Le 29 juin 2026, le Conseil de l'Union européenne a adopté formellement la simplification de l'AI Act, bouclant la procédure législative entamée début 2026. Deux semaines après le vote du Parlement européen — 423 voix pour, 57 contre, le 16 juin — le texte de l'Omnibus VII est désormais définitif. La publication au Journal officiel de l'UE est attendue dans les prochaines semaines ; l'entrée en vigueur interviendra 20 jours après cette publication, probablement fin juillet ou début août 2026.
Pour les entreprises françaises, cette adoption livre un message en deux temps. Premier temps : une respiration significative sur le haut risque. Les systèmes IA entrant dans les 32 catégories de l'Annexe III — recrutement, scoring crédit, gestion de dossiers de santé, biométrie, infrastructures critiques — ne seront soumis aux obligations AI Act que le 2 décembre 2027, et non le 2 août 2026 comme prévu initialement. C'est un décalage de 16 mois. Deuxième temps : la transparence sur les contenus générés par IA n'est repoussée que de 4 mois, au 2 décembre 2026 — et pour les fournisseurs de modèles GPAI dont les modèles existaient avant août 2025, l'échéance du 2 août 2026 reste intacte.
Cette page fait le point sur ce qui change, ce qui reste, et ce que votre entreprise doit anticiper dans les six prochains mois.
Le vote du Parlement et du Conseil : la procédure est close
L'adoption formelle par le Conseil le 29 juin clôt le processus de codécision européen. La Commission avait présenté ses propositions de simplification en février 2026, après que les délais originaux de l'AI Act — conçus avant l'explosion de l'IA générative en 2022-2024 — soient apparus trop compressés pour permettre une adaptation réelle des entreprises.
Les deux votes clés
- 16 juin 2026 — Parlement européen : 423 voix pour, 57 contre. Score large qui reflète un consensus : le texte simplifie sans vider l'AI Act de sa substance.
- 29 juin 2026 — Conseil de l'UE : adoption en point A (procédure sans débat), conformément aux usages après accord en trilogue. Aucun État membre n'a demandé de renégociation.
Prochaines étapes formelles
La publication au Journal officiel est attendue courant juillet 2026. Le règlement modifié entre en vigueur 20 jours après — soit probablement fin juillet ou en tout début août. Contrairement aux directives, aucune mesure nationale de transposition n'est nécessaire : le règlement s'applique directement dans les 27 États membres, et les autorités nationales (la CNIL en France pour les aspects traitement de données) peuvent commencer à contrôler dès l'entrée en vigueur.
Point important : l'adoption de l'Omnibus VII ne remet pas en cause les obligations AI Act déjà en vigueur. Les interdictions absolues — IA de manipulation comportementale à l'insu des personnes, scoring social généralisé, surveillance biométrique en temps réel dans l'espace public à des fins répressives — sont applicables depuis le 2 février 2025 et ne changent pas. L'obligation de formation aux compétences IA pour les équipes utilisant ou développant de l'IA (article 4) l'est également depuis cette date. Si vous n'avez pas encore documenté vos formations IA internes, c'est à faire maintenant, pas en 2027.
Tableau des nouvelles échéances confirmées
Voici les principales modifications du calendrier issues de l'Omnibus VII, avec les nouvelles dates officiellement confirmées au 29 juin 2026.
Ce qui a été décalé
- Systèmes IA à haut risque (Annexe III) : recrutement et sélection de personnel, scoring de crédit, gestion de dossiers de santé, biométrie à des fins non sécuritaires, gestion d'infrastructures critiques (énergie, eau, transport), évaluation dans l'enseignement, administration de la justice. Ancienne date : 2 août 2026. Nouvelle date : 2 décembre 2027 — 16 mois supplémentaires.
- Transparence des contenus synthétiques : obligation de signaler aux utilisateurs finaux que des images, vidéos ou enregistrements audio ont été générés par IA ; obligation de marquage machine (watermarking). Ancienne date : 2 août 2026. Nouvelle date : 2 décembre 2026 — 4 mois supplémentaires.
- Sandboxes réglementaires nationales : les États membres devaient mettre en place des espaces de test réglementaires d'ici août 2026. Nouvelle date : 2 août 2027.
Ce qui est nouveau dans le texte
- Nouveau seuil PME/ETI : les mesures simplifiées s'appliquent désormais aux entreprises comptant jusqu'à 750 salariés et 150 M€ de chiffre d'affaires annuel (contre les seuils EU classiques de 250 salariés / 50 M€). Concrètement, la grande majorité des ETI françaises accède ainsi aux procédures allégées — documentation technique réduite, évaluations de conformité adaptées.
- Nouvelle interdiction des « nudifiers » : les outils IA qui génèrent des images intimes sans le consentement de la personne représentée rejoignent les pratiques explicitement prohibées. Entrée en vigueur : 2 décembre 2026.
Ce qui n'a pas changé
- Pratiques interdites (article 5) : en vigueur depuis le 2 février 2025 — aucun changement.
- Obligation de formation IA (article 4) : en vigueur depuis le 2 février 2025 — aucun changement.
- Obligations des fournisseurs GPAI (chapitre V) : en vigueur depuis le 2 août 2025 pour les nouveaux modèles. Pour les modèles GPAI mis sur le marché avant le 2 août 2025, l'échéance de mise en conformité reste le 2 août 2026 — aucun décalage dans l'Omnibus VII.
Ce qui reste en vigueur dès l'automne 2026
Même avec la respiration gagnée sur le haut risque, deux obligations proches méritent une attention concrète.
1. L'échéance GPAI pour les modèles existants (2 août 2026)
Les entreprises qui fournissent — et non simplement utilisent — des modèles IA à usage général (GPAI) mis sur le marché avant le 2 août 2025 ont jusqu'au 2 août 2026 pour satisfaire aux obligations du chapitre V : documentation technique complète du modèle, transparence sur les données d'entraînement, évaluations de sécurité systématiques et inscription au registre de l'Office IA de l'UE.
Pour la grande majorité des PME et ETI françaises qui utilisent des modèles tiers — ChatGPT, Claude, Mistral, Gemini — cette obligation ne s'applique pas directement : elle incombe à OpenAI, Anthropic, Mistral AI et leurs équivalents. Vérifiez néanmoins votre position : si vous hébergez et redistribuez vous-même un modèle open source (Llama, Mistral 7B…) à des tiers ou à vos propres clients, la qualification de « fournisseur GPAI » peut s'appliquer.
2. La transparence des contenus IA (2 décembre 2026)
À partir du 2 décembre 2026, toute entreprise qui met à disposition d'utilisateurs des contenus générés par IA — images, vidéos, enregistrements audio — doit les signaler comme tels. Deux modalités sont prévues : un marquage machine (métadonnées) et une indication visible à l'utilisateur final. Les actes délégués précisant les exigences techniques sont attendus à l'automne 2026 de la Commission européenne ; il serait imprudent d'attendre leur publication pour commencer à inventorier vos cas d'usage.
Si votre site ou vos communications utilisent des images IA, des voix de synthèse, ou si votre support client produit des réponses textuelles automatiques présentées comme humaines, commencez dès maintenant à identifier ces points de contact. Cinq mois, c'est court quand il faut attendre les actes délégués, les intégrer dans vos processus, puis les déployer techniquement.
Plan d'action en trois étapes pour les PME et ETI françaises
L'Omnibus VII vous donne du temps sur le haut risque. Ce n'est pas une raison de ne rien faire — c'est une invitation à avancer méthodiquement plutôt qu'en urgence de conformité.
Étape 1 — Cartographier vos usages IA (maintenant)
Avant de savoir si vous êtes concerné par l'Annexe III ou les obligations de transparence, dressez l'inventaire complet de vos outils IA : quels produits, pour quels processus, sur quelles populations (candidats, clients, patients, collaborateurs). Incluez les outils SaaS tiers qui intègrent de l'IA : votre logiciel RH, votre CRM, votre outil de marketing automation. Cette cartographie est utile quelle que soit la réglementation applicable — c'est le socle d'une gouvernance IA sérieuse, et elle vous permettra de répondre sans délai à un audit client ou à une demande de votre DPO.
Étape 2 — Qualifier le niveau de risque
Comparez votre inventaire aux 32 catégories de l'Annexe III. En PME/ETI, les zones à surveiller : tout outil IA impliqué dans la sélection de CV ou le scoring RH, tout système influant sur l'accès au crédit ou aux assurances, tout outil de gestion de dossiers de santé ou d'évaluation scolaire, toute IA interagissant avec des infrastructures critiques. Si vous utilisez un logiciel tiers doté d'une couche IA pour ces usages, demandez à votre éditeur son positionnement AI Act : c'est son obligation de vous fournir cette information. Notre équipe accompagne les PME françaises dans cette démarche de qualification : contactez-nous pour un diagnostic.
Étape 3 — Anticiper la transparence des contenus GenAI
Si vous produisez des contenus IA en contact client — visuels générés, voix de synthèse, chatbot, emails automatiques présentés comme rédigés par un humain — identifiez ces cas dès maintenant et planifiez la mise en conformité pour mi-novembre 2026. Vous aurez ainsi deux semaines de marge avant l'entrée en vigueur du 2 décembre. Les équipes qui attendent les actes délégués (automne 2026) pour « voir exactement ce qu'on leur demande » risquent de ne pas avoir le temps d'implémenter proprement. Pour comprendre comment l'automatisation métier IA s'articule avec ces obligations, notre équipe peut vous orienter dès aujourd'hui.
FAQ — AI Act simplifié : le Conseil de l'UE confirme au 29 juin — haut risque en décembre 2027, transparence GenAI en décembre 2026
Ma PME utilise ChatGPT ou Claude pour ses documents internes — suis-je directement concernée par l'échéance du 2 août 2026 ?
Non. L'échéance du 2 août 2026 concerne les fournisseurs de modèles GPAI — les entreprises qui développent et distribuent des modèles IA généralistes (OpenAI, Anthropic, Mistral AI…). En tant qu'utilisateur de ces outils, votre obligation principale à ce stade est la formation de vos équipes à l'IA (article 4, en vigueur depuis le 2 février 2025). Vérifiez que vous avez documenté ces formations. L'exception : si vous hébergez vous-même un modèle open source et le redistribuez à des tiers, la qualification de fournisseur GPAI peut s'appliquer.
Quand l'Omnibus VII entrera-t-il officiellement en vigueur ?
Le texte doit être publié au Journal officiel de l'UE dans les semaines suivant l'adoption du Conseil le 29 juin 2026. L'entrée en vigueur intervient 20 jours après cette publication — on peut anticiper fin juillet ou tout début août 2026. Les nouvelles dates (décembre 2027 pour le haut risque, décembre 2026 pour la transparence des contenus) sont applicables dès l'entrée en vigueur ; il n'y a pas de délai supplémentaire.
Quels systèmes tombent dans la catégorie 'haut risque' de l'Annexe III ?
L'Annexe III liste huit domaines : les infrastructures critiques (énergie, eau, transport), l'éducation et la formation professionnelle, l'emploi et la gestion des travailleurs (recrutement, évaluation de performance), les services publics essentiels (crédit, assurance, services sociaux), les services répressifs, la gestion des migrations et de l'asile, l'administration de la justice, et les processus démocratiques. Si votre entreprise utilise l'IA pour des décisions affectant des personnes dans l'un de ces domaines, consultez un juriste spécialisé pour qualifier précisément votre exposition.
Le nouveau seuil de 750 salariés signifie-t-il que les ETI ne sont plus soumises à l'AI Act ?
Non. Le nouveau seuil donne accès aux procédures simplifiées (documentation allégée, évaluations de conformité adaptées), pas à une exemption des obligations. Les ETI de moins de 750 salariés bénéficient d'une charge administrative réduite, mais restent soumises aux mêmes interdictions fondamentales et obligations de transparence que les grandes entreprises. Ce seuil élargi est toutefois une avancée réelle pour la majorité des ETI françaises qui se situaient dans la zone grise des seuils EU classiques.
Que risque mon entreprise si elle ne respecte pas les obligations AI Act à leur date d'entrée en vigueur ?
Le régime de sanctions n'a pas été modifié par l'Omnibus VII. Pour les violations des pratiques interdites (article 5), les amendes peuvent atteindre 35 M€ ou 7 % du chiffre d'affaires mondial annuel. Pour les violations d'obligations de documentation, de transparence ou d'évaluation de conformité, les amendes vont jusqu'à 15 M€ ou 3 % du chiffre d'affaires. En France, la CNIL a été désignée comme autorité de surveillance pour les aspects liés aux données personnelles. Les premiers contrôles effectifs sont attendus pour 2027, mais la documentation doit être constituée dès maintenant.