La date du 2 août 2026 était inscrite dans tous les agendas de conformité des directions juridiques et IT des entreprises européennes. C'est ce jour-là que devaient entrer en vigueur les obligations de l'AI Act pour les systèmes IA à haut risque Annexe III : recrutement assisté par IA, scoring de crédit, évaluation scolaire automatisée, identification biométrique, aide à la décision judiciaire. Le 7 mai 2026, les négociateurs du Conseil et du Parlement européens ont changé la donne : un accord de trilogue provisoire, baptisé Digital Omnibus, repousse ce délai au 2 décembre 2027, soit un report de seize mois.
Ce n'est pas un renoncement à la régulation. C'est une simplification ciblée, fruit de deux ans de blocage technique sur les modalités de conformité pour certains systèmes. L'accord s'accompagne de nouvelles obligations sur les contenus synthétiques (audio, image, vidéo, texte générés par IA), qui restent effectives dès le 2 août 2026. Et il ajoute une interdiction explicite sur les IA générant des contenus illicites.
Pour les PME et ETI françaises qui utilisent ou envisagent d'utiliser l'IA dans leurs processus RH, financiers ou opérationnels, voici ce que ce report signifie concrètement, ce qui change, et surtout ce qui ne change pas.
Qu'est-ce que le Digital Omnibus ?
Le Digital Omnibus est un paquet législatif de simplification numérique proposé par la Commission européenne fin 2025. Son volet IA concerne directement le Règlement (UE) 2024/1689, communément appelé AI Act. Le 7 mai 2026, après plusieurs trilogues infructueux, les négociateurs de la Commission, du Conseil et du Parlement européens ont atteint un accord provisoire.
Deux points essentiels à comprendre sur la nature de cet accord :
- Il est provisoire : l'accord doit encore être formellement endossé par le Conseil et le Parlement, puis subir une révision juridico-linguistique avant adoption définitive. Les institutions ont cependant déclaré leur intention de finaliser l'adoption avant le 2 août 2026 — la date-butoir d'origine. Cette adoption est donc anticipée, mais pas encore actée au 31 mai 2026.
- Il ne supprime pas l'AI Act : il en ajuste le calendrier d'application et résout des blocages techniques, notamment le désaccord persistant sur les modalités de conformité des systèmes Annexe I (composants de sécurité intégrés dans des produits réglementés).
Concrètement, le Digital Omnibus est une réponse à la pression exercée par les industriels et les États membres qui estimaient que les délais originaux ne laissaient pas le temps aux entreprises de construire des systèmes de conformité sérieux — notamment les PME qui n'ont pas les ressources des grands groupes pour mobiliser des équipes dédiées en quelques mois.
L'Annexe III reportée à décembre 2027
L'Annexe III de l'AI Act liste les systèmes IA considérés à haut risque en raison de leur impact potentiel sur les droits fondamentaux des personnes. Concrètement, elle couvre :
- Les systèmes d'aide au recrutement ou à l'évaluation RH : screening automatisé de CV, scoring de candidats, outils d'évaluation des performances
- Les scores de crédit automatisés et l'évaluation de la solvabilité des particuliers
- L'évaluation en contexte éducatif : admission automatisée, correction algorithmique, notation assistée
- Les systèmes biométriques d'identification ou de catégorisation des personnes
- Les outils d'aide à la décision judiciaire ou d'application de la loi
- La gestion des infrastructures critiques
Ces systèmes nécessitent, selon l'AI Act, des obligations substantielles : constitution d'un dossier technique complet, évaluation de conformité, enregistrement dans la base EU, apposition du marquage CE, système de management du risque documenté, et mise en place d'une supervision humaine obligatoire avant déploiement.
Avec le Digital Omnibus, les obligations Annexe III passent du 2 août 2026 au 2 décembre 2027 — un report de seize mois. Pour l'Annexe I (composants de sécurité intégrés dans des produits réglementés comme les dispositifs médicaux ou les véhicules autonomes), le délai est repoussé encore plus loin, au 2 août 2028.
Ce que ça change concrètement : si votre entreprise utilise un outil d'aide au recrutement par IA, un scoring automatique de crédit, ou un système d'évaluation RH assisté par LLM, vous n'êtes plus sous pression d'août 2026. Mais décembre 2027 arrive dans dix-huit mois — et la conformité sérieuse ne se construit pas en quelques semaines.
Ce qui reste en vigueur dès août 2026
Le report des obligations Annexe III ne signifie pas une pause réglementaire générale. Deux obligations majeures restent actives dès le 2 août 2026 :
L'Article 50(2) — Marquage obligatoire des contenus synthétiques
À partir du 2 août 2026, les fournisseurs de systèmes d'IA générative doivent marquer les contenus audio, image, vidéo et texte générés comme étant d'origine machine — sous forme lisible par machine (métadonnées standardisées, watermarking technique). Une période transitoire d'adaptation technique court jusqu'au 2 décembre 2026 pour la mise en conformité opérationnelle.
Ce qui est concerné : tout outil qui génère des images, vidéos, voix de synthèse ou textes et qui est mis à disposition d'utilisateurs finals dans l'Union européenne. Les enjeux sont concrets pour les équipes marketing qui utilisent des outils de génération d'images ou de vidéos, les plateformes qui permettent la création de contenu IA, et les outils de synthèse vocale.
La nouvelle interdiction ajoutée par l'accord Omnibus
L'accord introduit une interdiction explicite — ajout à l'Article 5 — des systèmes IA qui génèrent des contenus sexuels impliquant des mineurs (CSAM) ou des contenus intimes non consentis (deepfakes). Cette prohibition prend effet avec l'entrée en vigueur définitive de l'accord.
Ce qui est déjà en vigueur depuis février 2025
Rappel essentiel : les interdictions générales des systèmes IA à risque inacceptable sont effectives depuis le 2 février 2025. Cela inclut les systèmes de manipulation comportementale sublimale, de scoring social généralisé, de surveillance biométrique de masse en espace public à des fins non autorisées, et les systèmes qui exploitent les vulnérabilités de groupes spécifiques. Ces interdictions ne sont pas affectées par le Digital Omnibus.
Impact concret pour les PME/ETI françaises
Pour les PME et ETI françaises, la question à se poser n'est pas seulement « sommes-nous fournisseurs d'un système Annexe III ? » mais aussi « sommes-nous utilisateurs (deployers) d'un tel système ? ». La majorité des PME n'éditent pas de logiciel de scoring de crédit ou de recrutement algorithmique — mais elles achètent et intègrent des outils IA tiers qui peuvent, eux, relever de l'Annexe III.
L'AI Act impose des obligations aux deployers : vérifier que le système IA utilisé est conforme, enregistrer son usage dans les cas nécessaires, mettre en place une supervision humaine adéquate, et informer les salariés quand des décisions les concernant sont influencées par un système IA à haut risque. Ces obligations s'appliquent également aux PME/ETI, pas uniquement aux éditeurs de logiciels.
Exemples de situations à auditer dans votre entreprise
- Vous utilisez un ATS (Applicant Tracking System) avec scoring IA des candidats → Annexe III potentielle
- Votre banque ou votre assureur utilise un scoring automatisé pour vos lignes de crédit → leurs obligations impactent vos propres process de vérification fournisseur
- Vous utilisez un outil d'évaluation ou de notation assisté par IA pour vos collaborateurs → Annexe III potentielle
- Vous générez des contenus marketing avec des outils IA générative → Article 50(2) dès août 2026
L'IA dans les processus RH est un sujet que nous traitons régulièrement avec nos clients — voir notre article sur RGPD et données personnelles dans l'IA pour le cadre de fond.
Plan d'action conformité : ne pas attendre
Le report au 2 décembre 2027 ne change pas la nature des obligations — il change leur échéance. Les entreprises qui préparent leur conformité dès maintenant auront un avantage décisif sur celles qui attendront l'automne 2027 pour s'y pencher. Voici les étapes prioritaires :
- Inventorier tous les systèmes IA en production ou en projet — internes (développés sur mesure) et fournis par des éditeurs tiers
- Classifier chaque système par niveau de risque (interdit, haut risque Annexe I ou III, IA d'usage général, risque limité)
- Documenter les flux de données et les décisions automatisées existantes — particulièrement toute décision qui impacte des personnes physiques (salariés, candidats, clients)
- Contacter vos fournisseurs de solutions IA pour obtenir leur déclaration de conformité et leur roadmap AI Act — les éditeurs sérieux ont déjà des réponses à ces questions
- Mettre en place le marquage des contenus synthétiques produits par vos outils génératifs dès avant août 2026
Pour les entreprises qui envisagent de automatiser des processus métier avec l'IA, ou de faire développer un outil interne sur mesure, la conformité AI Act doit être intégrée dès la phase de conception — pas traitée comme un audit post-déploiement.
Un système conçu dès l'origine avec les bonnes pratiques d'explicabilité, de traçabilité et de supervision humaine aura beaucoup moins d'efforts de mise en conformité qu'un outil acheté sans vérification préalable. Pour les questions réglementaires spécifiques à votre situation, nous recommandons de consulter un conseil juridique spécialisé, ou la CNIL qui publie des ressources dédiées à l'AI Act. Contactez-nous si vous souhaitez intégrer ces contraintes dans vos projets IA dès la conception.
FAQ — AI Act : le Digital Omnibus repousse les obligations haut-risque à décembre 2027
Mon entreprise est-elle concernée par l'AI Act ?
Oui, si vous fournissez ou utilisez des systèmes d'IA dans l'UE. La question est le niveau de risque : les PME utilisatrices de systèmes IA tiers (ATS avec scoring, outils de notation IA) sont concernées en tant que deployers, pas seulement les éditeurs de logiciels.
Qu'est-ce qu'un système IA à haut risque Annexe III ?
Un système qui influence des décisions importantes sur des personnes : recrutement assisté par IA, scoring de crédit automatisé, évaluation scolaire, décisions judiciaires, identification biométrique. Ces systèmes nécessitent documentation technique, supervision humaine et enregistrement dans la base EU. Avec le Digital Omnibus, les obligations sont reportées à décembre 2027.
Le report au 2 décembre 2027 est-il définitif ?
C'est un accord de trilogue provisoire du 7 mai 2026, en cours d'endossement formel par le Conseil et le Parlement. L'adoption définitive est attendue avant août 2026. Une fois adopté, le calendrier est juridiquement contraignant — sauf modification ultérieure du texte de loi.
L'obligation de marquage des contenus générés par IA est-elle aussi reportée ?
Non. L'Article 50(2) — marquage des contenus audio, image, vidéo et texte générés par IA — reste applicable dès le 2 août 2026, avec une période transitoire technique jusqu'au 2 décembre 2026. Si vous utilisez des outils génératifs pour du contenu destiné à des utilisateurs, cette obligation vous concerne dès cet été.
Quelles sanctions en cas de non-conformité AI Act ?
Les amendes peuvent atteindre 35 millions d'euros ou 7% du chiffre d'affaires mondial pour les systèmes interdits, 15 millions ou 3% du CA pour les manquements haut-risque, 7,5 millions ou 1,5% du CA pour les autres violations. Des plafonds proportionnels sont prévus pour les PME et startups, mais les obligations de fond s'appliquent à toutes tailles.
Comment distinguer si un outil IA que j'utilise est Annexe III ?
Demandez à votre fournisseur une déclaration de conformité AI Act et la classification de son produit. Un éditeur sérieux doit être en mesure de préciser si son système relève de l'Annexe III et quelles mesures de conformité il prend. En l'absence de réponse claire, c'est un signal d'alerte.