EU AI Act, le piège du report

Lisa Medrouk
EuroAIGuard Conseil

Pourquoi l'Omnibus du 7 mai déplace la pression sans la supprimer et ce que les CTO doivent décider avant le 2 août.

Depuis le 7 mai 2026, une même phrase revient dans les comités IA que je croise "on a dix-huit mois de plus, on remet le sujet sur la pile". Ce jour-là, le Conseil et le Parlement européens ont conclu un accord politique provisoire sur le Digital Omnibus on AI, l'application pleine des obligations haut risque de l'Annexe III repoussée du 2 août 2026 au 2 décembre 2027. La presse a parlé de répit et une partie des directions IA en a fait un report global.

C'est l'erreur de lecture la plus coûteuse de l'année, ce qui est réellement reporté ne représente qu'une fraction du règlement, et parce que ce qui reste applicable au 2 août 2026 "soit dans douze semaines" couvre la quasi-totalité de ce que les organisations utilisent au quotidien: chatbots, agents IA, copilotes, outils GenAI et systèmes biométriques. Voici ce que l'Omnibus déplace, ce qu'il ne touche pas, et les trois décisions que les comités IA devraient acter avant l'été.

 Ce qui est réellement reporté :

L'accord de trilogue, sous réserve d'adoption formelle et de publication au Journal officiel de l'UE avant le 2 août 2026, prévoit deux décalages significatifs.

Le premier, l'application pleine et entière des obligations pour les systèmes d'IA classés haut risque au sens de l'Annexe III du règlement est repoussée du 2 août 2026 au 2 décembre 2027. Les systèmes haut risque embarqués dans des produits couverts par la législation sectorielle de l'Annexe I voient également leur échéance glisser du 2 août 2027 au 2 août 2028.

Le second décalage cible spécifiquement les obligations de marquage et de détection des contenus synthétiques prévues à l'Article 50(2) AI Act. La date d'application générale reste fixée au 2 août 2026, mais les fournisseurs de systèmes d'IA générative déjà sur le marché avant cette date bénéficient d'une période transitoire de quatre mois et disposent jusqu'au 2 décembre 2026 pour s'y conformer. Ce délai est plus court que les six mois soutenus par la Commission et le Conseil, et plus court encore que les douze mois demandés par l'industrie , le compromis Parlement-Conseil a tranché à mi-chemin. À première vue, dix-huit mois supplémentaires sur le haut risque.

Ce qui ne bouge pas : 

Ce que la couverture médiatique du 7 mai a sous-pondéré, c'est l'ampleur du périmètre qui reste applicable au 2 août 2026 selon le calendrier initial. Le détail mérite d'être posé.

Les pratiques interdites de l'Article 5 AI Act sont déjà en vigueur depuis le 2 février 2025, à savoir : manipulation subliminale, scoring social, scraping biométrique non ciblé. Ces interdictions n'ont jamais bougé et leurs sanctions peuvent atteindre 35 millions d'euros ou 7 % du chiffre d'affaires mondial.

Les obligations de transparence de l'Article 50(1), (3) et (4) AI Act restent applicables au 2 août 2026 sans aucun report. Chatbots et agents IA doivent se déclarer comme tels. Les systèmes de reconnaissance d'émotion et de catégorisation biométrique doivent informer les personnes exposées. Les déployeurs de deepfakes et de textes IA publiés sur des matières d'intérêt public doivent étiqueter le contenu. Les Guidelines de la Commission publiées le 29 juillet 2025 sont sans ambiguïté sur ces points : sanctions Article 99(4) jusqu'à 15 millions d'euros ou 3 % du chiffre d'affaires mondial.

Les obligations RGPD Article 35 sur l'analyse d'impact préalable aux traitements IA à risque ne dépendent pas de l'AI Act. Elles sont obligatoires depuis 2018. Et la CNIL a annoncé dans son programme 2026 qu'elle se prépare à devenir autorité de surveillance AI Act, en complément de son rôle RGPD. Les contrôles seront croisés dès cette année.

Le report concerne donc une fraction du périmètre. Le reste continue son cours, plus visible qu'avant.

Les trois pièges managériaux

J'identifie en ce moment trois lectures circulant dans les comités IA français face à l'Omnibus et deux sont des erreurs stratégiques majeures.

Premier piège, le "répit", lecture la plus répandue "On a 18 mois de plus, on remet le sujet à fin 2026". Le problème est mathématique, cette lecture ne traite que de l'Annexe III, qui représente une fraction des obligations applicables. Les chatbots, les agents IA, les outils GenAI consommés en interne, les systèmes biométriques tombent presque tous sous Article 50 sans relever de l'Annexe III. Les ignorer ne reporte pas le contrôle, il le concentre sur les sujets non-reportés.

Deuxième piège, l'attentisme JOUE. "On attend la publication officielle au Journal officiel pour confirmer le report avant d'agir". Lecture juridiquement compréhensible, opérationnellement risquée. Le texte trilogue doit encore être revu, traduit, adopté formellement, publié. Trois mois minimum dans le meilleur scénario, davantage probable. Pendant ce temps, le calendrier initial reste juridiquement applicable. Une organisation contrôlée le 3 août 2026 ne pourra pas opposer un accord politique non encore publié.

Troisième piège, le silo CTO sans comité IA. C'est le plus fréquent dans les scale-ups et ETI. La direction confie "le sujet AI Act" à son CTO, sans budget supplémentaire ni cadre formel. Le CTO porte seul un dossier qui combine technique, juridique, RGPD, gouvernance des données et responsabilité civile. L'AI Act exige explicitement la mise en place d'une gouvernance interne intégrée. Une décision technique isolée du DPO conduit mécaniquement à une non-conformité RGPD que la CNIL détectera lors du premier contrôle croisé.

Trois décisions à prendre avant le 2 août 2026

Au lieu d'attendre, les comités IA français devraient acter trois décisions structurantes dans les douze semaines qui viennent.

Première décision : composer formellement le comité IA, pas un comité technique, un comité multidisciplinaire incluant DPO, RSSI, juriste, représentant Direction, et selon les organisations, Chief AI Officer ou référent désigné. Cadence trimestrielle minimum. Mandat écrit. Cette composition n'est pas un nice-to-have, c'est l'attente explicite de l'AI Act et de la doctrine émergente des autorités de surveillance.

Deuxième décision : finaliser l'inventaire IA hors Annexe III mais sous Article 50 qui est le point aveugle de la plupart des organisations que je rencontre. Les chatbots support client, les copilotes commerciaux, les outils GenAI déployés en marketing, les transcripteurs de réunion, les agents internes, tous ces systèmes échappent souvent à l'inventaire Annexe III mais relèvent d'Article 50. Sans inventaire, pas de classification possible. Sans classification, pas de stratégie de disclosure et sans disclosure, exposition directe au contrôle dès le 2 août.

Troisième décision : publier une politique IA d'entreprise alignée Article 4 du règlement. L'Article 4 AI Act impose aux fournisseurs et déployeurs de garantir un niveau suffisant de littératie IA chez leur personnel. La politique IA, qui constitue par ailleurs le contrôle §5.2 de la norme ISO 42001, doit formaliser les usages autorisés, les usages proscrits, les rôles, le plan de formation. Sans elle, la défense en cas de contrôle est impossible. Il faut donc, un cadre écrit, publié, daté, signé par la Direction, opposable.

Le report n'est pas l'absence de contrôle, c'est son déplacement :

L'erreur que je vois la plus souvent commise par les comités IA français en ce moment, c'est de considérer le calendrier comme une opportunité de gain de temps. Le calendrier est, au contraire, une opportunité de structuration sereine, ainsi les organisations qui auront formellement composé leur comité IA, finalisé leur inventaire et publié leur politique IA d'ici le 2 août 2026 pourront aborder la suite avec maîtrise. Celles qui auront "remis le sujet sur la pile" découvriront que la pile s'est effondrée au premier contrôle CNIL croisé.

L'Omnibus du 7 mai n'a jamais signifié "vous pouvez attendre" mais "concentrez votre conformité sur ce qui est applicable maintenant". C'est un déplacement, pas une suspension.

Dans douze semaines, le périmètre Article 50, Article 4, Article 5, etc.t l'ensemble du dispositif RGPD croisé entreront en application pour de bon. La question n'est plus de savoir si vous serez contrôlé mais de savoir si votre comité IA aura été constitué, et de quels documents il pourra présenter le 3 août au matin.