Le 7 mai 2026, les négociateurs du Parlement européen et du Conseil de l’Union européenne ont conclu un accord politique provisoire sur le Digital Omnibus on AI. Cet accord acte le report des obligations applicables aux systèmes d’IA à haut risque de l’Annexe III du règlement (UE) 2024/1689 : du 2 août 2026 au 2 décembre 2027. Les obligations applicables aux systèmes à haut risque de l’Annexe I — ceux embarqués dans des produits déjà soumis à une législation d’harmonisation — basculent du 2 août 2027 au 2 août 2028. L’accord étant provisoire, il reste subordonné à une adoption formelle, attendue avant le 2 août 2026.
Cette information est connue des spécialistes de la conformité IA. Elle est largement traitée par les cabinets d’avocats IT et par les blogs spécialisés. Mais ses conséquences opérationnelles concrètes pour les organisations concernées — particulièrement les déployeurs en secteur recrutement, services financiers et éducation — restent étonnamment peu analysées. Trois conséquences me semblent mériter une attention particulière.
Première conséquence : un répit qui n’en est pas un
La tentation immédiate, pour beaucoup de directions, est d’interpréter le report comme un délai supplémentaire qui permet de retarder le chantier de conformité. Cette lecture est dangereuse pour deux raisons.
D’abord, le report ne concerne que les obligations applicables aux systèmes d’IA à haut risque. Les obligations transversales du règlement restent en application selon leur calendrier propre : l’interdiction des pratiques d’IA à risque inacceptable (article 5), que l’accord vient d’ailleurs d’élargir — interdiction des contenus intimes non consentis et des contenus pédocriminels générés par IA ; les obligations de transparence des systèmes à risque limité, à la seule exception du marquage des contenus de synthèse (article 50(2)), qui bénéficie d’un court sursis au 2 décembre 2026 ; et les obligations sur les modèles d’IA à usage général. Une organisation qui utiliserait un système d’IA à risque inacceptable au sens de l’article 5 est en infraction depuis février 2025, quelle que soit la décision sur le Digital Omnibus.
Ensuite, le report dépend de l’adoption définitive de l’accord politique avant le 2 août 2026. Si, pour une raison procédurale, l’accord n’est pas formellement adopté avant cette date, le calendrier d’origine s’applique et les obligations Annexe III deviennent contraignantes à cette échéance. Tant que la publication au Journal officiel n’est pas intervenue, le 2 août 2026 reste une date active. Les organisations qui auraient suspendu leur chantier dans l’attente du report s’exposeraient alors à un déficit de préparation impossible à rattraper en quelques semaines.
La lecture opérationnelle correcte est donc la suivante : la préparation se poursuit au rythme prévu, avec une cible de conformité au premier trimestre 2027 pour les organisations rigoureuses. Le report offre une marge de sécurité, pas une autorisation de pause.
Deuxième conséquence : un piège pour les contrats fournisseurs
La deuxième conséquence concerne les organisations qui dépendent de fournisseurs de systèmes d’IA pour leurs activités. Un éditeur SaaS de recrutement, par exemple, devait initialement s’assurer que sa solution serait conforme aux obligations fournisseur au 2 août 2026, pour que ses clients déployeurs puissent eux-mêmes se mettre en conformité à cette date. Avec le report, l’éditeur peut être tenté de différer sa propre démarche, ce qui décale d’autant la capacité de ses clients à se conformer.
Pour un déployeur, cela suppose de revoir les engagements contractuels avec ses fournisseurs d’IA. Si vos contrats SaaS comportent des clauses de conformité au calendrier d’origine de l’AI Act, vérifiez si l’éditeur compte tenir ce calendrier ou s’aligner sur le calendrier révisé. Dans la seconde hypothèse, il faut renégocier les engagements pour que la conformité de l’éditeur intervienne suffisamment en amont du 2 décembre 2027 pour vous laisser calibrer votre propre démarche en aval — concrètement, une visibilité de l’éditeur sur sa conformité fin 2026 ou début 2027, soit dix à douze mois avant l’échéance dure. Si l’éditeur ne peut pas s’y engager, c’est un signal négatif sur la qualité de votre chaîne d’approvisionnement IA, à remonter en gouvernance.
Sur ce terrain, l’accord a réservé une bonne nouvelle pour les déployeurs, passée sous les radars. La Commission proposait de supprimer l’obligation, pour un fournisseur, d’enregistrer dans la base de données de l’UE les systèmes opérant dans un domaine de l’Annexe III qu’il auto-évalue comme n’étant pas à haut risque. Le Parlement et le Conseil ont rejeté cette suppression : l’obligation d’enregistrement de l’article 6(3) est maintenue, sous une forme allégée. Conséquence pratique : l’auto-évaluation « non haut risque » d’un fournisseur cesse d’être une note interne privée pour devenir un dépôt public consultable. C’est un levier de vérification supplémentaire sur vos fournisseurs d’IA — utilisez-le.
Troisième conséquence : pas de répit sur le RGPD
La troisième conséquence est probablement la plus importante. Les obligations de l’AI Act déployeur recoupent largement celles du RGPD, notamment sur la transparence vis-à-vis des personnes concernées, sur l’analyse d’impact, et sur la traçabilité des décisions automatisées. Or le RGPD n’est pas concerné par le Digital Omnibus. Ses obligations s’appliquent en l’état.
Une organisation qui aurait reporté son travail de conformité AI Act déployeur en s’appuyant sur le calendrier révisé prendrait le risque de découvrir trop tard qu’elle est par ailleurs en défaut sur le RGPD pour les mêmes systèmes. Et l’autorité ne relâche pas la pression : la CNIL a fait du recrutement automatisé — systèmes de décision automatisée, information des candidats, durées de conservation — et de la transparence de l’information aux personnes des priorités de contrôle affichées pour 2026, en préfiguration de son futur rôle d’autorité de surveillance des systèmes d’IA dans le champ du travail. Son activité répressive du premier trimestre 2026 a par ailleurs été soutenue, plusieurs sanctions significatives retenant des manquements à l’information des personnes au titre de l’article 13 du RGPD. Le calendrier RGPD, lui, est implacable.
La conséquence pratique est que la majeure partie de la préparation à la conformité AI Act déployeur peut, et probablement doit, être conduite indépendamment du calendrier AI Act lui-même. Cette préparation sert directement le RGPD, et accessoirement l’AI Act quand celui-ci entrera en application. Ne pas la conduire au prétexte du Digital Omnibus reviendrait à laisser ouvert un risque RGPD qui, lui, est immédiat.
En synthèse opérationnelle
Pour les déployeurs concernés par l’Annexe III — recrutement, services financiers, éducation, infrastructures critiques, application de la loi, migration — la lecture correcte du Digital Omnibus est triple. Le calendrier de préparation doit être maintenu, avec une cible de conformité opérationnelle au premier trimestre 2027 pour disposer d’une marge par rapport à l’échéance dure du 2 décembre 2027. Les engagements contractuels avec les fournisseurs d’IA doivent être revus pour anticiper leur propre conformité fournisseur et l’enregistrement public des auto-évaluations « non haut risque » offre désormais un point de contrôle. Enfin, la démarche doit être conduite en cohérence avec les exigences RGPD préexistantes, qui restent contraignantes indépendamment du calendrier AI Act.
Le Digital Omnibus offre un répit utile aux organisations qui étaient en retard. Il ne fait disparaître ni la nature ni la profondeur des obligations à porter. Pour les directions qui pilotent la conformité, le message à diffuser en interne est simple : poursuivez le chantier, ne le suspendez pas.
Sources : règlement (UE) 2024/1689 du 13 juin 2024 (AI Act) ; proposition COM(2025) 836 de la Commission européenne du 19 novembre 2025 (Digital Omnibus on AI) ; accord politique provisoire Parlement européen / Conseil du 7 mai 2026, sous réserve d’adoption formelle ; priorités de contrôle de la CNIL pour 2026 (rapport annuel 2025).
Cet article n’est pas un avis juridique.
Commentaires récents