Skip to content
Sécurité & Conformité

AI Act : ce qui s'applique vraiment en juillet 2026 (et ce qui vient d'être reporté)

Le 2 août 2026 devait être la grande échéance de l'AI Act. Le Digital Omnibus, adopté fin juin, a reporté les obligations « haut risque » à décembre 2027. Mais attention : une bonne partie du règlement s'applique déjà. Le point, date par date, avec les sources officielles.

Hugo Dorus

Hugo Dorus

Fondateur d'Eridia

4 juillet 20264 min de lecture
Partager
AI Act : le vrai calendrier après le Digital Omnibus de juin 2026

Si votre plan de conformité IA a été écrit avant juin 2026, il est probablement faux.

Pendant deux ans, le 2 août 2026 a été présenté comme la grande échéance de l'AI Act : la date d'entrée en application des obligations pour les systèmes d'IA à haut risque. Nous l'avons nous-mêmes relayée. Ce n'est plus la bonne date.

Le 29 juin 2026, le Conseil de l'UE a définitivement adopté le « Digital Omnibus on AI », qui reporte les obligations les plus lourdes — sans en changer le fond.

Le calendrier à jour, date par date

Obligation Ancienne échéance Échéance actuelle
Pratiques interdites (art. 5) 2 février 2025 En vigueur (inchangé)
Obligations des modèles à usage général (GPAI) 2 août 2025 En vigueur (inchangé)
Marquage des contenus générés par IA (art. 50) 2 août 2026 2 décembre 2026
Systèmes à haut risque autonomes (Annexe III : RH, biométrie, éducation, services essentiels…) 2 août 2026 2 décembre 2027
Systèmes à haut risque intégrés dans des produits réglementés (Annexe I : dispositifs médicaux, machines…) 2 août 2027 2 août 2028

Deux points d'attention dans ce tableau :

Ce qui est déjà en vigueur le reste. Le report ne concerne que ce qui n'était pas encore applicable. Les pratiques interdites (notation sociale, manipulation, certaines formes de reconnaissance des émotions au travail) et les obligations des fournisseurs de modèles à usage général s'appliquent depuis 2025 — sanctions comprises.

Le marquage arrive plus tôt que prévu dans la nouvelle architecture. Les contenus générés ou manipulés par IA devront être identifiables au 2 décembre 2026. Si vous produisez du contenu client avec de l'IA générative, c'est l'échéance la plus proche de votre feuille de route.

Ce qui ne change pas : les sanctions maximales

Le Digital Omnibus ne touche pas au régime de sanctions. Les plafonds restent :

  • jusqu'à 35 millions d'euros ou 7 % du CA annuel mondial pour les pratiques interdites,
  • jusqu'à 15 millions d'euros ou 3 % pour les autres manquements au règlement.

Et l'AI Act ne remplace pas le RGPD : les deux s'appliquent en parallèle. Une donnée personnelle traitée par un système d'IA reste soumise au RGPD, avec ses propres plafonds (jusqu'à 4 % du CA mondial). La CNIL — qui se prépare à devenir autorité de surveillance du marché au titre de l'AI Act — a publié des recommandations concrètes sur le déploiement de l'IA générative : usages autorisés et interdits définis par une charte, DPO et RSSI impliqués dès le départ, systèmes locaux et sécurisés privilégiés.

« Donc on a le temps » — non, et voici pourquoi

Le report à décembre 2027 est une fenêtre de mise en œuvre, pas une dispense. Trois raisons de ne pas ranger le dossier :

1. Les obligations n'ont pas changé, seule la date a bougé. Inventaire des systèmes d'IA, classification des risques, documentation technique, supervision humaine, traçabilité : tout ce qui était exigé au 2 août 2026 le sera au 2 décembre 2027, à l'identique. Les entreprises qui s'y mettent en 2027 découvriront que la documentation d'un système déployé depuis deux ans se reconstitue très mal a posteriori.

2. Vos clients et assureurs n'attendent pas la date légale. Les questionnaires d'appels d'offres et d'assurance cyber incluent déjà des sections IA. « Où sont traitées les données ? Quelle traçabilité ? » sont des questions posées aujourd'hui — la shadow AI non maîtrisée y répond très mal.

3. La traçabilité se construit dans l'architecture, pas dans un classeur. Pouvoir justifier chaque traitement IA suppose des logs, des périmètres d'accès, un contrôle des flux de données. C'est un choix d'infrastructure. Si vos usages IA passent par des comptes grand public dispersés, aucun document de conformité ne compensera l'absence de contrôle technique.

Le plan raisonnable d'ici fin 2026

Pas besoin d'un programme pharaonique. Quatre chantiers, dans l'ordre :

  1. Inventorier : quels outils d'IA sont utilisés, par qui, pour quoi, avec quelles données. Y compris les usages non déclarés.
  2. Classifier : lesquels de vos usages relèveraient de l'Annexe III (RH, scoring, accès à des services essentiels…) ? Ce sont eux qui devront être conformes en décembre 2027.
  3. Cadrer : une charte IA courte et outillée — six décisions valent mieux que quarante pages.
  4. Centraliser : remplacer les usages dispersés par une plateforme unique où les logs, les droits d'accès et la localisation des données sont maîtrisés par construction.

C'est précisément ce que permet Eridia : une plateforme IA déployée sur votre infrastructure ou hébergée en France, avec la traçabilité complète des usages — de quoi répondre à un auditeur, un client ou la CNIL avec des logs plutôt qu'avec des promesses.

Si vous voulez savoir où vous en êtes par rapport au calendrier réel, on fait le point ensemble : 30 minutes, gratuit.

#AI Act#Conformité#Digital Omnibus#RGPD#Réglementation

Prêt à transformer votre entreprise ?

Rejoignez les entreprises qui ont choisi Eridia pour sécuriser et optimiser leur utilisation de l'IA