AI Act Omnibus 2026 : nouvelles échéances de conformité décryptées

Le Digital Omnibus AI 2026 a repoussé deux délais clés de l'AI Act : l'Annexe III (systèmes autonomes à haut risque) au 2 décembre 2027, et l'Annexe I (systèmes embarqués) au 2 août 2028. Ce guide décrypte ce qui change, pourquoi, et ce que votre programme de conformité doit faire maintenant.

Ce que le Digital Omnibus AI 2026 modifie

Le Digital Omnibus AI a modifié deux dates d'application centrales du Règlement (UE) 2024/1689 (AI Act) :

Obligation	Date initiale	Nouvelle date	Décalage
IA à haut risque — Annexe III (systèmes autonomes)	2 août 2026	2 décembre 2027	+16 mois
IA à haut risque — Annexe I (embarquée dans produits réglementés)	2 août 2026	2 août 2028	+24 mois

Aucun autre délai majeur n'est modifié. Les pratiques interdites (2 février 2025), les règles GPAI (2 août 2025) et les obligations de marquage du contenu généré par IA (2 août 2025) restent en vigueur aux dates initiales.

Pourquoi l'omnibus a reporté les délais IA à haut risque

La Commission européenne a invoqué trois facteurs :

Alignement avec les actes d'exécution — les normes techniques harmonisées pour l'évaluation de conformité des IA à haut risque (programme CEN/CENELEC) n'étaient pas finalisées. Les évaluations de conformité exigent ces normes.
Lacunes de l'infrastructure de conformité — les organismes notifiés, les autorités nationales compétentes et le Bureau de l'IA de l'UE avaient besoin de temps supplémentaire. Sans infrastructure d'application opérationnelle, une échéance d'août 2026 aurait été inapplicable en pratique.
Préparation des PME — les petits fournisseurs, notamment en medtech, RH tech et services financiers, ont signalé un manque de temps pour implémenter les SMQ et la documentation technique en parallèle des obligations DORA et NIS2.

Ce report est une période de grâce, non une réduction de portée. Toutes les obligations restent ; seul leur calendrier change.

Annexe III — IA à haut risque autonome (échéance : 2 décembre 2027)

L'Annexe III autonome couvre les systèmes IA mis sur le marché ou mis en service en tant que systèmes à haut risque, sans être composant de sécurité d'un autre produit. Exemples :

IA de recrutement et de filtrage RH (classement de CV, analyse d'entretien)
IA de scoring de crédit et d'évaluation de solvabilité
Systèmes de catégorisation biométrique (hors identification en temps réel, prohibée)
IA pour la gestion d'infrastructures critiques
IA dans l'évaluation éducative et la formation professionnelle
IA utilisée par les forces de l'ordre et les autorités migratoires

Obligations des fournisseurs au 2 décembre 2027 :

Réaliser une évaluation de conformité (Art. 43)
Mettre en place un système de management de la qualité (Art. 17)
Constituer la documentation technique (Art. 11 + Annexe IV)
Enregistrer le système dans la base de données UE (Art. 71)
Apposer le marquage CE (Art. 48)
Désigner un représentant UE si établi hors de l'UE

Obligations des déployeurs (également au 2 décembre 2027) :

Réaliser une évaluation d'impact sur les droits fondamentaux (FRIA) pour les déployeurs publics
Mettre en place des mesures de supervision humaine (Art. 26)
Documenter les entrées et sorties (Art. 26(6))
Informer les salariés lorsque des décisions assistées par IA les concernent

Annexe I — IA embarquée à haut risque (échéance : 2 août 2028)

L'Annexe I embarquée couvre l'IA qui constitue un composant de sécurité d'un produit déjà réglementé par la législation UE sur la sécurité des produits. La conformité à l'AI Act s'intègre dans la procédure d'évaluation de conformité existante pour ce produit. Exemples :

Composants IA dans les dispositifs médicaux (MDR/IVDR)
IA dans les systèmes automobiles (cadres de réception par type)
IA dans les machines (règlement Machines)
IA dans les composants aéronautiques
IA dans les jouets et produits grand public

Le report supplémentaire de 24 mois (vs. 16 mois pour l'Annexe III) reflète la complexité de l'évaluation de conformité croisée entre deux régimes réglementaires simultanément.

Ce qui change, c'est la date — pas les obligations

Une lecture erronée courante de l'omnibus : le report de délai signifie que les obligations sont allégées. Elles ne le sont pas.

Les exigences d'évaluation de conformité, de SMQ, de documentation technique, de marquage CE et d'enregistrement sont identiques à ce qui était requis avant août 2026. L'omnibus ne réduit pas la portée, ne crée pas d'exemptions et n'ajoute pas de dérogations transitoires. Il déplace simplement la ligne d'arrivée.

Implication pratique : les organisations qui utilisent le report comme prétexte pour suspendre leurs programmes de conformité feront face à une pression accrue fin 2027. L'utilisation la plus productive du temps supplémentaire est de finaliser l'implémentation du SMQ, de tester la documentation technique face aux projets de normes harmonisées, et d'engager tôt les organismes notifiés — leur capacité sera contrainte à l'approche de décembre 2027.

Pratiques interdites déjà en vigueur

Ces interdictions au titre de l'Art. 5 s'appliquent depuis le 2 février 2025 et n'ont pas été modifiées par l'omnibus :

Manipulation subliminale — techniques exploitant des vulnérabilités subconscientes pour modifier le comportement à l'insu des utilisateurs
Exploitation des vulnérabilités — ciblage des enfants, personnes âgées ou groupes défavorisés
Notation sociale — scoring à usage général des personnes physiques par des autorités publiques
Identification biométrique en temps réel dans les espaces publics par les forces de l'ordre (avec exceptions étroites)
Reconnaissance des émotions sur le lieu de travail et dans les établissements d'enseignement
Catégorisation biométrique inférant des caractéristiques sensibles (race, opinions politiques, syndicat, orientation sexuelle, religion)
NCII/CSAM — génération ou manipulation d'images intimes non consenties ou de contenu pédopornographique par IA

Le non-respect des interdictions de l'Art. 5 expose à des amendes pouvant atteindre 35 millions d'euros ou 7 % du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu.

Règles GPAI : déjà applicables

Les obligations GPAI du chapitre 5 s'appliquent depuis le 2 août 2025 :

Tous les fournisseurs de GPAI doivent respecter les obligations de transparence (Art. 53)
Les fournisseurs de modèles GPAI à risque systémique (au-delà de 10²⁵ FLOPs de calcul d'entraînement) sont soumis à des obligations supplémentaires : tests adversariaux et signalement d'incidents
Le marquage du contenu généré par IA (watermarking) pour les médias synthétiques s'applique aux systèmes GPAI génératifs

Convergence avec DORA et NIS2

Les organisations des services financiers font face aux trois obligations AI Act, DORA et NIS2 avec des calendriers qui se chevauchent. Points d'intersection clés :

Gestion des risques TIC sous DORA (Art. 5–16) doit couvrir les systèmes TIC pilotés par IA — DORA n'exempte pas les outils IA de son cadre de gestion des risques TIC
Déclaration d'incidents sous DORA (Art. 19–23) s'applique aux incidents causés par ou impliquant des systèmes IA
Mesures de sécurité NIS2 (Art. 21) incluent les risques cyber liés à l'IA
Gestion des risques AI Act Art. 9 pour les IA à haut risque chevauche significativement la gestion des risques TIC de DORA — le double mapping est possible et recommandé pour éviter une documentation redondante

Voir notre analyse complète de convergence → ou notre site jumeau regulation-dora.eu pour la couverture DORA.

Calendrier officiel de conformité AI Act

Mis à jour le 2026-06-19 · Sources : Règlement (UE) 2024/1689 et Digital Omnibus AI 2026.

Obligation	S'applique à	Date initiale	Nouvelle date	Statut	Compte à rebours	Base légale
Pratiques interdites (Art. 5)	Tous les fournisseurs et déployeurs	2 février 2025	2 février 2025	active	—	AI Act Art. 5
Règles GPAI (chap. 5)	Fournisseurs de modèles GPAI	2 août 2025	2 août 2025	active	—	AI Act Art. 51-56
IA à haut risque — Annexe III (autonomes)	Fournisseurs systèmes autonomes Annexe III	2 août 2026	2 décembre 2027	deferred	—	Omnibus AI 2026, Art. 6(2)
IA à haut risque — Annexe I (embarquée)	Systèmes embarqués dans produits réglementés Annexe I	2 août 2026	2 août 2028	deferred	—	Omnibus AI 2026, Art. 6(1)
Marquage contenu IA (transparence)	Fournisseurs systèmes GPAI génératifs	2 août 2025	2 août 2025	active	—	AI Act Art. 50(2)
Bacs à sable réglementaires	Autorités nationales compétentes	2 août 2026	2 août 2026	active	—	AI Act Art. 57

⬇ Télécharger JSON · CC BY 4.0

Convergence AI Act – DORA – NIS2

Votre organisation est-elle soumise à la fois à l'AI Act et à DORA ? Les deux règlements se croisent sur la résilience opérationnelle des systèmes d'IA financiers. Notre site jumeau regulation-dora.eu couvre DORA en profondeur.

Explorer regulation-dora.eu ↗

Questions fréquentes

Quand les obligations AI Act pour les IA à haut risque s'appliquent-elles après l'omnibus ?

Pour les systèmes Annexe III autonomes (ex : IA de recrutement, scoring de crédit, catégorisation biométrique) : 2 décembre 2027. Pour les IA embarquées dans des produits réglementés Annexe I (ex : dispositifs médicaux, machines) : 2 août 2028.

Qu'est-ce que le Digital Omnibus AI ?

Le Digital Omnibus AI est un acte législatif européen adopté en 2026 qui modifie plusieurs délais et obligations du Règlement (UE) 2024/1689 (AI Act). Il vise principalement à accorder davantage de temps aux fournisseurs et déployeurs pour construire des cadres de gouvernance IA conformes, en particulier pour les catégories à haut risque.

Les interdictions de l'Art. 5 sont-elles également reportées ?

Non. Les interdictions des pratiques inacceptables — manipulation subliminale, notation sociale, identification biométrique en temps réel dans les espaces publics, génération de NCII/CSAM — s'appliquent depuis le 2 février 2025 et n'ont pas été modifiées par l'omnibus.

Les règles GPAI changent-elles avec l'omnibus ?

Non. Les obligations GPAI (chapitre 5 de l'AI Act) restent applicables depuis le 2 août 2025. L'omnibus cible uniquement les obligations à haut risque des Annexes III et I.

Que doivent faire les organisations avant le 2 décembre 2027 pour l'Annexe III ?

Les fournisseurs doivent : réaliser une évaluation de conformité, mettre en place un système de management de la qualité (SMQ), constituer la documentation technique, s'inscrire dans la base de données UE, apposer le marquage CE. Les déployeurs doivent : réaliser une évaluation d'impact sur les droits fondamentaux, mettre en place la supervision humaine, documenter les usages.

Le report des délais modifie-t-il les obligations ?

Non. Le report est purement temporel : aucune obligation n'est supprimée. Les mêmes exigences d'évaluation de conformité, de documentation technique, de SMQ, de marquage CE, d'enregistrement et de transparence s'appliquent — elles doivent simplement être satisfaites aux nouvelles dates.

Restez informé des évolutions AI Act

Recevez les alertes compliance quand les délais ou obligations changent.

Pas de spam. Désabonnement en un clic.