EU AI Act : 2026 est l’année du passage au réel

Les échéances 2026 qui comptent vraiment

L’AI Act est entré en vigueur le 1er août 2024, mais les obligations ont toujours été échelonnées. Les pratiques d’IA interdites et les obligations d’AI literacy s’appliquent depuis le 2 février 2025. Les règles pour les modèles d’IA à usage général (GPAI), y compris le Code de Pratique GPAI, s’appliquent depuis le 2 août 2025. Le cadre complet, incluant les obligations sur les systèmes à haut risque de l’Annexe III, devait s’appliquer initialement à partir du 2 août 2026, avec les produits à haut risque embarqués suivant le 2 août 2027.

Le 19 novembre 2025, la Commission européenne a proposé le Digital Omnibus sur l’IA, un paquet d’amendements ciblés qui décale ces dates. Selon la proposition, les systèmes autonomes à haut risque auraient jusqu’au 2 décembre 2027 pour se conformer, et les produits à haut risque embarqués jusqu’au 2 août 2028. La Commission a justifié le report par le fait que les normes harmonisées européennes du CEN-CENELEC sont arrivées plus lentement que prévu, et que les PME ont besoin de délai et d’outillage avant l’entrée en vigueur d’obligations strictes.

Le Parlement européen a voté en mars 2026 en faveur du report de certaines règles et a ajouté des changements connexes, notamment l’interdiction des applications dites « nudifier ». Le processus législatif n’est pas terminé, donc les fournisseurs devraient planifier les deux calendriers et suivre attentivement le résultat du trilogue.

Ce que changent l’AI Act Service Desk et les lignes directrices GPAI

Le développement opérationnel le plus important n’est pas glamour : l’AI Act Service Desk et la Single Information Platform sont en ligne sur le site Digital Strategy de la Commission européenne. Ils consolident la FAQ, le calendrier de mise en œuvre, le texte du Code de Pratique et les lignes directrices GPAI dans une référence unique. Pour les équipes conformité qui ont passé deux ans à assembler des brouillons, considérants et réponses de consultation, c’est important parce que la réponse officielle est désormais en un seul endroit.

Les lignes directrices GPAI, publiées par la Commission en juillet 2025, définissent qui est considéré comme fournisseur d’un modèle d’IA à usage général au titre de l’Article 51 de l’Acte, quelles obligations s’appliquent et comment le Code de Pratique GPAI volontaire correspond au texte légal. Le Code lui-même est structuré autour de trois piliers : transparence, droit d’auteur, et sûreté et sécurité. Les signataires incluent plusieurs fournisseurs de modèles frontier, bien que la couverture soit inégale et que le Code reste volontaire.

Pour les déployeurs et développeurs en aval, l’effet pratique est que des artefacts de conformité clés existent désormais sous forme stable : modèles de documentation, lignes directrices d’évaluation des risques pour les cas d’usage à haut risque de l’Annexe III, et clarifications sur l’interaction de l’AI Act avec le RGPD, le Digital Services Act et le droit de la sécurité des produits. La prochaine lacune concerne les normes à haut risque elles-mêmes, ce qui est précisément ce que le report du Digital Omnibus vise à accommoder.

Des propositions de simplification qui changent la portée, pas seulement les dates

Le Digital Omnibus sur l’IA fait plus que repousser les délais. Il assouplit aussi certaines des obligations les plus controversées. La Commission propose d’assouplir l’exigence d’AI literacy de sorte que fournisseurs et déployeurs n’ont plus à certifier la formation du personnel, encourageant plutôt les États membres à mener des initiatives de literacy. Les obligations de surveillance post-marché gagnent en flexibilité sur le format et la fréquence des rapports. Les exigences de documentation et les considérations de pénalités pour PME et small mid-caps sont simplifiées, la Commission citant la réduction de la charge administrative comme motivation.

Les critiques affirment que certains de ces changements affaiblissent l’accord initial des co-législateurs. Des groupes de la société civile dont European Digital Rights ont contesté l’assouplissement de la literacy et de la surveillance post-marché, tandis que la communauté juridique a signalé que la simplification par actes délégués peut déplacer la responsabilité hors de la voie parlementaire. Les cabinets d’avocats qui suivent le dossier (Cooley, Morrison Foerster, Sidley, Crowell, Lewis Silkin) avertissent tous que les entreprises ne devraient pas supposer que les propositions de simplification passeront intactes, et que la logique originale de classification à haut risque de l’Article 6 régit toujours la portée sous-jacente.

Ce que les organisations hors UE devraient faire maintenant

L’AI Act s’applique à tout fournisseur qui met un système d’IA en service ou sur le marché dans l’UE, plus aux déployeurs établis dans l’UE ou dirigeant des services vers l’UE, plus aux importateurs et distributeurs. Cette portée extraterritoriale signifie que les organisations hors UE ne peuvent ignorer le dossier, même quand le droit national est silencieux.

Une posture de conformité 2026 raisonnable a quatre parties. Premièrement, construire un inventaire IA : cataloguer chaque système d’IA en usage avec fournisseur, version, finalité prévue et la population qu’il affecte. Deuxièmement, classifier chaque système face à l’Annexe III : identifier tout système utilisé en emploi, éducation, identification biométrique, infrastructure critique, application de la loi ou contextes migratoires. Troisièmement, rassembler la documentation fournisseur : les fournisseurs GPAI sous le Code de Pratique publient désormais une documentation modèle standardisée sur laquelle les déployeurs en aval peuvent s’appuyer. Quatrièmement, suivre le résultat du Digital Omnibus : la différence entre les échéances août 2026 et décembre 2027 est suffisamment grande pour modifier les feuilles de route d’achat et de produit.

Les organisations qui travaillent avec clients, partenaires ou fournisseurs UE devraient s’attendre à des cascades contractuelles d’obligations AI Act avant même que les délais ne mordent. Le langage d’achat évolue déjà, particulièrement dans les services financiers, la santé et le secteur public. Le mouvement le moins coûteux en 2026 est d’être prêt tôt et d’utiliser cette préparation comme avantage commercial quand les acheteurs UE posent des questions de gouvernance difficiles.

Ce que les responsables conformité devraient faire maintenant

La posture de conformité pour 2026 est définie par quatre étapes concrètes. Aucune ne nécessite d’attendre la conclusion du trilogue Digital Omnibus. L’incertitude sur les délais exacts n’est pas une raison de temporiser — c’est une raison de bâtir l’infrastructure de gouvernance qui fonctionne sous l’un ou l’autre calendrier.

1. Constituer l’inventaire IA et classifier face à l’Annexe III

Un inventaire IA est le document fondateur pour toutes les obligations qui suivent. Il doit lister chaque système IA en usage actif ou en cours d’achat, avec le nom du fournisseur, la version du modèle ou du produit, le cas d’usage prévu, la population affectée et le poids décisionnel du système. Pour la classification à haut risque sous l’Annexe III, les catégories pertinentes à auditer incluent : décisions RH et emploi, admission et évaluation éducative, accès aux services essentiels, identification biométrique, gestion d’infrastructure critique, traitement de l’application de la loi et de la migration, et administration de la justice. L’analyse de Morrison Foerster sur le Digital Omnibus note que même sous le cadre simplifié, tout système touchant ces huit catégories conserve l’intégralité des obligations Annexe III — la simplification n’ajuste pas la portée, elle allège la charge documentaire et le calendrier pour les PME. Les organisations qui finalisent un inventaire et un audit Annexe III maintenant disposent d’une feuille de route de conformité quelle que soit la date limite retenue.

2. Collecter la documentation fournisseur GPAI avant les audits

Le Code de Pratique GPAI d’août 2025 a fait de la documentation des modèles une attente formelle pour les fournisseurs de modèles de premier plan. Les déployeurs en aval peuvent désormais demander des packages de documentation standardisés à leurs fournisseurs de modèles comme droit contractuel. Les équipes conformité devraient demander formellement ces packages à chaque fournisseur de modèle fondational dans leur stack : fiches modèle, résumés de provenance des données d’entraînement, déclarations de capacités et limites, rapports d’évaluation de sécurité. Le tracker AI Act d’avril 2026 de Cooley note que les contrats d’achat avec fournisseurs IA incluent déjà des clauses de demande de documentation dans les services financiers et la santé. Toute organisation ne disposant pas de cette documentation à portée de main lors d’un audit UE ou d’une question d’acheteur enterprise est en position fragile, quelle que soit la date limite applicable.

3. Surveiller l’issue du trilogue et mettre à jour le langage d’achat dès sa publication

L’événement le plus décisif à court terme pour la conformité AI Act n’est pas une date limite mais un texte législatif : l’issue du trilogue du Digital Omnibus. Lorsque Parlement européen et Conseil parviendront à un accord sur le texte final, le calendrier de planification de conformité deviendra certain. Les organisations devraient maintenir une veille sur le trilogue — le tracker Morrison Foerster et l’AI Act Service Desk fournissent des mises à jour — et programmer une revue du langage d’achat dans les 30 jours suivant la publication du texte final. Cette revue devrait mettre à jour chaque contrat fournisseur actif pour refléter la date limite confirmée, ajouter des clauses de droit d’audit IA là où elles sont absentes, et réviser les accords de traitement des données pour traiter toute obligation nouvelle ou supprimée par l’Omnibus.