Ce qui s’applique déjà

Le règlement (UE) 2024/1689, dit AI Act, est entré en vigueur le 1ᵉʳ août 2024, mais avec une application échelonnée. Deux étapes sont déjà derrière nous, et elles produisent leurs effets dès aujourd’hui.

Depuis le 2 février 2025, deux blocs s’appliquent. D’une part, les pratiques interdites de l’article 5 : notation sociale, manipulation subliminale, identification biométrique en temps réel dans l’espace public (avec exceptions encadrées), etc. Ces interdictions relèvent du palier de sanction le plus élevé du règlement — jusqu’à 35 millions d’euros ou 7 % du chiffre d’affaires mondial. D’autre part, l’obligation de littératie en IA (article 4) : former le personnel et les sous-traitants qui opèrent des systèmes d’IA.

Depuis le 2 août 2025, c’est le régime des modèles d’IA à usage général (GPAI) qui est entré en jeu (chapitre V), accompagné de la gouvernance (chapitre VII), des organismes notifiés, des règles de confidentialité (article 78) et du régime de sanctions (articles 99 et 100). C’est à cette date que le Code de bonnes pratiques pour les GPAI et les seuils de risque systémique sont devenus la grille de référence pour les fournisseurs de modèles de fondation. Point important : le Digital Omnibus ne touche pas à ce volet GPAI. Les fournisseurs de modèles doivent continuer leur travail de conformité comme prévu.

Autrement dit, contrairement à une idée répandue, l’AI Act n’est pas « en attente » : une partie substantielle de ses obligations est déjà du droit dur applicable.

Le Digital Omnibus comme tournant pour l’année 2026

Dès la fin 2025, la mise en œuvre était visiblement en retard. Deux goulets d’étranglement en particulier : la désignation par les États membres de leurs autorités nationales compétentes (Orad), et surtout la finalisation des normes harmonisées (CEN-CENELEC) censées servir de colonne vertébrale technique aux exigences sur les systèmes à haut risque. Sans ces normes, demander aux entreprises de se conformer revenait à leur fixer un examen sans en avoir publié le programme.

Sur fond d’agenda européen de « simplification » et de pression concurrentielle, la Commission a donc déposé le 19 novembre 2025 une proposition de Digital Omnibus on AI. Le processus législatif a ensuite été mené à un rythme inhabituellement rapide :

• 13 mars 2026 : position du Conseil (orientation générale)
• 26 mars 2026 : position du Parlement
• 7 mai 2026 : accord politique provisoire en trilogue
• 16 juin 2026 : vote final du Parlement (423 voix pour, 57 contre, 174 abstentions)
• 29 juin 2026 : adoption formelle attendue au Conseil, puis publication au Journal officiel (entrée en vigueur trois jours après publication, vraisemblablement en juillet)

Il fallait que ce texte soit en vigueur avant le 2 août 2026, faute de quoi le calendrier d’origine se serait appliqué tel quel.

Ce que le texte change réellement :

Le message à retenir est subtil : certaines échéances ont reculé, une nouvelle obligation est apparue, et plusieurs échéances n’ont pas bougé du tout. C’est cette nuance qu’un calendrier brut ne sait pas rendre.

Ce qui recule :

• Les obligations sur les systèmes à haut risque « autonomes » (annexe III : emploi, éducation, biométrie, infrastructures critiques, services essentiels, justice, migration, maintien de l’ordre) passent du 2 août 2026 au 2 décembre 2027, soit un report de seize mois.
• Les obligations sur les systèmes à haut risque « intégrés » dans des produits réglementés (annexe I : dispositifs médicaux, machines, ascenseurs, jouets, équipements radio…) passent du 2 août 2027 au 2 août 2028.
• La date pour les bacs à sable réglementaires nationaux (au moins un par État membre) glisse au 2 août 2027.
• Les privilèges réservés aux PME (notamment sur les sanctions) sont étendus à une nouvelle catégorie, les petites entreprises de capitalisation moyenne (« small mid-caps »).

Ce qui n’a pas bougé  :

• L’essentiel des obligations de transparence de l’article 50 reste applicable au 2 août 2026. Informer l’utilisateur qu’il interagit avec une IA, signaler la reconnaissance d’émotions ou la catégorisation biométrique, divulguer les hypertrucages (deepfakes) côté déployeur : tout cela arrive bien à l’échéance initiale. Les organisations qui ont cru que « le 2 août 2026 est repoussé » ouvrent un trou de conformité.

Ce qui est nouveau :

• Une nouvelle interdiction est insérée à l’article 5, applicable au 2 décembre 2026 : les systèmes d’IA conçus pour générer des images intimes non consenties (les applications dites « nudifier ») et des contenus pédocriminels (CSAM). Elle vise aussi bien les fournisseurs qui mettent ces systèmes sur le marché que les déployeurs. Pour tout fournisseur d’un modèle de génération d’images, la conception de garde-fous (« safe harbour ») doit faire partie intégrante de la documentation de gestion des risques, il n’y a pas de voie « on le rajoutera plus tard ».
• L’obligation de marquage des contenus synthétiques (filigrane / watermarking, article 50(2)) bénéficie d’un délai de grâce raccourci à trois mois : elle devient exigible le 2 décembre 2026. Concrètement, tout contenu généré par IA devra être étiqueté de façon lisible par machine. Pour les équipes techniques, c’est l’échéance la plus proche et la plus opérationnelle.

Le texte comporte aussi des ajustements plus discrets et plus contestés : assouplissement des exigences de littératie en IA, élargissement de la possibilité de traiter des données personnelles sensibles pour détecter et corriger les biais, clarification des compétences du Bureau de l’IA, et réduction des informations à publier dans la base de données publique pour les systèmes que les fournisseurs estiment non à haut risque (une obligation d’enregistrement simplifiée a toutefois été réintroduite).

Le nouveau calendrier de 2026 pour l’IA act :

Mais ces reports, l’année n’est pas un répit, c’est une redistribution  : le poids s’est déplacé de l’inventaire et de la classification des systèmes à haut risque (désormais 2027-2028) vers la transparence et le marquage des contenus synthétiques (août et décembre 2026).

Et après ? Le futur de l’AI Act

Les grandes échéances 2027-2028 :

• 2 décembre 2027 : entrée en application des obligations pour les systèmes à haut risque autonomes (annexe III). C’est désormais l’horizon central pour la plupart des entreprises.
• 2 août 2028 : entrée en application pour les systèmes à haut risque intégrés dans des produits réglementés (annexe I).

Un point trop peu souligné : ces nouvelles dates s’appliquent que les normes harmonisées soient prêtes ou non. L’argument initial du report était précisément l’attente des normes ; le compromis politique a néanmoins fixé des dates fermes. Si les normes arrivent en retard, les échéances ne reculeront pas avec elles. Les entreprises qui attendraient la publication des normes pour commencer leur inventaire prennent donc un risque réel.

L’horizon plus lointain (2029-2031) :

Au-delà, le règlement prévoit une série de clauses de revoyure : évaluation du fonctionnement du Bureau de l’IA (2028), réexamens périodiques des annexes et de la liste des pratiques à transparence renforcée, rapports d’évaluation au Parlement et au Conseil (à partir de 2029, tous les quatre ans), mise en conformité des grands systèmes d’information de l’annexe X d’ici fin 2030, et premier bilan d’application complet en 2031. C’est la phase de « vie longue » du règlement, celle où il sera ajusté à l’usage.

Résumé du calendrier de l’IA Act depuis 2024 :