Si votre plan de conformité IA a été écrit avant juin 2026, il est probablement faux.
Pendant deux ans, le 2 août 2026 a été présenté comme la grande échéance de l'AI Act : la date d'entrée en application des obligations pour les systèmes d'IA à haut risque. Nous l'avons nous-mêmes relayée. Ce n'est plus la bonne date.
Le 29 juin 2026, le Conseil de l'UE a définitivement adopté le « Digital Omnibus on AI », qui reporte les obligations les plus lourdes — sans en changer le fond.
Le calendrier à jour, date par date
| Obligation | Ancienne échéance | Échéance actuelle |
|---|---|---|
| Pratiques interdites (art. 5) | 2 février 2025 | En vigueur (inchangé) |
| Obligations des modèles à usage général (GPAI) | 2 août 2025 | En vigueur (inchangé) |
| Marquage des contenus générés par IA (art. 50) | 2 août 2026 | 2 décembre 2026 |
| Systèmes à haut risque autonomes (Annexe III : RH, biométrie, éducation, services essentiels…) | 2 août 2026 | 2 décembre 2027 |
| Systèmes à haut risque intégrés dans des produits réglementés (Annexe I : dispositifs médicaux, machines…) | 2 août 2027 | 2 août 2028 |
Deux points d'attention dans ce tableau :
Ce qui est déjà en vigueur le reste. Le report ne concerne que ce qui n'était pas encore applicable. Les pratiques interdites (notation sociale, manipulation, certaines formes de reconnaissance des émotions au travail) et les obligations des fournisseurs de modèles à usage général s'appliquent depuis 2025 — sanctions comprises.
Le marquage arrive plus tôt que prévu dans la nouvelle architecture. Les contenus générés ou manipulés par IA devront être identifiables au 2 décembre 2026. Si vous produisez du contenu client avec de l'IA générative, c'est l'échéance la plus proche de votre feuille de route.
Ce qui ne change pas : les sanctions maximales
Le Digital Omnibus ne touche pas au régime de sanctions. Les plafonds restent :
- jusqu'à 35 millions d'euros ou 7 % du CA annuel mondial pour les pratiques interdites,
- jusqu'à 15 millions d'euros ou 3 % pour les autres manquements au règlement.
Et l'AI Act ne remplace pas le RGPD : les deux s'appliquent en parallèle. Une donnée personnelle traitée par un système d'IA reste soumise au RGPD, avec ses propres plafonds (jusqu'à 4 % du CA mondial). La CNIL — qui se prépare à devenir autorité de surveillance du marché au titre de l'AI Act — a publié des recommandations concrètes sur le déploiement de l'IA générative : usages autorisés et interdits définis par une charte, DPO et RSSI impliqués dès le départ, systèmes locaux et sécurisés privilégiés.
« Donc on a le temps » — non, et voici pourquoi
Le report à décembre 2027 est une fenêtre de mise en œuvre, pas une dispense. Trois raisons de ne pas ranger le dossier :
1. Les obligations n'ont pas changé, seule la date a bougé. Inventaire des systèmes d'IA, classification des risques, documentation technique, supervision humaine, traçabilité : tout ce qui était exigé au 2 août 2026 le sera au 2 décembre 2027, à l'identique. Les entreprises qui s'y mettent en 2027 découvriront que la documentation d'un système déployé depuis deux ans se reconstitue très mal a posteriori.
2. Vos clients et assureurs n'attendent pas la date légale. Les questionnaires d'appels d'offres et d'assurance cyber incluent déjà des sections IA. « Où sont traitées les données ? Quelle traçabilité ? » sont des questions posées aujourd'hui — la shadow AI non maîtrisée y répond très mal.
3. La traçabilité se construit dans l'architecture, pas dans un classeur. Pouvoir justifier chaque traitement IA suppose des logs, des périmètres d'accès, un contrôle des flux de données. C'est un choix d'infrastructure. Si vos usages IA passent par des comptes grand public dispersés, aucun document de conformité ne compensera l'absence de contrôle technique.
Le plan raisonnable d'ici fin 2026
Pas besoin d'un programme pharaonique. Quatre chantiers, dans l'ordre :
- Inventorier : quels outils d'IA sont utilisés, par qui, pour quoi, avec quelles données. Y compris les usages non déclarés.
- Classifier : lesquels de vos usages relèveraient de l'Annexe III (RH, scoring, accès à des services essentiels…) ? Ce sont eux qui devront être conformes en décembre 2027.
- Cadrer : une charte IA courte et outillée — six décisions valent mieux que quarante pages.
- Centraliser : remplacer les usages dispersés par une plateforme unique où les logs, les droits d'accès et la localisation des données sont maîtrisés par construction.
C'est précisément ce que permet Eridia : une plateforme IA déployée sur votre infrastructure ou hébergée en France, avec la traçabilité complète des usages — de quoi répondre à un auditeur, un client ou la CNIL avec des logs plutôt qu'avec des promesses.
Si vous voulez savoir où vous en êtes par rapport au calendrier réel, on fait le point ensemble : 30 minutes, gratuit.



