Digital Omnibus IA : le report des obligations haut risque à décembre 2027

Le 7 mai 2026, les institutions européennes ont conclu un accord provisoire sur le Digital Omnibus IA, qui reporte l'entrée en application des obligations d'usage des systèmes d'IA à haut risque de l'Annexe III du 2 août 2026 au 2 décembre 2027. Ce report de seize mois est l'ajustement réglementaire le plus important depuis l'entrée en vigueur de l'AI Act le 1^er août 2024.

Pour les entreprises concernées — recrutement assisté par IA, scoring de crédit, IA dans l'éducation ou les infrastructures critiques — c'est un soulagement opérationnel réel. Mais ce report est largement incompris : beaucoup croient que « l'AI Act est repoussé », ce qui est faux. Seul un volet précis est concerné.

Cet article clarifie le périmètre exact du report, ce qui reste applicable au 2 août 2026, les raisons de cette décision, et surtout comment utiliser intelligemment ces seize mois de respiration plutôt que de les considérer comme une dispense.

Le Digital Omnibus IA, c'est quoi exactement ?

Le Digital Omnibus est un paquet législatif de simplification proposé par la Commission européenne pour ajuster plusieurs textes numériques, dont l'AI Act, sans en renier les principes. Le terme « omnibus » désigne un texte qui modifie d'un coup plusieurs réglementations existantes.

Dans son volet IA, l'objectif affiché est double : alléger la charge administrative pesant sur les entreprises et harmoniser les calendriers avec la disponibilité réelle des standards techniques et des lignes directrices. L'accord provisoire du 7 mai 2026 est l'étape clé : il acte le décalage de l'application des obligations d'usage des systèmes à haut risque de l'Annexe III.

Il faut bien comprendre la nature d'un « accord provisoire » dans le processus européen : c'est un compromis politique trouvé entre le Parlement, le Conseil et la Commission, qui doit encore être formellement adopté. Mais en pratique, un accord provisoire à ce stade fige l'orientation : la nouvelle date du 2 décembre 2027 peut être considérée comme acquise pour la planification d'entreprise.

Ce qui est reporté : les obligations haut risque

Le report concerne exclusivement les obligations d'usage des systèmes d'IA classés à haut risque au titre de l'Annexe III. Ce sont les obligations les plus lourdes du règlement, et c'est précisément pourquoi le délai supplémentaire a du sens.

Pour un système à haut risque, l'AI Act impose notamment : un système de gestion des risques sur tout le cycle de vie, une gouvernance de la qualité des données d'entraînement et de test, une documentation technique détaillée, une journalisation automatique des événements, une transparence vis-à-vis du déployeur, une supervision humaine effective, et des garanties de robustesse, d'exactitude et de cybersécurité.

Mettre en place tout cela demande des mois de travail technique, organisationnel et documentaire. Le report au 2 décembre 2027 reconnaît que les standards harmonisés et les lignes directrices nécessaires à une mise en conformité réaliste n'étaient pas tous disponibles pour une échéance fixée à août 2026. Les entreprises concernées gagnent donc seize mois pour bâtir un dispositif solide plutôt que précipité.

Ce qui ne change pas malgré le report

Attention au contresens : la grande majorité de l'AI Act reste applicable selon le calendrier initial. Le report ne touche qu'un seul volet. Voici ce qui demeure inchangé :

• Les pratiques interdites restent prohibées depuis le 2 février 2025 (notation sociale, manipulation, surveillances biométriques inacceptables).
• Les obligations GPAI sont en vigueur depuis le 2 août 2025, accompagnées du Code of Practice GPAI publié en juillet 2025.
• Les obligations de transparence de l'article 50 entrent bien en application le 2 août 2026 : information sur l'interaction avec une IA, marquage des contenus générés, identification des deepfakes.
• Les pouvoirs d'exécution de la Commission sur les GPAI, avec amendes possibles, démarrent au 2 août 2026.
• La littératie IA des équipes est requise depuis février 2025.
• La conformité des GPAI antérieurs reste fixée au 2 août 2027.

En clair : si vos usages relèvent du risque limité — chatbots, génération de contenu, assistants — vous restez pleinement soumis à l'échéance du 2 août 2026. Le report ne vous concerne pas. Pour la checklist complète de cette échéance, voir notre guide sur la deadline du 2 août 2026.

Pourquoi ce report a été décidé

Le report répond à un constat pragmatique : les outils permettant une conformité réaliste au haut risque n'étaient pas tous prêts. Trois facteurs ont convergé.

Premièrement, les standards harmonisés — les normes techniques européennes (CEN-CENELEC) qui traduisent les exigences juridiques en spécifications applicables — n'étaient pas tous finalisés. Sans ces normes, une entreprise ne sait pas concrètement comment démontrer sa conformité.

Deuxièmement, la compétitivité européenne : un calendrier trop serré faisait craindre un désavantage pour les acteurs européens face à des juridictions à la régulation plus souple. Le contexte international, notamment l'orientation américaine d'accélération de l'IA décidée fin 2025, a pesé dans la balance. Nous l'analysons dans notre article sur la régulation de l'IA aux États-Unis en 2026.

Troisièmement, la charge sur les PME : la Commission a fait de la simplification administrative une priorité, et le Digital Omnibus s'inscrit dans cette logique d'allègement sans abandon des objectifs de sécurité et de droits fondamentaux. Le report n'est donc pas un recul de principe, mais un calage du tempo sur la réalité technique.

Annexe III : qui est concerné par le haut risque

L'Annexe III liste les domaines où un usage de l'IA est présumé à haut risque. Vérifiez si l'un de vos systèmes y figure : c'est ce qui détermine si le report de décembre 2027 vous concerne. Les principales catégories :

• Emploi et RH — tri de CV, classement de candidats, décisions de promotion ou de licenciement assistées par IA, surveillance de la performance.
• Accès aux services essentiels — évaluation de solvabilité et scoring de crédit, tarification de certaines assurances, attribution de prestations sociales.
• Éducation et formation — admission, notation, détection de fraude aux examens.
• Infrastructures critiques — gestion de la sécurité dans l'eau, le gaz, l'électricité, les transports.
• Application de la loi, migration, justice — usages publics spécifiques, peu fréquents en PME privée.
• Biométrie — identification et catégorisation, hors usages interdits.

Si vous utilisez un logiciel de recrutement avec scoring automatique de candidats, vous êtes très probablement dans le champ de l'Annexe III. Beaucoup de PME ignorent que leur outil RH SaaS embarque une telle fonctionnalité : d'où l'importance d'un inventaire sérieux.

Que faire de ces seize mois supplémentaires

Le pire usage de ce report serait l'inaction. Seize mois passent vite quand on parle de gestion des risques, de gouvernance des données et de documentation technique. Voici comment les employer utilement si vous opérez un système à haut risque.

1. Confirmez la classification. Vérifiez formellement que votre système relève bien de l'Annexe III, et documentez le raisonnement.
2. Auditez vos données. Qualité, représentativité, biais, traçabilité de l'origine des jeux d'entraînement et de test. C'est le chantier le plus long.
3. Construisez le système de gestion des risques. Identification, évaluation, mesures d'atténuation, suivi sur le cycle de vie.
4. Mettez en place la supervision humaine. Qui contrôle quoi, quand, avec quel pouvoir d'intervention et d'arrêt.
5. Préparez la documentation technique et la journalisation. Logs automatiques, dossier technique, déclaration de conformité.
6. Suivez les standards harmonisés à mesure qu'ils paraissent. Ils transformeront vos obligations juridiques en exigences techniques précises.

Pour les usages relevant du risque limité, en revanche, ne perdez pas de vue le 2 août 2026 : la transparence n'attend pas. Le report ne doit pas créer une fausse impression de répit généralisé.

Anticiper sans surinvestir : notre méthode

Le bon arbitrage face au report est d'investir dès maintenant sur ce qui prend du temps, et d'attendre sur ce qui dépend de standards encore mouvants. C'est la logique que nous appliquons chez Genee.

Concrètement, nous recommandons d'attaquer immédiatement les chantiers structurants et lents — audit et nettoyage des données, gouvernance, traçabilité — car ils conditionnent tout le reste et ne dépendent pas d'un texte qui pourrait encore bouger. À l'inverse, la production de la documentation de conformité finale et le choix des modalités de démonstration peuvent attendre la publication des standards harmonisés, pour éviter de refaire le travail deux fois.

Lorsque nous concevons une solution susceptible de tomber dans l'Annexe III, nous intégrons dès la conception la supervision humaine, la journalisation et la traçabilité des données — que ce soit pour un développement sur mesure ou une chaîne d'automatisation métier. Cela coûte peu en phase de conception et évite des reprises coûteuses à l'approche de l'échéance.

Vous n'êtes pas sûr qu'un de vos systèmes relève du haut risque ? Faites le point avec nous : un audit de classification de quelques jours lève l'ambiguïté et vous dit précisément si le 2 décembre 2027 vous concerne.

FAQ — Digital Omnibus IA : le report des obligations haut risque à décembre 2027

Le Digital Omnibus reporte-t-il toute l'application de l'AI Act ?

Non. Le report acté par l'accord provisoire du 7 mai 2026 concerne uniquement les obligations d'usage des systèmes à haut risque de l'Annexe III, décalées du 2 août 2026 au 2 décembre 2027. Les pratiques interdites, les obligations GPAI, les règles de transparence de l'article 50 et la littératie IA restent applicables selon le calendrier initial. C'est un report ciblé, pas un report global.

À quelle nouvelle date les obligations haut risque s'appliquent-elles ?

Au 2 décembre 2027 pour les obligations d'usage des systèmes à haut risque listés à l'Annexe III, contre le 2 août 2026 initialement prévu. Ce décalage de seize mois donne aux entreprises concernées le temps de bâtir un dispositif de conformité solide : gestion des risques, qualité des données, documentation technique, supervision humaine et journalisation.

Mon logiciel de recrutement IA est-il concerné par le report ?

Très probablement oui. Le tri et le classement automatisés de candidats relèvent de l'Annexe III (domaine emploi et RH) et sont donc des systèmes à haut risque. Si vous déployez un tel outil, les obligations d'usage qui vous incombent sont reportées au 2 décembre 2027. Beaucoup de PME ignorent que leur outil RH embarque un scoring automatique : un inventaire précis est indispensable pour le confirmer.

Un accord provisoire est-il définitif ?

Un accord provisoire est un compromis politique entre le Parlement, le Conseil et la Commission qui doit encore être formellement adopté. Toutefois, à ce stade du processus européen, il fige l'orientation et peut être considéré comme acquis pour la planification d'entreprise. La nouvelle date du 2 décembre 2027 est donc une base de travail fiable, sous réserve de l'adoption formelle finale.

Si je n'opère aucun système à haut risque, ce report me concerne-t-il ?

Non. Si tous vos usages relèvent du risque limité (chatbots, génération de contenu, assistants), vous n'êtes pas concerné par le report et restez pleinement soumis à l'échéance du 2 août 2026 sur la transparence. Le Digital Omnibus ne vous accorde aucune respiration : votre priorité reste la mise en conformité de l'article 50.

Sources

• Calendrier officiel d'implémentation de l'EU AI Act
• Cadre réglementaire européen sur l'IA (Commission européenne)
• Timeline d'implémentation — AI Act Service Desk (UE)
• EUR-Lex — textes juridiques de l'Union européenne
• CNIL — Intelligence artificielle et RGPD