapidement des systèmes IA à haut risque non conformes, avant que la loi ne s'applique pleinement.

Alors que le calendrier initial du Règlement sur l'intelligence artificielle (AI Act) prévoyait une entrée en application massive de ses dispositions les plus contraignantes pour le 2 août 2026, une série d'ajustements législatifs, regroupés sous l'appellation d'« Omnibus Numérique », est en cours de discussion, et cela va redéfinir les priorités et les échéances des entreprises - ajoutant au flou de la période et à l'incompréhension des responsables IA face à une législation encore plus complexe à appréhender que le RGPD.

À ce stade, il est difficile d'avancer une date ou un calendrier certain. Sachant que la Commission européenne devait fournir le 2 février dernier un cadre de classification pour les systèmes à haut risque et qu'elle n'a pas honoré cette deadline, il y a de très fortes chances que l'échéance du 2 août soit décalée - les spécialistes du sujet parlent de décembre 2027, voire plus tard en 2028.

Néanmoins, cela ne veut pas dire que les entreprises peuvent faire n'importe quoi : un certain nombre d'obligations légales sont déjà applicables.

Voici une tentative d'y voir clair - réalisée, disclaimer obligatoire, avec l'aide de l'IA (parce qu'on ne va pas se mentir, cette histoire est un fichu capharnaüm).

Conformité AI Act 2025 : les obligations déjà en vigueur

Il est impératif de dissiper une confusion croissante : le report discuté au sein des institutions européennes ne concerne pas l'intégralité de la loi. L'AI Act est entré en vigueur le 1er août 2024, et plusieurs de ses piliers sont déjà juridiquement actifs, imposant des obligations immédiates aux entreprises opérant sur le marché de l'Union européenne.

Les pratiques interdites (Article 5)

Depuis le 2 février 2025, l'interdiction des systèmes d'IA présentant un risque inacceptable est pleinement exécutoire. Les entreprises doivent déjà avoir audité leur portefeuille de solutions pour s'assurer qu'aucune application active ou en développement ne relève des catégories proscrites. Ces interdictions visent des pratiques jugées contraires aux valeurs fondamentales de l'Union, notamment la manipulation subliminale, l'exploitation des vulnérabilités liées à l'âge ou au handicap, et le scoring social par les autorités publiques ou des entités privées.

Toute violation de ces dispositions expose l'entreprise à des amendes pouvant atteindre 35 millions d'euros ou 7 % du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu.

Liste des pratiques IA interdites depuis le 2 février 2025

  • Manipulation subliminale et tromperie
  • Exploitation des vulnérabilités (âge, handicap)
  • Systèmes de notation sociale (Social Scoring)
  • Identification biométrique à distance en temps réel
  • Scraping non ciblé d'images faciales
  • Reconnaissance des émotions au travail/éducation

L'obligation de littératie en IA (Article 4)

Également applicable depuis le 2 février 2025, l'obligation de littératie en IA oblige les fournisseurs et les entreprises utilisatrices (ces dernières étant appelées "déployeurs", dans le vocabulaire de l'AI Act) à prendre des mesures pour assurer un niveau suffisant de compétences en IA chez leur personnel. L'objectif est de garantir une supervision humaine éclairée et de réduire les risques liés à une confiance excessive dans les systèmes automatisés.

Bien que l'Omnibus Numérique propose de transformer cette obligation contraignante en un modèle d'encouragement par les États membres, cela reste selon nous une nécessité. D'une part, parce que former les équipes reste un pilier de la gestion des risques pour tout responsable stratégique. D'autre part, parce que l'IA ne délivrera pleinement sa valeur que si les équipes y voient un intérêt, l'adoptent massivement et l'utilisent correctement.

Qu'est-ce que l'Omnibus Numérique AI Act et pourquoi repousse-t-il les échéances ?

Le glissement du calendrier n'est pas le fruit d'une hésitation politique sur le fond de la loi, mais une réponse pragmatique à une carence infrastructurelle. Le système de conformité de l'AI Act repose sur l'existence de normes harmonisées et de lignes directrices précises, dont la production a pris un retard considérable.

L'impasse des normes techniques

L'AI Act prévoit que les entreprises peuvent bénéficier d'une « présomption de conformité » si elles respectent des normes techniques élaborées par le CEN (Comité européen de standardisation) et le CENELEC (Comité électrotechnique européen de standardisation). Or, ces organismes ont manqué l'échéance de l'automne 2025 pour finaliser le premier paquet de normes essentielles concernant la gestion des risques, la qualité des données et la supervision humaine. Les prévisions actuelles ne tablent pas sur une disponibilité de ces outils avant la fin de l'année 2026.

Les lignes directrices manquantes de la Commission

De son côté, la Commission européenne devait publier, avant le 2 février 2026, des lignes directrices clarifiant la mise en œuvre pratique de l'Article 6, relatif à la classification des systèmes à haut risque. Ce retard place donc les entreprises dans une incertitude juridique majeure : comment investir dans des processus de mise en conformité coûteux si les critères exacts de classification et les modalités d'audit ne sont pas encore stabilisés ?

Le processus législatif de l'Omnibus

Le 19 novembre 2025, la Commission a proposé le "Digital Omnibus on AI" pour synchroniser l'application de la loi avec la disponibilité des outils de soutien (standards, guides). Le 26 mars 2026, le Parlement européen a voté massivement en faveur de ce report, en privilégiant des dates fixes plutôt que le mécanisme de déclencheur conditionnel initialement suggéré.

État du processus Date Action
Proposition Commission 19 novembre 2025 Lancement du paquet Omnibus pour la simplification.
Approche du Conseil 13 mars 2026 Soutien au report avec des dates fixes (décembre 2027).
Vote du Parlement 26 mars 2026 Adoption de la position de négociation (569 voix pour).
Trilogues 28 avril 2026 Début des négociations finales entre Commission, Conseil et Parlement.

Nouvelles échéances probables pour les systèmes IA à haut risque (2027-2028)

L'aspect le plus critique pour les responsables de la stratégie IA et de la conformité concerne le décalage des obligations pour les systèmes d'IA à haut risque. Le Parlement et le Conseil s'accordent désormais sur une trajectoire qui offre entre 16 et 24 mois de délai supplémentaire par rapport au plan initial.

Systèmes autonomes (Annexe III)

Pour les systèmes d'IA utilisés dans des domaines sensibles tels que la biométrie, la gestion des infrastructures critiques, l'éducation, l'emploi ou les services publics essentiels, l'échéance passerait du 2 août 2026 au 2 décembre 2027. Ce délai supplémentaire vise à permettre aux organismes notifiés (les certificateurs tiers) d'être désignés par les États membres et d'être prêts à traiter les demandes d'évaluation de conformité.

Exemples de systèmes à "Haut Risque"

Voici des exemples de domaines et d'applications qui devront obligatoirement être conformes à l'échéance du 2 décembre 2027 (si le report de l'Omnibus est adopté, sinon dès le 2 août 2026) :

  • Emploi et gestion des travailleurs : systèmes utilisés pour le recrutement (tri de CV), l'évaluation des candidats lors d'entretiens ou le suivi de la performance des employés.
  • Services financiers et essentiels : IA utilisée par les banques pour évaluer la solvabilité (credit scoring) ou par les assurances pour fixer les tarifs et évaluer les risques.
  • Éducation : outils de notation automatisée des examens, systèmes de surveillance lors des tests ou logiciels de gestion des admissions dans les établissements d'enseignement.
  • Infrastructures critiques : IA dédiée à la gestion des réseaux d'électricité, d'eau, de gaz ou à la régulation du trafic routier et ferroviaire.
  • Maintien de l'ordre et Justice : outils d'évaluation de la fiabilité des preuves ou systèmes prédisant le risque de récidive d'un individu.
  • Biométrie (non interdite) : systèmes d'identification biométrique à distance (dans les cas autorisés) ou catégorisation biométrique (si elle n'est pas basée sur des données sensibles comme la race ou la religion).

IA intégrée dans des produits réglementés (Annexe I)

Les systèmes d'IA servant de composants de sécurité dans des produits déjà soumis à une législation d'harmonisation de l'Union (dispositifs médicaux, jouets, machines, ascenseurs) bénéficieraient d'un délai encore plus long, jusqu'au 2 août 2028. L'intention est d'éviter une double charge réglementaire en permettant l'intégration des exigences de l'AI Act au sein des procédures d'évaluation de conformité sectorielles déjà existantes.

Obligations de transparence (Article 50)

Pour l'IA générative et les systèmes interagissant avec des personnes physiques, les obligations de marquage et de détection des contenus synthétiques (watermarking) sont également impactées. Le Parlement propose une application dès le 2 novembre 2026 (un report de 3 mois), tandis que le Conseil suggère le 2 février 2027. Cette urgence relative s'explique par la nécessité de lutter contre la désinformation et les deepfakes dans un contexte électoral et sécuritaire tendu.

IA à usage général (GPAI) : quelles obligations en 2025 et 2026 ?

Contrairement aux systèmes à haut risque, les modèles d'IA à usage général (General Purpose AI, tels que les LLM, les grands modèles de langage) font l'objet d'un régime spécifique dont les fondations sont déjà posées. L'Europe nomme ces modèles GPAI et les définit comme "tout modèle entraîné à l'aide de plus de 10²³ FLOP (opérations en virgule flottante) et capable de générer des sorties linguistiques (texte/audio), texte-image ou texte-vidéo".

Échéances pour les modèles GPAI

Les règles concernant les fournisseurs de modèles GPAI sont entrées en application le 2 août 2025.

  1. Nouveaux modèles : tout modèle mis sur le marché après cette date doit se conformer immédiatement aux exigences de documentation technique, de respect du droit d'auteur et de publication de résumés de données d'entraînement.
  2. Modèles existants : les fournisseurs de modèles mis sur le marché avant le 2 août 2025 disposent d'une période de grâce jusqu'au 2 août 2027 pour se mettre en conformité.
  3. Activation des sanctions : bien que les obligations soient en vigueur, les pouvoirs de sanction financière de la Commission européenne (via l'IA Office) ne seront pleinement activés qu'à partir du 2 août 2026.

Le Code de Pratique GPAI

Le 10 juillet 2025, l'IA Office a publié la version finale du Code de Pratique pour les modèles GPAI. Ce document, élaboré avec plus de 1 400 parties prenantes, sert de référentiel technique. L'adhésion volontaire à ce code offre une « zone de sécurité » réglementaire : les signataires sont présumés conformes aux exigences de l'AI Act, réduisant ainsi les risques de litiges avec les autorités de surveillance. La sanction financière en cas de non conformité peut aller jusqu'à 15 M€ ou 3% du CA mondial, le montant le plus élevé étant retenu.

Catégorie GPAI Obligation Clé
Tous les fournisseurs Politique de respect du droit d'auteur (TDM opt-out)
Tous les fournisseurs Documentation technique et résumés d'entraînement
Risque systémique (> 10^25 FLOP) Évaluation du modèle et tests adverses (Red-teaming)
Risque systémique (> 10^25 FLOP) Rapport d'incidents graves et cybersécurité

Conséquences stratégiques du délai : opportunités et risques

Le report des dates butoirs crée une dynamique de marché complexe à décrypter. L'interaction entre le délai et la clause de non-rétroactivité crée une sorte de faille, ou de loophole - ces angles morts qui ne tomberaient pas sous le coup de la loi.

La faille de l'Article 111 : une course au marché ?

L'Article 111 de l'AI Act stipule que la loi n'est pas rétroactive. Cela signifie que les systèmes d'IA mis sur le marché ou mis en service avant la date d'application des obligations ne sont pas soumis aux règles du haut risque, sauf s'ils subissent une « modification substantielle » par la suite.

En repoussant l'échéance d'août 2026 à décembre 2027, l'Union européenne ouvre de facto une fenêtre de 16 mois supplémentaires durant laquelle des entreprises peuvent déployer des systèmes à haut risque sans avoir à supporter les coûts et les contraintes de conformité (audit tiers, documentation exhaustive, systèmes de gestion des risques certifiés). Des experts et des parlementaires, comme Sergey Lagodinsky, qualifient cette situation de « zone d'ombre » ou de « faille structurelle » qui incite les entreprises à précipiter le lancement de produits moins matures pour échapper indéfiniment à la supervision.

Le risque de « dette de conformité »

Je ne pense pas qu'il soit nécessaire de rappeler que la mise en conformité par rapport à l'AI Act est un processus long et fastidieux. Et s'il est tentant de le repousser à plus tard, ce serait aussi très dangereux. Le travail de gouvernance interne, l'inventaire des systèmes et la mise en place de protocoles de supervision humaine demandent des efforts, du temps, et ne montreront pas immédiatement une grande efficacité ; il faudra du temps pour gagner en maturité. Toute pause dans les investissements de conformité entraînera forcément une dette majeure, typiquement :

  • Une perte de contexte et de compétence des équipes internes.
  • Un coût de mise en conformité tardive beaucoup plus élevé, car les principes n'auront pas été intégrés dès la conception (Compliance by Design).
  • Une exposition accrue aux tribunaux qui, contrairement aux régulateurs, ne sont pas liés par les calendriers de mise en œuvre administrative pour juger de la responsabilité civile liée à l'IA.

Précisons aussi que tant que l'Omnibus Numérique n'est pas formellement adopté et publié au Journal officiel de l'UE, le calendrier légal reste celui du 2 août 2026. Si les négociations en trilogue (prévues pour se conclure fin avril 2026) devaient échouer et la deadline maintenue, les entreprises n'ayant pas anticipé l'échéance originale se retrouveraient en situation de non-conformité immédiate.

Vers une nouvelle interdiction : les applications « Nudifier »

Dans le cadre des négociations sur l'Omnibus, le Parlement européen a réussi à insérer une nouvelle catégorie de risque inacceptable : les applications d'IA générant des images ou vidéos à caractère sexuel non consensuel (deepfakes pornographiques), pour lesquelles est formulée une interdiction explicite.

L'urgence de cette mesure n'est pas abstraite. Début janvier 2026, des témoignages se sont multipliés concernant Grok, l'IA intégrée à la plateforme X d'Elon Musk : des utilisateurs formulaient des requêtes telles que « mets-la en bikini » ou « enlève-lui ses vêtements » à partir de simples photos publiées sur le réseau social, obtenant instantanément des images dénudées — femmes et mineures incluses. xAI, l'entreprise éditrice de Grok, a reconnu des « failles dans les dispositifs de sécurité » après que trois ministres français ont saisi le parquet de Paris, qui a étendu son enquête visant X à l'usage de l'IA. L'Arcom a également été saisie au titre du Digital Services Act. L'Internet Watch Foundation signalait par ailleurs une augmentation de 400 % des images pédopornographiques générées par IA au cours du premier semestre 2025.

Portée de l'interdiction

Cette mesure vise les systèmes conçus pour manipuler l'apparence physique d'une personne identifiable afin de créer du contenu intime sans son consentement. Contrairement aux autres dispositions de l'Omnibus, cette interdiction devrait entrer en vigueur immédiatement après l'adoption finale du texte, sans période de transition prolongée, en raison de l'urgence sociale liée à ce phénomène.

Les fournisseurs dont les systèmes incluent des barrières techniques efficaces — et pas juste des règles ou une charte d'utilisation à accepter d'un clic distrait — pour empêcher une telle utilisation seront toutefois exemptés de cette interdiction. En pratique, cela signifie que les plateformes de génération d'images grand public devront démontrer l'existence de filtres actifs et robustes, et non de simples mentions dans leurs CGU. Les amendes encourues s'inscrivent dans le régime général de l'AI Act pour les pratiques interdites : jusqu'à 35 millions d'euros ou 7 % du chiffre d'affaires annuel mondial.

Recommandations stratégiques pour les responsables IA

Face à ce paysage mouvant, on ne saurait trop recommander de ne pas être attentiste, mais bien de se préparer, par étapes.

1. Sécuriser les acquis du « futur legacy »

Pour les projets de systèmes à haut risque actuellement en phase finale de développement, il peut être stratégiquement judicieux d'accélérer leur mise sur le marché avant l'échéance de décembre 2027. Cela permet de bénéficier de la clause de non-rétroactivité et de stabiliser l'exploitation sans la lourdeur des audits tiers immédiats. On pense notamment à des systèmes IA pour les RH, très explorés en ce moment. Cette approche reste défendable à condition que le système soit conçu dès l'origine selon les principes de l'AI Act — supervision humaine documentée, registre des risques, traçabilité des décisions — même en l'absence d'audit tiers obligatoire à ce stade.

2. Prioriser la transparence (Watermarking)

Indépendamment du report du haut risque, les obligations de marquage des contenus générés par IA (Article 50) arriveront vite (fin 2026). Les équipes techniques doivent dès maintenant intégrer des standards de provenance (comme C2PA) pour éviter des rappels de produits ou des blocages de services à cette échéance.

3. Adopter le Code de Pratique pour les GPAI

Pour les entreprises utilisant ou fournissant des modèles de base, la signature du Code de Pratique publié en juillet 2025 - et bien sûr sa mise en application - est la voie la plus sûre pour démontrer la conformité. Elle réduit la charge de preuve en cas de contrôle par l'IA Office et renforce la confiance des clients B2B.

4. Auditer et renforcer la littératie et la supervision humaine

Même si le caractère obligatoire de la formation pourrait être assoupli par l'Omnibus, l'Article 14 (supervision humaine) reste un pilier central pour les systèmes à haut risque. Une IA mal supervisée par manque de compétences du personnel reste une source de responsabilité civile et pénale majeure pour l'entreprise. D'une manière générale, monter en compétences sur l'IA, instaurer une gouvernance dédiée, éventuellement assistée par l'IA, représentent des investissements qui ne seront pas perdus !

Questions fréquentes sur l'AI Act et le report 2026

L'AI Act est-il repoussé ?
Pas dans sa totalité. L'AI Act est en vigueur depuis le 1er août 2024. Ce qui est discuté dans le cadre de l'Omnibus Numérique, c'est le report des obligations les plus contraignantes pour les systèmes à haut risque, initialement prévues au 2 août 2026, vers décembre 2027. Les interdictions de pratiques (Article 5) et les obligations de littératie (Article 4) s'appliquent elles depuis le 2 février 2025.

Qu'est-ce qu'un système IA à haut risque selon l'AI Act ?
Un système IA est considéré à haut risque s'il est utilisé dans un domaine sensible listé à l'Annexe III du règlement : recrutement, évaluation de solvabilité, notation scolaire, gestion d'infrastructures critiques, maintien de l'ordre, ou encore identification biométrique autorisée. Ces systèmes feront l'objet d'un audit tiers obligatoire et d'une documentation exhaustive.

Mon entreprise est-elle concernée par l'AI Act même si elle n'est pas européenne ?
Oui, si vos systèmes IA sont utilisés ou commercialisés dans l'Union européenne, le règlement s'applique, quelle que soit la localisation de l'entreprise — à l'image du RGPD en matière de données personnelles.

Quand s'applique l'AI Act pour l'IA générative ?
Les règles pour les modèles GPAI (LLM et autres modèles généralistes) sont déjà en vigueur depuis le 2 août 2025. Les obligations de transparence (watermarking, Article 50) devraient, elles, s'appliquer entre novembre 2026 et février 2027 selon l'issue des trilogues.

Articles de qualité pour en savoir plus

Voici quelques sources triées par mes IA et moi. Je n'irais pas jusqu'à dire que les articles sont passionnants (chacun ses goûts), mais ils sont très instructifs !

Tech Policy Press : Analyse les conséquences des retards de mise en œuvre, soulignant comment certains systèmes à haut risque pourraient échapper temporairement à la surveillance réglementaire.

Taylor Wessing : Présente la proposition "Digital Omnibus", qui vise à modifier et à harmoniser l'AI Act avec d'autres législations européennes existantes.

Plesner : Fait le point sur les échéances d'août 2026, abordant le retard des normes techniques, les guides d'application attendus et l'impact du volet "Digital Omnibus".

A&O Shearman : Détaille les enjeux réels du "Digital Omnibus" alors que débutent les trilogues (négociations entre les institutions de l'UE) pour finaliser ces ajustements législatifs.

Kennedys Law : Propose un calendrier clair de mise en œuvre pour aider les entreprises à comprendre et à respecter les prochaines échéances de conformité.

Artificial Intelligence Act : Site de référence (centralisant les documents officiels) qui permet de consulter le texte complet, les amendements et l'état d'avancement de la loi.

EYR Act : Un guide rapide sur le Code de bonnes pratiques pour l'IA à usage général (GPAI), mis à jour avec les perspectives pour 2026.

TechJack Solutions : Explique les propositions de report de certaines dates limites, en détaillant les différents scénarios de mise en conformité envisagés par l'UE.

Le Monde : Retrace comment Grok, l'IA intégrée à X, a été détournée pour générer des images dénudées de femmes et de mineures, et la réaction des autorités françaises (parquet de Paris, Arcom).

Partager

Continuer votre exploration

Découvrez d'autres articles du cluster ia-entreprise-roi dans l'univers Intelligence Artificielle

Article Pilier

Acculturer Est la Cle du Succes de l'IA Generative en Entreprise

Article de référence pour comprendre les fondamentaux de ce cluster thématique.

Lire l'article pilier
Explorer tous les articles Intelligence Artificielle