Report de l'AI Act : ce que les entreprises doivent vraiment retenir

DPO Consulting
This is some text inside of a div block.

Table des matières

Introduction : l'AI Act ne disparaît pas, il se décale

Depuis plusieurs semaines, une information circule dans les couloirs des directions juridiques et des DSI : l'entrée en application de certaines obligations de l'AI Act (Règlement UE 2024/1689) serait repoussée. Et pour une fois, la rumeur est fondée.

Le Parlement européen propose de décaler à décembre 2027 et août 2028 l'entrée en application du cœur de l'AI Act, à savoir les dispositions concernant les systèmes d'IA à haut risque.

Pour les entreprises qui avaient entamé — ou différé — leur démarche de mise en conformité, ce report soulève des questions légitimes : peut-on souffler ? Faut-il continuer ? Qu'est-ce qui change vraiment ?

Réponse courte : non, on ne peut pas souffler. Mais oui, le tempo change. Voici tout ce qu'il faut savoir.

Que propose concrètement le Parlement européen ?

Le 18 mars 2026, les commissions IMCO et LIBE du Parlement européen ont adopté leur position dans le cadre du Digital Omnibus numérique, un paquet législatif de simplification porté par la Commission depuis novembre 2025.

Pour les systèmes d'IA à haut risque relevant de l'Annexe III, la nouvelle échéance proposée est le 2 décembre 2027, soit un report de seize mois par rapport au calendrier initial. Pour les systèmes relevant de l'Annexe I — IA intégrée à des produits soumis à la réglementation sectorielle comme les dispositifs médicaux, les machines ou les véhicules — la date est repoussée au 2 août 2028.

En clair, voici le nouveau calendrier envisagé :

- Systèmes à haut risque (Annexe III) : Date initiale : 2 août 2026 -> Date proposée : 2 décembre 2027

- Systèmes à haut risque (Annexe III) : Date initiale : 2 août 2027 -> Date proposée : 2 août 2028

- Systèmes à haut risque (Annexe III) : Date initiale : 2 février 2027 -> Date proposée : 2 novembre 2026

À noter : sur l'article 50§2 relatif au marquage lisible par machine des contenus générés par IA, le Parlement est plus restrictif que la Commission, proposant une date butoir au 2 novembre 2026 — soit trois mois plus tôt que ce que Bruxelles envisageait.

Pourquoi ce report ? La raison est technique, pas politique

Le Digital Omnibus ne modifie pas la substance de l'AI Act — il ajuste son calendrier d'application face à une réalité concrète : les outils pour se conformer n'étaient pas prêts. Les normes harmonisées nécessaires pour guider les entreprises, développées par le comité technique CEN-CENELEC JTC 21, ne seront pas disponibles avant fin 2026 au plus tôt.

Ces normes sont cruciales : elles offrent aux entreprises une présomption de conformité. Sans elles, impossible de certifier sérieusement un système d'IA. En mars 2026, le JTC 21 a publié des versions préliminaires de certaines normes, mais les versions définitives ne sont pas attendues avant fin 2026 ou début 2027, ce qui rend matériellement impossible pour les entreprises de certifier leurs systèmes avant l'échéance initiale du 2 août 2026.

Attention : ce report n'est pas encore acté

C'est le point que beaucoup d'entreprises ratent. Ce report n'est pas encore définitivement adopté. Le vote du 18 mars est une étape, pas la ligne d'arrivée. Les trilogues entre Parlement, Conseil et Commission doivent encore s'ouvrir au printemps 2026. L'adoption finale n'est pas attendue avant mi-2026.

Conséquence directe : août 2026 reste, à ce jour, la date légalement contraignante.

Espérer que les trilogues entérinent le report sans rien préparer serait une erreur stratégique aux conséquences potentiellement lourdes pour votre entreprise.

Ce qui ne change pas : les obligations déjà en vigueur

Le report ne concerne que les systèmes à haut risque. Les interdictions de pratiques IA inacceptables, en vigueur depuis le 2 février 2025, et les obligations relatives aux modèles d'IA à usage général (GPAI), depuis le 2 août 2025, ne sont pas modifiées. Ces règles restent pleinement applicables.

Autrement dit, les pratiques déjà prohibées — IA manipulatrices, scoring social, exploitation de vulnérabilités — restent interdites maintenant. Si votre entreprise utilise des systèmes tombant dans ces catégories, la non-conformité est déjà effective.

L'Annexe III : êtes-vous concerné ?

L'Annexe III de l'AI Act liste les domaines d'application des systèmes d'IA classés à haut risque. Il s'agit notamment des systèmes utilisés dans les domaines suivants : biométrie, infrastructures critiques, éducation, emploi, services essentiels, répression, justice et gestion des frontières.

Si votre organisation déploie de l'IA dans les ressources humaines (recrutement, évaluation des performances), dans la gestion d'accès à des services publics, ou dans des secteurs réglementés comme la santé ou la finance, vous êtes très probablement dans le périmètre de l'Annexe III.

Une bonne nouvelle pour les PME et les ETI

Le Digital Omnibus introduit une nouvelle catégorie : les "small mid-caps", définies comme les entreprises de moins de 750 salariés et moins de 150 millions d'euros de chiffre d'affaires annuel. Ces entreprises bénéficieraient des mêmes allègements que les PME classiques, notamment une documentation technique simplifiée pour les systèmes à haut risque, des exigences allégées pour le système de management de la qualité, et des modalités de calcul des amendes adaptées à leur taille.

Ce report, une occasion à saisir — pas un prétexte pour attendre

Le message de tous les experts est unanime. Ce report ne doit pas être perçu comme un signal pour mettre la compliance IA sur pause. Les exigences de l'AI Act sont complexes et structurelles. Cartographier vos systèmes d'IA, mettre en place une gouvernance des données d'entraînement, former vos collaborateurs à la littératie IA et rédiger la documentation technique prendra des mois.

Les entreprises qui utilisent ce délai pour avancer méthodiquement auront un avantage décisif sur celles qui attendront la dernière ligne droite. Car la conformité à l'AI Act n'est pas une case à cocher : c'est une transformation en profondeur de la gouvernance de l'IA dans l'organisation.

Les chantiers à lancer dès maintenant :

  • Cartographie des systèmes d'IA en production et en développement
  • Classification par niveau de risque (inacceptable, haut risque, limité, minimal)
  • Mise en place de la gouvernance : responsable IA, registre, politiques internes
  • Documentation technique des systèmes à haut risque
  • Formation des équipes (AI Literacy, obligation de littératie IA)
  • Audit des pratiques déjà en vigueur (GPAI, pratiques interdites)

AI Act, RGPD, NIS2 : une conformité à penser de manière intégrée

L'AI Act ne s'applique pas dans le vide. L'AI Act, la CSRD et NIS2 forment un cadre réglementaire interconnecté. NIS2 et DORA imposent des obligations de cybersécurité sur l'infrastructure IA. Et du côté de la protection des données, le RGPD reste pleinement applicable à tous les traitements de données personnelles effectués par ou au bénéfice de systèmes d'IA.

Traiter ces sujets en silos serait contre-productif. Une démarche de conformité intégrée — IA, données, cybersécurité — est non seulement plus cohérente, mais aussi plus économique en temps et en ressources.

Conclusion : la direction est fixée, seul le tempo change

Ces reports ne font toutefois pas l'unanimité. Une quarantaine d'organisations représentant l'industrie technologique européenne, réunies notamment autour de Digital Europe, ont estimé que la simplification proposée ne va pas assez loin. Le débat est donc encore ouvert sur le bon curseur entre ambition réglementaire et praticabilité opérationnelle.

Mais une chose est certaine : le cadre, lui, ne bougera pas. Les exigences de transparence, de traçabilité et de contrôle des systèmes d'IA s'imposeront. La question n'est plus de savoir si votre entreprise devra se conformer, mais quand et surtout comment.

Notre cabinet vous accompagne dans l'ensemble de votre démarche de conformité AI Act : cartographie, classification des risques, rédaction de la documentation technique, gouvernance des données et formation de vos équipes. Contactez-nous pour un premier échange : https://www.dpo-consulting.com/fr-fr/contact

À lire également

See all

Espace Européen des Données de Santé (EHDS) : enjeux, opportunités et conformité RGPD

À l’ère de la médecine personnalisée et de la transformation numérique, la donnée de santé s’impose comme une ressource stratégique majeure.

Read more

DPO Consulting rejoint Grant Thornton : une nouvelle étape stratégique

Nous sommes heureux d’annoncer que Grant Thornton a fait l’acquisition de DPO Consulting.

Read more

Loi tunisienne sur la protection des données (Loi 2004-63) : un guide pratique de conformité pour 2026

La loi tunisienne sur la protection des données (Loi 2004-63) réglemente la manière dont les données personnelles sont collectées, utilisées, partagées et protégées, conformément à l'INPDP.

Read more
Restez au courant des dernières actualités en matière de protection des données et de conformité au RGPD.
Votre adresse e-mail sera utilisée pour vous envoyer notre newsletter ainsi que des informations concernant l'activité et l'actualité de DPO Consulting. Vous pouvez vous désinscrire à tout moment en cliquant sur le lien de désinscription figurant dans les e-mails. Pour en savoir plus sur vos droits, consultez notre Politique de confidentialité.
Merci ! Votre candidature a été reçue !
Oups ! Une erreur s'est produite lors de l'envoi du formulaire.
À propos de nous
Notre expertise
Logiciel RGPD (myDPO)
Nous contacter
contact@dpo-consulting.com
+33 (0) 1 55 06 16 86
50, Avenue des Champs-Élysées, 75008, Paris, France
DPO ExternaliséDPO International Assistance DPOReprésentant UEReprésentant UKFormation en protection des données
Conformité des études cliniquesAudit de conformité RGPDAnalyse d'Impact sur la Vie Privée (AIPD)Transformation digitaleConformité multi-réglementaireUK GDPR, UK DPA, & DUAA
Conformité en cybersécurité
RSSI ExternaliséAudit de conformité en cybersécuritéGestion de projet IT
Conformité à l'AI Act
Audit de conformité à l'AI ActFormation à l'AI Act
DPO Consulting © 2026 Tous droits réservés |
Conditions d'utilisation
|
Politique de confidentialité
|
Politique en matière de cookies
|
Mentions légales
Créons un expérience comme remarquable en tant que votre entreprise
Merci ! Votre candidature a été reçue !
Oups ! Une erreur s'est produite lors de l'envoi du formulaire.
Pages principales
Pages du CMS
Utilité
Modèles
hi@byq.studio
@byqstudio
+1 600 600 000