Le règlement européen sur l'IA après le Digital Omnibus : ce qui s'applique réellement en 2026

Le titre que la plupart des dirigeants ont mal compris

Quand la nouvelle est tombée que le règlement européen sur l'IA était « reporté », beaucoup d'équipes ont discrètement fait redescendre la gouvernance de l'IA dans leur feuille de route. C'était une mauvaise lecture. Le Digital Omnibus, adopté provisoirement le 7 mai 2026, n'a pas mis le règlement sur l'IA en pause. Il a différé une couche bien précise, la plus lourde, et a laissé les parties qui concernent la plupart des entreprises exactement là où elles étaient.

Ceci est un éclairage pour dirigeants, pas un conseil juridique. Si tu conçois, achètes ou déploies de l'IA qui touche au marché de l'UE, voici ce qui est réel, ce qui a bougé, et ce qu'il faut faire avant la prochaine échéance.

Ce qui devient applicable à partir du 2 août 2026

Ces points n'ont pas bougé. Prévois comme s'ils étaient en vigueur, car ils le sont.

• L'application des règles pour l'IA à usage général (GPAI). À partir du 2 août 2026, les pouvoirs de mise en application pour les modèles d'IA à usage général deviennent actifs. Si tu affines, héberges ou distribues un modèle de fondation, ou si tu construis dessus d'une manière qui fait de toi un fournisseur, les obligations s'appliquent.
• Les devoirs de transparence au titre de l'Article 50. Les obligations de transparence de base s'appliquent. Les personnes doivent être informées lorsqu'elles interagissent avec un système d'IA, et l'usage de l'IA ne doit pas se cacher derrière un masque humain.
• La littératie en matière d'IA. L'obligation pour les organisations de s'assurer que le personnel qui exploite des systèmes d'IA dispose d'une littératie suffisante en matière d'IA est déjà en vigueur depuis début 2025. Le Digital Omnibus n'y a pas touché.
• Les pratiques interdites. Les cas d'usage bannis, comme la notation sociale et certaines catégorisations biométriques, s'appliquent depuis février 2025 et restent interdits.

Le message pratique pour une entreprise du Mittelstand allemand : si tu as déployé un chatbot, une fonctionnalité générative ou un assistant IA auprès de clients ou de collaborateurs, les obligations de transparence et de littératie s'appliquent déjà à toi. Ce n'est pas un problème pour 2027.

Ce que le Digital Omnibus a réellement différé

Le report est réel, mais étroit. Il vise le régime à haut risque, qui est la partie la plus coûteuse et la plus lourde opérationnellement du règlement.

• Les systèmes à haut risque relevant de l'Annexe III (systèmes autonomes dans des domaines comme l'emploi, le crédit, l'éducation, les infrastructures critiques) : la conformité est repoussée au 2 décembre 2027, un décalage d'environ seize mois.
• L'IA à haut risque intégrée dans des produits réglementés au titre de l'Annexe I : repoussée au 2 août 2028.
• L'étiquetage et le tatouage numérique des contenus générés par IA : le devoir précis de marquer et de baliser par machine les médias synthétiques est passé du 2 août 2026 au 2 décembre 2026, un décalage de quatre mois.
• Les bacs à sable réglementaires : l'échéance pour que les États membres les mettent en place est passée au 2 août 2027.

Pourquoi « différé » est un piège, pas un répit

Trois raisons pour lesquelles ce temps supplémentaire n'est pas gratuit.

1. Le travail différé est le travail lent. Une évaluation de conformité à haut risque, un système de gestion des risques, la documentation technique, la journalisation, la conception de la supervision humaine et la surveillance après commercialisation ne sont pas un sprint. Seize mois, c'est la piste de décollage, pas la marge. Les équipes qui considèrent décembre 2027 comme « plus tard » feront la même course effrénée, juste plus tard.
2. Les obligations en vigueur mordent dès maintenant. La transparence, la littératie, le GPAI et les interdictions sont applicables. Une échéance à haut risque différée ne change rien pour une entreprise qui a aujourd'hui en production une fonctionnalité d'IA non divulguée.
3. L'échéance d'étiquetage est proche. Si tu déploies une fonctionnalité d'IA générative dans l'UE, tu dois avoir un étiquetage visible par l'utilisateur, des métadonnées lisibles par machine sur les contenus générés et un dispositif de détection opérationnel d'ici le 2 décembre 2026. Cela se compte en mois, pas en années.

Quoi faire avant la prochaine échéance

Une séquence pragmatique, par ordre de priorité.

1. Inventaire. Liste chaque système d'IA que tu conçois, intègres ou exposes à des utilisateurs ou à des collaborateurs. Tu ne peux pas gouverner ce que tu n'as pas nommé. La plupart des organisations sous-estiment cette liste de moitié.
2. Classification. Pour chaque système, détermine le niveau : interdit, à haut risque, à risque limité avec devoirs de transparence, ou minimal. La classification commande tout le reste.
3. Comble d'abord les lacunes en vigueur. Les déclarations de transparence, la littératie en matière d'IA pour les opérateurs et l'étiquetage des fonctionnalités génératives. Ces points sont exigibles maintenant ou d'ici décembre 2026, et ils sont comparativement peu coûteux à corriger.
4. Lance la piste de décollage à haut risque. Si quoi que ce soit relève de l'Annexe III, commence le travail de gestion des risques et de documentation par rapport à la date du 2 décembre 2027. Traite cela comme un programme, pas comme une case à cocher.
5. Documente les décisions. Les régulateurs comme les acheteurs grands comptes posent la même question : montre-moi comment ce système est gouverné. Un registre de décisions vaut mieux qu'un PDF de politique interne.

Comment nous abordons cette question

Nous construisons des systèmes d'IA qui doivent vivre au sein d'entreprises européennes réglementées, alors nous traitons la gouvernance comme une partie de l'architecture, pas comme un ajout de conformité greffé après coup. Notre position sur le règlement est délibérément nuancée : le régime est encore en train de se stabiliser, et quiconque te vend une certitude sur chaque cas limite te vend autre chose. Ce sur quoi nous nous engageons est concret : la traçabilité des décisions, la supervision humaine aux points qui comptent, un traitement des données qui respecte le RGPD, et un compte rendu documenté du comportement de chaque système. Nous avons exposé cette position sur notre page de gouvernance de l'IA, et les modèles d'ingénierie qui la sous-tendent dans la traçabilité des décisions d'IA et l'IA avec l'humain dans la boucle.

Si tu veux une lecture ancrée dans le concret sur ceux de tes systèmes d'IA qui sont concernés et sur ce à quoi ressemble une piste de décollage réaliste, entame une conversation. Nous te dirons où la réglementation te touche vraiment, et où elle ne te touche pas.

Sources : le cadre réglementaire officiel du règlement européen sur l'IA. Les dates reflètent l'accord provisoire sur le Digital Omnibus de mai 2026 et restent soumises à une adoption formelle.