EU AI Act : ce qui change après le vote Omnibus

ParÉlise Marchetti

Le Parlement européen a adopté le 17 juin 2026 le paquet de simplification « Digital Omnibus », redessinant profondément le calendrier de conformité au règlement européen sur l’IA pour les deux prochaines années. Le texte a été approuvé en séance plénière par 412 voix contre 189, avec 34 abstentions, dans la foulée d’un accord politique conclu le 7 mai. Le Conseil devrait entériner le texte dans les quinze jours, en vue d’une publication au Journal officiel avant la fin du mois de juin.

La modification la plus significative concerne les systèmes d’IA à haut risque de l’Annexe III. Les outils RH et de recrutement — dont les logiciels de tri de CV et d’évaluation des performances — bénéficient désormais d’un report d’échéance au 2 décembre 2027, contre le 2 août 2026 initialement prévu. Cette extension s’applique également aux modèles de scoring de crédit et d’assurance, aux systèmes de gestion d’infrastructures critiques, aux plateformes d’éducation et de formation professionnelle, aux systèmes biométriques à usage policier, ainsi qu’aux applications de gestion des frontières. L’interdiction totale de la surveillance biométrique de masse en temps réel dans les espaces publics, elle, demeure intacte.

Les systèmes de l’Annexe I — l’IA intégrée à des produits réglementés tels que les dispositifs médicaux, les machines industrielles ou les véhicules — bénéficient d’un report distinct, leur échéance passant du 2 août 2027 au 2 août 2028. Les petites structures tirent un avantage supplémentaire de ce dispositif : les entreprises de moins de 250 salariés obtiennent un délai de grâce additionnel de six mois au-delà de toutes les échéances repoussées, une disposition conçue pour préserver les start-up technologiques européennes d’un désavantage concurrentiel.

Les fournisseurs d’IA à usage général ne bénéficient d’aucun allègement. Les opérateurs de modèles fondamentaux dont les cycles d’entraînement dépassent 10²⁵ FLOPs restent soumis à leurs obligations initiales, et les règles relatives aux risques systémiques, entrées en vigueur en août 2025, demeurent pleinement applicables. Le Code de bonne pratique pour l’IA à usage général est désormais dans sa version définitive et contraignante.

Malgré ces reports généralisés, la date du 2 août 2026 conserve une portée juridique réelle. Les obligations de transparence prévues à l’article 50 imposent à tous les systèmes d’IA en interaction avec des humains de révéler leur nature artificielle dès cette date. Le filigrane des contenus générés par IA fait l’objet d’un délai supplémentaire de trois mois, fixé au 2 décembre 2026, mais toutes les autres exigences de transparence entrent en vigueur comme prévu. Le Bureau de l’IA, opérationnel depuis février 2026, est pleinement actif et dispose du pouvoir d’infliger des amendes pouvant atteindre 35 millions d’euros ou 7 % du chiffre d’affaires annuel mondial aux fournisseurs en infraction.

La Commission a réagi sans délai : le 18 juin, elle a publié de nouvelles lignes directrices portant sur les pratiques interdites et les exigences de transparence pour l’IA à usage général. Un guichet d’aide aux PME devient opérationnel le 1er juillet, et le programme de bacs à sable réglementaires — prévu à l’article 57 — s’étend à l’ensemble des 27 États membres d’ici août 2026. L’Irlande, siège européen de la plupart des grands groupes technologiques, recrute pour sa part 80 inspecteurs supplémentaires spécialisés dans l’IA.

Les réactions industrielles ont suivi des lignes de fracture prévisibles. DigitalEurope a salué ces reports comme indispensables à la sécurité juridique et à la compétitivité, tandis qu’EuroCloud Europe a plaidé pour disposer du temps nécessaire afin d’accompagner ses clients vers la conformité à grande échelle. Le secteur de l’assurance a particulièrement approuvé le report relatif au scoring de crédit. AccessNow a formulé un jugement nettement plus sévère, qualifiant d’inacceptables ces nouveaux délais pour des systèmes à haut risque, alors que des préjudices liés à l’IA sont déjà documentés à travers l’Union.

Les amendements du paquet Omnibus soulagent les équipes de conformité à court terme, mais ne modifient en rien l’architecture fondamentale du règlement. Les usages interdits — notation sociale, manipulation subliminale et surveillance biométrique en temps réel — sont en vigueur depuis février 2025 et ne font l’objet d’aucune révision. Les organisations qui avaient traité les échéances initiales comme des horizons lointains disposent aujourd’hui de davantage de temps, mais la trajectoire est fixée : Bruxelles n’accordera pas de troisième extension.

Publications similaires