Réinitialisation de la loi IA de l’UE : le trilogue se conclut dans les premières heures du 7 mai, reporte l’annexe III à décembre 2027, interdit les applications de nudification et resserre le filigrane à une période de grâce de trois mois

Dans les premières heures de mercredi 7 mai 2026, après plusieurs mois de négociation et un premier trilogue qui s’est effondré le 28 avril, le Parlement européen et le Conseil ont atteint un accord provisoire sur l’Omnibus numérique sur l’IA — le réajustement le plus important du règlement phare de l’UE en matière d’intelligence artificielle depuis l’entrée en force du Règlement 2024/1689 le 1er août 2024. L’accord, encadré par le communiqué de presse de la Commission européenne comme « l’UE convient de simplifier les règles relatives à l’IA pour stimuler l’innovation et interdire les applications de « nudification » pour protéger les citoyens », reporte la majorité des obligations à haut risque de seize mois et refonde fondamentalement les délais opérationnels que des milliers d’équipes de conformité planifiaient.

Les nouvelles dates : 2 décembre 2027 et 2 août 2028

Selon le calendrier original de la loi IA, les obligations sur les systèmes d’IA à haut risque en annexe III — couvrant l’emploi, l’éducation, le crédit, la biométrie, les infrastructures critiques, l’application de la loi, la justice et la migration — auraient dû s’appliquer à partir du 2 août 2026. L’accord du 7 mai repousse cela au 2 décembre 2027. L’IA intégrée dans les produits annexe I réglementés — dispositifs médicaux, machines, jouets, ascenseurs, navires — est reportée au 2 août 2028. La réalité politique, comme l’ont résumée les spécialistes de la régulation bruxelloise Timelex, est que « le cadre de soutien — normes harmonisées, organismes notifiés désignés, documents d’orientation, procédures d’évaluation de la conformité — ne sera pas prêt à cette date ». L’horloge a été reculée, mais elle n’a pas été arrêtée.

Le délai de filigrane : 2 décembre 2026

L’accord s’assortit du délai opérationnel le plus immédiat pour les fournisseurs d’IA générative. La période de grâce pour les obligations de transparence de l’article 50(2) — exigeant le marquage et la divulgation du contenu synthétique généré par l’IA — a été comprimée de six à trois mois. Les capacités de filigrane et d’étiquetage prêtes à la production sont désormais requises à partir du 2 décembre 2026. Cette date est importante car, contrairement au régime haut risque reporté, le filigrane est techniquement opérationnel aujourd’hui et ne nécessite pas d’organismes notifiés ni de normes harmonisées. Les équipes de conformité des principaux fournisseurs de modèles de base — y compris les signataires du Code de pratique GPAI — disposent d’environ sept mois pour livrer. Le deuxième projet du Code de pratique de la Commission sur le marquage et l’étiquetage du contenu généré par l’IA a été publié le 5 mars 2026 et reste le point de référence opérationnel.

L’interdiction de nudification : une nouvelle interdiction à l’article 5

L’accord introduit une nouvelle interdiction en vertu de l’article 5 ciblant les systèmes d’IA qui génèrent du matériel d’abus sexuel d’enfants (MASC) ou qui représentent les parties intimes d’une personne identifiable sans consentement — populairement connus sous le nom d’applications « nudification » ou « deepfake déshabillage ». Les entreprises ont jusqu’au 2 décembre 2026 pour mettre leurs systèmes en conformité. Fait important, l’interdiction cible non seulement le déploiement intentionnel mais aussi l’incapacité des fournisseurs d’outils d’IA générative plus généraux à mettre en place des garanties raisonnables contre ce type d’utilisation abusive. En termes opérationnels, les fournisseurs de modèles d’image, vidéo et audio générative doivent réexaminer le filtrage des données d’entraînement, les classificateurs d’invite et de résultat, ainsi que la modération de contenu au stade de la production.

L’obligation d’enregistrement qui a survécu

La couverture médiatique de l’accord a mis en avant les nouvelles dates et l’interdiction de nudification. La disposition opérationnellement importante se situe plus bas dans le communiqué de presse : l’obligation d’enregistrement en vertu de l’article 6(3) a survécu intacte. La proposition initiale de la Commission aurait supprimé l’obligation d’enregistrer, dans la base de données de l’UE, les systèmes d’IA opérant dans des contextes de l’annexe III que les fournisseurs s’auto-évaluent comme ne répondant pas au seuil haut risque. Le Conseil et le Parlement ont tous deux rejeté la suppression. L’accord du 7 mai réintègre l’enregistrement avec un contenu de la section B de l’annexe VIII rationalisé. Comme l’a résumé le cabinet de conseil en gouvernance de l’IA basé à Bruxelles Modulos : « Cela convertit l’auto-évaluation d’une note de service interne privée en un artefact public. Chaque fournisseur affirmant que son IA en matière de ressources humaines, d’éducation, de crédit, de services essentiels, de biométrie ou adjacent à l’application de la loi ne répond pas au seuil haut risque devra déposer cette position dans une base de données de l’UE et s’en tenir responsable »

Le compromis sur les machines annexe I

La disposition la plus contestée dans les négociations — l’architecture d’évaluation de la conformité pour l’IA intégrée dans les produits annexe I — a été réglée par ce que les observateurs ont appelé un « compromis qui sauve les apparences ». Les produits de machines IA devront respecter les règles de sécurité sectorielles plutôt que la loi IA et les règles sectorielles en parallèle, sous réserve de garanties garantissant un niveau équivalent de santé et de sécurité. L’effort plus large du Parlement pour transférer en gros les produits de la section A vers la piste sectorielle a été rejeté en faveur d’une exemption plus étroite pour le Règlement sur les machines et d’un mécanisme d’acte d’exécution au cas par cas pour le reste. L’architecture de la loi IA, y compris l’applicabilité directe dans la majorité de l’annexe I, est préservée.

Ce que cela signifie pour les équipes de conformité

L’accord nécessite toujours une adoption formelle par les deux institutions, qui ont indiqué leur intention de le faire avant le 2 août 2026, la date à laquelle la majorité des obligations haut risque seraient autrement applicables. Jusqu’à ce que le Règlement convenu soit formellement adopté et publié au Journal officiel, les délais originaux restent légalement en vigueur. En pratique, toutefois, les actions d’application contre les organisations se préparant aux nouvelles dates semblent peu probables si le processus d’adoption formelle glisse au-delà du 2 août. Les équipes de conformité qui avaient couru contre le délai d’août 2026 disposent désormais d’une piste d’accès plus longue pour accomplir la documentation de l’article 11, l’enregistrement de l’article 12 et les mécanismes de surveillance de l’article 14 — mais les obligations sous-jacentes n’ont pas été assouplies. Comme l’a dit un conseiller réglementaire bruxellois : « Deux séries consécutives de reports termineraient l’effet de levier de Bruxelles. Les institutions ont tenu le cap sur l’architecture. Tenir le cap sur les dates est la conséquence naturelle »

Le livrable phare de la présidence chypriote

La présidence chypriote, qui tient la présidence tournante du Conseil de l’UE jusqu’au 30 juin, a encadré l’Omnibus sur l’IA comme un livrable phare — le premier selon la feuille de route « Une Europe, un marché » convenue par les trois institutions plus tôt ce printemps. La prochaine étape institutionnelle est le vote formel en plénière, attendu en juin 2026, avant que le dossier ne passe à la publication. La présidence est transmise à la Lituanie le 1er juillet. Pour l’instant, la communauté réglementaire bruxelloise a ses cibles opérationnelles : 2 décembre 2026 pour le filigrane et l’interdiction de nudification, 2 décembre 2027 pour l’annexe III autonome, et 2 août 2028 pour l’IA dans les produits de l’annexe I.