AI Act et Digital Omnibus : les entreprises doivent-elles revoir leur stratégie de conformité avant l'échéance du 2 août 2026 ?

L'échéance du 2 août 2026, à laquelle les systèmes d'intelligence artificielle à haut risque devront satisfaire à un ensemble d'exigences strictes, sera selon toute vraisemblance décalée dans le temps à la suite du vote du Parlement européen du 16 juin 2026 et celui à venir du Conseil. Entre volonté politique de réduire les charges administratives et impératif de confiance dans l'intelligence artificielle (IA), la Commission européenne devra trouver un équilibre assez délicat. Il apparaît donc légitime de se demander : les entreprises peuvent-elles espérer un assouplissement de leurs obligations ou doivent-elles poursuivre sans attendre leurs travaux de conformité ?

Remise en cause de l'ambition ou rationalisation ?

Depuis plusieurs mois, la compétitivité européenne est redevenue une priorité politique majeure. Dans le sillage du rapport Draghi du 9 septembre 2024 sur la compétitivité européenne et des critiques formulées par de nombreux acteurs économiques sur l'accumulation des obligations réglementaires, la Commission européenne a engagé un vaste mouvement de simplification à travers le « Digital Omnibus Package ».  Dans ce contexte, l'émergence d'un projet de « Digital Omnibus » suscite de nombreuses interrogations parmi les entreprises concernées par le Règlement européen sur l'intelligence artificielle du 13 juin 2024 (dit AI Act). Ces interrogations sont d'autant plus vives que le calendrier d'application de l'AI Act fixé lors de son adoption poursuit sa progression.

Après l'entrée en vigueur des premières dispositions relatives aux pratiques interdites et à la culture de l'IA le 2 février 2025, le prochain jalon majeur demeure fixé au 2 août 2026, date à laquelle les règles applicables aux systèmes d'IA à haut risque deviendront pleinement opérationnelles. 

Dès lors, une question se pose relative à la volonté de simplification affichée par la Commission européenne et la possibilité d'affecter cette échéance ou les obligations qui y sont associées à travers le projet Digital Omnibus, qui pourrait constituer, soit une remise en cause de l'ambition réglementaire européenne en matière d’IA, soit, au contraire, une tentative de rationalisation destinée à en faciliter la mise en œuvre.

 Le Digital Omnibus ne remet pas en cause la philosophie de l'AI Act

À la lecture des différents travaux préparatoires et de la proposition du projet « Digital Omnibus on AI » publiée par la Commission européenne le 19 novembre 2025 (COM(2025) 836 final), il est possible de constater que l'objectif poursuivi n'est pas de revenir sur les fondements de l'AI Act. En effet, l’AI Act demeure le pilier de la stratégie européenne visant à développer une IA digne de confiance grâce à son architecture générale, fondée sur une approche par les risques ; les systèmes d'IA restent considérés comme pouvant présenter des risques importants pour les droits et libertés fondamentaux des individus, ce qui nécessite de respecter des exigences renforcées.

La proposition Omnibus vise davantage à répondre aux difficultés opérationnelles soulevées par les entreprises car les acteurs économiques ont en effet dénoncé la multiplication des textes applicables au numérique, parmi lesquels il est possible de citer le RGPD, le DSA, le DMA, le Data Act, le Data Governance Act, la Directive NIS 2, le Règlement DORA ou encore l’AI Act, ainsi que les difficultés d'articulation qui en résultent.

Dans cette perspective, la Commission propose notamment de renforcer le rôle du Bureau de l’IA, ainsi que faciliter l'accès de certaines entreprises aux dispositifs d'accompagnement afin de mieux coordonner l'application du Règlement avec certaines législations sectorielles. Le projet prévoit également des mesures destinées à limiter la fragmentation de la gouvernance européenne et à favoriser une interprétation plus harmonisée des règles entre États membres.

Autrement dit, il ne s'agit pas d'un abandon des ambitions européennes en matière de régulation de l’IA mais plutôt d'une tentative d'amélioration de leur mise en œuvre, qui passe notamment par la proposition d’un nouveau calendrier avec un report des échéances qui permettrait aux entreprises concernées de mieux appréhender et ainsi mieux se conformer aux exigences de l’AI Act qui leur sont applicables, selon la classification des IA utilisées au sein de ces entreprises.

Un report des échéances envisagé de plus en plus certain

L'évolution la plus attendue concerne le calendrier d'application du Règlement. En effet, le 7 mai 2026, le Parlement européen et le Conseil sont parvenus à un accord politique provisoire qui prévoit le report des obligations applicables aux systèmes d'IA à haut risque. A la suite de cet accord, le Parlement européen a approuvé l’adoption du texte en séance plénière le 16 juin 2026 ; le texte nécessite donc désormais le vote du Conseil afin d’être formellement adopté, ce qui sera vraisemblablement le cas dans les prochaines semaines, suivi d’une publication au Journal officiel de l'Union européenne.

Ainsi, les échéances seraient repoussées au 2 décembre 2027 pour les systèmes d’IA à haut risque relevant de l'annexe III et au 2 août 2028 pour ceux relevant de l'annexe I de l’AI Act.

En effet, les systèmes d’IA qui seraient concernés par le report de l’échéance au 2 décembre 2027 concernent ceux relevant d’un des secteurs énumérés à l’annexe III de l’AI Act, notamment les données biométriques, les infrastructures critiques (sécurité, électricité, etc), l’éducation et la formation professionnelle, l’emploi, etc.  Ce sont tous les domaines assez sensibles qui comportent potentiellement un risque élevé d’atteinte aux libertés et droits fondamentaux des individus. Les systèmes d’IA concernés par l’éventuelle échéance du 2 août 2028, concernent quant à eux des produits faisant l’objet d’une réglementation spécifique, listée à l’annexe I du Règlement tels que les dispositifs médicaux.

Par ailleurs, certaines obligations de transparence et de marquage relatives aux contenus générés artificiellement seraient quant à elles applicables à compter du 2 décembre 2026. Néanmoins, le Parlement européen a indiqué, dans un communiqué de presse du 16 juin 2026, que la majorité des dispositions de l’AI Act entreront en vigueur le 2 août 2026.

En outre, même dans l'hypothèse où ce report entrerait en vigueur, de nombreuses obligations demeurent d'ores et déjà applicables. Tel est notamment le cas de l'obligation de culture de l’IA dite « AI Literacy » prévue à l'article 4 de l'AI Act, applicable depuis le 2 février 2025, qui impose, aux fournisseurs et déployeurs des systèmes d’IA, de prendre les mesures nécessaires afin que les personnes utilisant des systèmes d'IA disposent d'un niveau suffisant de compétences et de compréhension de ces technologies. Les règles relatives aux pratiques interdites prévues à l'article 5 de l’AI Act, ainsi que les obligations applicables aux modèles d'IA à usage général (GPAI) depuis le 2 août 2025 demeurent également inchangées.

En réalité, les entreprises ont-elles intérêt à attendre ?

La réponse paraît clairement négative. Le report envisagé représente environ seize mois supplémentaires pour les systèmes relevant de l'annexe III. Or pour la plupart des organisations, la conformité à l'AI Act ne se résume pas à la rédaction de quelques documents avant une échéance réglementaire ; mais elle suppose au préalable de nombreuses actions notamment : d'identifier les systèmes d'IA utilisés au sein de l'organisation, de qualifier leur niveau de risque, de déterminer le rôle joué par l'entreprise au regard du Règlement (fournisseur, déployeur, distributeur ou importateur), de mettre en place une gouvernance adaptée en désignant un référent ou un comité IA, formaliser des procédures internes, former les collaborateurs et documenter les usages existants avec une vision raisonnable et raisonnée du déploiement en considération de l’impact écologique et social.

Cette démarche implique également d'articuler les exigences de l'AI Act avec d'autres cadres réglementaires déjà applicables, au premier rang desquels figure le RGPD, lorsque des données à caractère personnel sont traitées, qui pourrait également connaitre des infléchissements à l’issue du vote du Digital Omnibus Package.

Dès lors, dans la pratique, de nombreuses organisations découvrent encore aujourd'hui l'existence d'usages de l'IA générative non encadrés au sein de leurs équipes (« Shadow AI »). La cartographie des systèmes utilisés et l'encadrement de ces pratiques doivent constituer dès à présent un chantier significatif.

Le principal enseignement du Digital Omnibus n'est donc pas que les entreprises disposent de davantage de temps, mais plutôt que les institutions européennes reconnaissent les difficultés pratiques de mise en conformité et cherchent à rendre le dispositif plus opérationnel.

En conséquence, les organisations qui profiteront de cette période pour structurer leur gouvernance de l’IA, former leurs équipes et documenter leurs usages seront celles qui aborderont les prochaines échéances dans les meilleures conditions ; et à l'inverse, celles qui interpréteraient le report comme une invitation à différer leurs travaux risquent de se retrouver confrontées, dans quelques mois, aux mêmes difficultés que celles qui ont précisément justifié l'initiative Omnibus avec un levier concurrentiel en leur défaveur. Pour mémoire, le non-respect des exigences de l’AI Act pour les systèmes à haut risque expose les entreprises à des sanctions administratives pouvant aller jusqu’à 15.000.000 euros ou 3% du CA annuel mondial, montant le plus élevé étant retenu, en sus du risque réputationnel auquel les entreprises concernées seront confrontées.