Les négociateurs du Parlement européen et du Conseil de l’Union européenne ont conclu, dans la nuit du 7 mai 2026, un accord politique provisoire sur le Digital Omnibus on AI. Les obligations applicables aux systèmes d’intelligence artificielle à haut risque listés à l’Annexe III du règlement (UE) 2024/1689, qui devaient s’appliquer le 2 août 2026, sont repoussées au 2 décembre 2027. Celles de l’Annexe I basculent au 2 août 2028.
Les faits
L’accord conclut un dossier ouvert depuis le 19 novembre 2025, date à laquelle la Commission européenne a publié son paquet de simplification numérique. Le constat à l’origine de la proposition était simple : les normes harmonisées élaborées par le comité technique commun CEN-CENELEC JTC 21, indispensables pour guider la mise en conformité des systèmes à haut risque, ne seront pas disponibles à temps pour l’échéance initiale du 2 août 2026.
Le calendrier législatif s’est déroulé en plusieurs étapes. Le Conseil a adopté sa position générale le 13 mars 2026. Les commissions IMCO et LIBE du Parlement européen ont voté leur rapport conjoint le 18 mars (101 voix pour, 9 contre, 8 abstentions), suivi par un vote en plénière le 26 mars 2026 avec une majorité très large de 569 voix pour et 45 contre. Après l’échec du premier trilogue du 28 avril sur le régime des produits soumis à une législation sectorielle, l’accord du 7 mai a fixé des dates d’application certaines, abandonnant le mécanisme conditionnel initialement proposé par la Commission. Le texte doit encore être formellement adopté par les deux co-législateurs avant le 2 août 2026 pour que le report soit effectif.
Ce que prévoit l’accord
Le report concerne précisément les systèmes d’IA à haut risque relevant des sections 1 à 3 du chapitre III du règlement. L’Annexe III couvre huit domaines : identification biométrique à distance, infrastructures critiques, éducation, emploi et ressources humaines, accès aux services essentiels (crédit, assurance, aides sociales), application de la loi, contrôle des frontières, justice et processus démocratiques. Tout système d’IA utilisé dans ces domaines pour prendre ou influencer des décisions significatives affectant des personnes reste considéré à haut risque, simplement avec un délai de mise en conformité étendu de seize mois.
Plusieurs obligations échappent au report et continuent de s’appliquer. L’interdiction des pratiques inacceptables prévue à l’article 5, en vigueur depuis le 2 février 2025, reste pleinement opposable, désormais étendue par l’accord à une nouvelle catégorie visant les systèmes générant des images intimes non consenties ou des contenus pédopornographiques. L’obligation de littératie IA de l’article 4 demeure applicable depuis février 2025, tout comme les obligations pour les modèles d’IA à usage général entrées en vigueur le 2 août 2025. L’article 50.2 relatif au marquage lisible par machine des contenus générés par IA conserve son application au 2 août 2026, avec une période transitoire raccourcie à trois mois selon le compromis du trilogue, soit une mise en conformité effective au 2 décembre 2026 pour les fournisseurs déjà sur le marché. Les pouvoirs de sanction de la Commission, eux, restent pleinement activables à partir du 2 août 2026.
Ce que ça change pour les responsables qualité
Le report offre une fenêtre de seize mois supplémentaires, mais il ne désarme aucun chantier. Pour les organisations qui traitent des données personnelles via des systèmes d’IA dans le recrutement, le scoring crédit, l’évaluation des collaborateurs ou la biométrie, l’articulation entre RGPD et AI Act reste l’axe principal à structurer immédiatement. La base juridique pour traiter des catégories particulières de données aux fins de détection et correction de biais est maintenue mais soumise à un critère strict de nécessité, à documenter avec rigueur.
Trois chantiers méritent d’être engagés sans attendre décembre 2027. D’abord, la cartographie complète des systèmes d’IA déployés et leur classification au regard de l’Annexe III, exercice qui prend plusieurs mois dans les organisations multi-entités. Ensuite, la mise en place de la gouvernance IA elle-même, comité, politique d’usage responsable, processus d’approbation des nouveaux cas d’usage, qui ne dépend pas des normes harmonisées et peut s’appuyer dès maintenant sur le référentiel ISO/IEC 42001. Enfin, la préparation au watermarking des contenus génératifs avant décembre 2026, échéance qui arrive vite. Les responsables conformité qui avaient calé leur planning sur août 2026 ont désormais une marge utile, à condition de ne pas la confondre avec un répit.
Pour aller plus loin
Le report du Digital Omnibus ne déplace pas la conformité RGPD ni les exigences de sécurité de l’information, qui restent le socle technique sur lequel construire la gouvernance IA.
Kit documentaire RGPD et Kit documentaire ISO/IEC 27001:2022 couvrent les fondations attendues par les autorités lors d’un contrôle IA. Pour suivre l’évolution réglementaire en continu : Veille Réglementaire et Normative MQ.
Sources : Parlement européen, Legislative Train Schedule, dossier Digital Omnibus on AI, procédure 2025/0359(COD) (page officielle) ; Commission européenne, proposition COM(2025) 836 du 19 novembre 2025 (Digital Omnibus on AI Regulation Proposal) ; Conseil de l’UE, communiqué du 13 mars 2026.
La rédaction MQ
