En bref

  • Le 7 mai 2026, le Conseil de l'UE et le Parlement européen ont conclu un accord provisoire sur l'AI Act Omnibus (« Omnibus VII »), réaménageant le calendrier et simplifiant certaines obligations de l'AI Act adopté en 2024.
  • Les systèmes IA à haut risque bénéficient de délais supplémentaires : les nouvelles échéances sont fixées au 2 décembre 2027 pour les systèmes autonomes et au 2 août 2028 pour les systèmes embarqués dans des produits.
  • L'accord introduit une interdiction explicite de la génération de contenus sexuels non consentis et de CSAM par IA, applicable dès le 2 décembre 2026.

Ce qui s'est passé

Le 7 mai 2026, la présidence polonaise du Conseil de l'Union européenne et les négociateurs du Parlement européen ont annoncé la conclusion d'un accord provisoire sur la proposition législative baptisée « Omnibus VII ». Ce texte s'inscrit dans le programme de simplification réglementaire lancé par la Commission von der Leyen II et modifie en profondeur le calendrier de mise en œuvre de l'AI Act adopté en juillet 2024. La Commission a présenté l'accord comme un équilibre entre deux impératifs : réduire la charge administrative sur les entreprises, notamment les PME, tout en renforçant la protection des citoyens contre les usages les plus dangereux de l'IA. Des analyses approfondies ont été publiées par des cabinets juridiques spécialisés dont White et Case, Hogan Lovells, Lewis Silkin et la plateforme Dastra.

Le principal changement concerne les systèmes d'IA dits « à haut risque » — ceux déployés dans des contextes sensibles tels que les ressources humaines, l'octroi de crédit, l'éducation, l'accès aux services publics essentiels, les dispositifs médicaux ou les infrastructures critiques. Selon l'AI Act initial, ces systèmes devaient se conformer aux exigences de documentation technique, de transparence et de supervision humaine obligatoire dès août 2026. L'accord Omnibus VII repousse ces échéances : les systèmes IA à haut risque déployés de manière autonome (standalone) disposeront jusqu'au 2 décembre 2027, tandis que les systèmes IA intégrés à des produits physiques — dispositifs médicaux, équipements industriels — auront jusqu'au 2 août 2028. C'est un gain d'environ 12 à 18 mois selon les catégories.

L'accord introduit également des modifications significatives sur les obligations de transparence pour les systèmes d'IA générative. La fenêtre accordée aux fournisseurs pour implémenter les solutions techniques de marquage (watermarking) des contenus générés par IA est réduite de six mois à trois mois. La nouvelle date limite est fixée au 2 décembre 2026. Cette accélération répond aux critiques de plusieurs États membres et d'associations de journalistes qui jugeaient le délai initial trop généreux face à la prolifération des deepfakes dans le contexte électoral européen — plusieurs États membres ayant tenu des élections entre 2024 et 2026 dans un contexte de désinformation alimentée par l'IA générative.

Sur le plan des pratiques interdites, l'accord renforce l'article 5 de l'AI Act. Un nouveau paragraphe interdit explicitement le recours à des systèmes d'IA pour générer des contenus à caractère sexuel non consentis — communément désignés sous le terme « deepfakes intimes » — ainsi que des contenus relevant de l'abus sexuel sur mineurs (CSAM). La prohibition s'étend aux images, vidéos et contenus audio, et la mise en conformité est exigée dès le 2 décembre 2026. Cette disposition répond à une demande explicite du Parlement européen, qui avait conditionné son soutien à l'accord à l'inclusion de protections renforcées contre les usages abusifs de l'IA générative à l'encontre des personnes.

Les sandboxes réglementaires — environnements de test contrôlés que les autorités nationales de supervision doivent mettre en place pour permettre aux entreprises d'expérimenter leurs systèmes IA — voient également leur délai d'établissement repoussé. Les autorités compétentes des États membres auront jusqu'au 2 août 2027 pour les opérationnaliser. Cette décision acte l'état de préparation réel de la majorité des États membres, dont beaucoup n'ont pas encore désigné leur autorité nationale de supervision au sens de l'AI Act, malgré l'obligation théorique depuis août 2025.

Du côté des PME, l'accord formalise une extension notable des protections dérogatoires. Initialement réservées aux micro, petites et moyennes entreprises au sens de la définition européenne — moins de 250 salariés et 50 M€ de chiffre d'affaires — certaines dispositions protectrices, notamment les allègements en matière de documentation technique et les réductions de redevances pour l'accès aux données publiques, sont désormais étendues aux « small mid-caps » : entreprises comptant jusqu'à 500 salariés et dont le chiffre d'affaires ne dépasse pas 100 M€. Cette extension profite directement à de nombreuses ETI françaises et européennes engagées dans des projets d'IA.

L'accord provisoire doit encore être formellement adopté par le Conseil et le Parlement. L'adoption formelle est attendue avant le 2 août 2026, date à laquelle les actuelles règles sur les systèmes IA à haut risque auraient autrement été applicables. Selon le Conseil, les travaux techniques de finalisation sont suffisamment avancés pour que ce calendrier soit respecté. Une fois adopté, le texte sera publié au Journal officiel de l'Union européenne et entrera en vigueur 20 jours plus tard.

La Commission européenne a publié un communiqué intitulé « EU agrees to simplify AI rules, ban nudification apps to protect citizens ». La plateforme de conformité Dastra a résumé l'accord en trois mots : « simpler, safer, stricter where it counts ». Plus simple administrativement pour les entreprises sur les délais de conformité, plus sûr sur les usages prohibés pour les citoyens, et plus strict sur le calendrier de marquage des contenus générés par IA là où les risques de manipulation de l'opinion et d'atteinte à la dignité des personnes sont les plus immédiats.

Pourquoi c'est important

Cet accord de simplification marque une étape décisive dans la mise en œuvre de l'AI Act, premier cadre réglementaire complet au monde sur l'intelligence artificielle. En accordant des délais supplémentaires sur les obligations de conformité pour les systèmes à haut risque, l'UE reconnaît que l'écosystème industriel — y compris les prestataires informatiques, les éditeurs logiciels et les intégrateurs — n'était pas en mesure d'absorber la charge de conformité dans les délais initialement prévus. C'est un signal pragmatique important pour les entreprises qui planifient leurs programmes de mise en conformité AI Act, et un message clair que Bruxelles préfère une conformité réelle à une conformité formelle impossible à tenir.

Cependant, la réduction du délai de marquage à trois mois et l'entrée en vigueur de l'interdiction des deepfakes sexuels dès décembre 2026 montrent que l'UE n'est pas dans une logique de report généralisé. Ces deux mesures ont un impact opérationnel immédiat pour les fournisseurs de modèles génératifs : les acteurs déployant des outils de génération d'images, de vidéos ou d'audio synthétiques sur le marché européen devront implémenter des mécanismes de filtrage robustes avant la fin de 2026. Les sanctions prévues par l'AI Act peuvent atteindre 15 M€ ou 3 % du chiffre d'affaires mondial annuel pour les violations des pratiques interdites.

Pour les entreprises françaises, l'accord Omnibus VII donne une feuille de route plus lisible. Le délai supplémentaire n'exempte pas de préparer la conformité dès maintenant : les registres de systèmes IA, les évaluations de risque préalables, la formation des équipes et la mise en place de structures de gouvernance IA doivent être anticipés pour être opérationnels avant les nouvelles échéances. L'ANSSI et la CNIL ont publié des guides pratiques pour accompagner les organisations dans cette démarche. Les cabinets d'audit et de conseil en conformité constatent déjà une forte demande d'accompagnement, notamment de la part des acteurs des secteurs RH, assurance et santé.

Enfin, cet accord intervient dans un contexte de divergence croissante avec les États-Unis, où l'administration Trump a annulé son propre décret sur l'IA et la cybersécurité le même mois. La posture européenne — avancer sur la régulation tout en modulant son calendrier — contraste avec la dérégulation américaine. Cette asymétrie a des implications concrètes à long terme : les entreprises américaines souhaitant accéder au marché européen devront se soumettre à l'AI Act. L'effet Bruxelles sur l'IA est en train de s'enclencher, à l'image de ce qu'a produit le RGPD sur la protection des données personnelles à l'échelle mondiale.

Ce qu'il faut retenir

  • Les délais de conformité pour les systèmes IA à haut risque sont repoussés au 2 décembre 2027 (systèmes autonomes) et au 2 août 2028 (systèmes embarqués dans des produits).
  • L'interdiction de générer des deepfakes sexuels non consentis et des CSAM entre en vigueur dès le 2 décembre 2026 — délai non négociable pour les fournisseurs de modèles génératifs opérant en Europe.
  • Le délai supplémentaire ne dispense pas de préparer la conformité AI Act maintenant : registres, documentation technique et gouvernance IA doivent être construits avant les nouvelles échéances.

Mon entreprise utilise un système IA dans le recrutement : quand dois-je être conforme à l'AI Act ?

Un système IA utilisé dans un contexte de recrutement est classé « haut risque » selon l'annexe III de l'AI Act. Suite à l'accord Omnibus VII, la date de conformité pour les systèmes standalone est fixée au 2 décembre 2027. Cela ne signifie pas que vous pouvez attendre : les obligations de registre interne, d'évaluation de conformité et de désignation d'un responsable IA doivent être anticipées dès maintenant. L'ANSSI et la CNIL publient des guides pratiques, et plusieurs prestataires proposent des accompagnements de mise en conformité AI Act pour les PME et ETI françaises.

Besoin d'un accompagnement expert ?

Ayi NEDJIMI vous accompagne sur vos projets cybersécurité et IA.

Prendre contact