AI Act : ce que change l'accord Omnibus de mai 2026

Le 7 mai 2026, les négociateurs du Parlement européen et du Conseil ont conclu un accord provisoire sur le Digital Omnibus on AI. Résultat : les obligations les plus contraignantes du règlement IA sont reportées. Les systèmes à haut risque de l'Annexe III, qui devaient être conformes au 2 août 2026, ont désormais jusqu'au 2 décembre 2027. Ceux de l'Annexe I jusqu'au 2 août 2028.

C'est une fenêtre supplémentaire pour les Direction IA et les équipes du DPO. Une fenêtre qui change le calendrier, mais pas les enjeux. Voici ce que l'accord modifie concrètement et ce qu'il laisse intact.

Que s'est-il passé ? Chronologie d'un revirement en six mois

Novembre 2025 : la Commission tire la sonnette d'alarme

Le 19 novembre 2025, la Commission européenne publie le paquet « Digital Omnibus on AI ». Le constat est sans ambiguïté : les normes harmonisées nécessaires à la mise en conformité des systèmes à haut risque ne seront pas disponibles à temps. Plutôt que d'imposer une conformité sans boussole technique, elle propose de décaler les échéances.

À ce stade, la proposition repose sur un mécanisme conditionnel : les obligations s'appliqueraient 6 ou 12 mois après une décision de la Commission confirmant la disponibilité des standards, avec des dates butoirs à décembre 2027 et août 2028.

Mars–mai 2026 : trilogues, blocage, accord de dernière minute

Le 13 mars, le Conseil adopte sa position générale. Le 26 mars, le Parlement européen vote à une très large majorité (569 voix pour, 45 contre) son mandat de négociation, en simplifiant l'approche : exit le mécanisme conditionnel, place à des dates fixes avec plus de lisibilité pour les entreprises.

Le 28 avril, le premier trilogue bute sur un point technique : le régime de conformité des systèmes IA intégrés dans des produits déjà soumis à une législation sectorielle (dispositifs médicaux, machines, véhicules). Le risque d'une double charge réglementaire est réel. Les négociations sont reportées en mai.

Le 7 mai, un accord provisoire est trouvé. Le texte doit encore être formellement adopté avant le 2 août 2026 pour que le report soit effectif.

Le nouveau calendrier AI Act : les dates qui comptent maintenant

Le tableau ci-dessous intègre les modifications issues de l'accord du 7 mai 2026, sous réserve d'adoption formelle avant le 2 août 2026.

Point d'attention sur le watermarking : l'accord Omnibus raccourcit la fenêtre pour les fournisseurs de systèmes d'IA générative déjà sur le marché au 2 août 2026. Ils devront assurer la détection machine des contenus synthétiques (audio, image, vidéo, texte) d'ici le 2 décembre 2026 - soit trois mois, contre six mois proposés initialement par la Commission.

Ce qui ne change pas : les obligations déjà en vigueur

L'Omnibus ne modifie pas le socle réglementaire déjà applicable. Deux catégories d'obligations sont pleinement en vigueur depuis début 2025 :

•       L'interdiction des pratiques IA inacceptables (Art. 5) : manipulation subliminale, exploitation de vulnérabilités, notation sociale, certains usages biométriques en temps réel. En vigueur depuis le 2 février 2025.

•       L'obligation d'AI literacy (Art. 4) : tout fournisseur et déployeur doit s'assurer que son personnel dispose d'un niveau suffisant de compréhension des systèmes IA qu'il utilise. En vigueur depuis le 2 février 2025.

•       Les obligations GPAI : les fournisseurs de grands modèles d'IA à usage général (LLM et autres) sont soumis à des exigences de transparence, documentation technique et politique d'utilisation acceptable depuis le 2 août 2025.

Pour les entreprises qui déploient des systèmes IA sans avoir encore formalisé leur cadre de gouvernance : ces obligations s'appliquent maintenant, pas en 2027.

Ce que le report ne règle pas

L'Omnibus résout un problème de calendrier, pas un problème de maturité. Les organisations qui n'ont pas encore structuré leur approche de la conformité IA se retrouvent avec 16 mois supplémentaires mais le travail à faire reste le même.

Cartographier un portefeuille de systèmes IA, les classifier selon les niveaux de risque de l'AI Act, constituer la documentation technique requise, mettre en place un comité de gouvernance IA opérationnel tout cela prend entre 6 et 18 mois dans une grande organisation. Le report crée de la marge, il ne crée pas de raccourcis.

Le périmètre concerné est aussi plus large qu'il n'y paraît. Le report ne porte que sur les obligations haut risque de l'Annexe III. Les pratiques interdites, l'AI literacy et les obligations GPAI s'appliquent déjà. Dans la plupart des groupes de taille significative, au moins une partie du portefeuille IA entre dans ces catégories.

Enfin, l'absence de normes harmonisées ne signifie pas l'absence d'attentes. L'AI Office publie des lignes directrices, des codes de conduite sectoriels émergent, et les premières décisions de supervision commencent à dessiner la jurisprudence. Les entreprises qui construisent leur référentiel interne maintenant auront un avantage structurel quand les standards seront finalisés.

Ce que les Direction IA doivent faire dans les 12 prochains mois

L'accord Omnibus crée une fenêtre. La question n'est pas d'en profiter pour différer, mais de savoir quoi faire maintenant que la pression de court terme est levée.

1. Finaliser l'inventaire du portefeuille IA

La classification AI Act commence par une cartographie exhaustive des systèmes en production et en développement. Sans inventaire structuré, impossible de distinguer ce qui relève de l'Annexe III, ce qui est hors champ, et ce qui mérite une analyse de risque approfondie. La majorité des entreprises sous-estiment le volume de leurs systèmes IA déployés souvent parce qu'ils sont distribués dans les métiers sans remontée vers la Direction IA.

2. Classifier les systèmes selon les niveaux de risque AI Act

L'Annexe III liste les domaines à haut risque : ressources humaines, biométrie, infrastructures critiques, éducation, accès aux services essentiels, justice. Chaque système doit être positionné sur cette grille. C'est un travail collaboratif entre la Direction IA, la Direction juridique et les équipes métiers et c'est précisément ce qui prend du temps dans les grandes organisations multi-entités.

3. Mettre en place le socle de gouvernance dès maintenant

Le comité de gouvernance IA, la politique d'utilisation responsable, les processus d'approbation des nouveaux cas d'usage : ces éléments structurants ne dépendent pas des normes harmonisées. Ils peuvent être construits maintenant, sur la base des lignes directrices existantes. C'est aussi ce qui permettra de documenter la conformité de manière crédible en 2027.

Conclusion : le délai comme levier

L'accord du 7 mai 2026 est une décision pragmatique face à l'indisponibilité des outils techniques nécessaires à une mise en conformité effective. Il révèle autant les lacunes de l'administration européenne que celles des entreprises, qui, pour beaucoup, n'auraient pas été prêtes en août 2026.

Pour les Direction IA et les DSI, la lecture opérationnelle est simple : le calendrier change, les enjeux restent les mêmes. Les entreprises qui sortiront gagnantes de l'AI Act ne seront pas celles qui auront attendu la date limite, mais celles qui auront construit une gouvernance IA pilotable avec un inventaire à jour, une classification par niveau de risque, et un suivi documenté de leurs systèmes en production.

C'est précisément ce que Praxia permet de faire : centraliser et classifier le portefeuille de cas d'usage IA d'une organisation, suivre leur conformité AI Act et leur ROI, et piloter l'ensemble depuis un tableau de bord unifié y compris pour les groupes multi-entités.

FAQ — Les questions que se posent les Direction IA

Qu'est-ce que le Digital Omnibus on AI et que change-t-il concrètement ?

Le Digital Omnibus on AI est un paquet législatif proposé par la Commission européenne en novembre 2025 pour amender le calendrier du règlement IA (AI Act). Un accord provisoire a été trouvé le 7 mai 2026. Il reporte les obligations pour les systèmes IA à haut risque de l'Annexe III du 2 août 2026 au 2 décembre 2027, et ceux de l'Annexe I au 2 août 2028. Il ne modifie pas le fond du règlement ni les obligations déjà en vigueur (pratiques interdites, AI literacy, GPAI).

Les obligations AI Act sont-elles vraiment suspendues jusqu'en 2027 ?

Non. Seules les obligations spécifiques aux systèmes à haut risque (documentation technique, évaluation de conformité, enregistrement) sont reportées. L'interdiction des pratiques IA inacceptables (Art. 5) est en vigueur depuis février 2025. L'obligation de formation des collaborateurs (AI literacy, Art. 4) également. Et les fournisseurs de modèles GPAI sont soumis à leurs propres obligations depuis août 2025.

Quelles sont les différences entre l'Omnibus proposé par la Commission et la position finale du Parlement ?

La Commission avait initialement proposé un mécanisme conditionnel : les obligations haut risque s'appliqueraient 6 ou 12 mois après une décision confirmant la disponibilité des normes harmonisées, avec des dates butoirs. Le Parlement a simplifié cette architecture en fixant directement des dates fermes 2 décembre 2027 pour l'Annexe III, 2 août 2028 pour l'Annexe I sans mécanisme de déclenchement conditionnel. Cette approche offre plus de prévisibilité aux entreprises pour planifier leurs travaux de conformité. Sur le watermarking, le Parlement a également raccourci la fenêtre de transition proposée par la Commission, de 6 mois à 3 mois.

Comment préparer la conformité AI Act sans attendre les normes harmonisées ?

Trois chantiers peuvent être lancés sans attendre les standards : d'abord, l'inventaire exhaustif des systèmes IA en production (par entité, par domaine, par niveau de risque estimé) ; ensuite, la mise en place d'un cadre de gouvernance interne (comité IA, politique d'usage responsable, processus d'approbation des nouveaux cas d'usage) ; enfin, la documentation progressive de chaque système finalité, données d'entraînement, dispositif de supervision humaine. Ces travaux sont compatibles avec les lignes directrices déjà publiées par l'AI Office européen.

L'accord Omnibus est-il définitif ?

Non, pas encore. L'accord du 7 mai 2026 est un accord provisoire entre les négociateurs du Parlement européen et du Conseil. Il doit être formellement adopté par les deux institutions l'objectif déclaré est de finaliser le texte avant le 2 août 2026, date à laquelle les obligations actuelles de l'AI Act s'appliqueraient sinon. Si le processus prenait du retard, les entreprises se retrouveraient temporairement dans un vide juridique avec les dates originales légalement en vigueur.