EU AI Act repoussé à 2027 : ce que change le Digital Omnibus

7 mai 2026, 4h30 — le trilogue qui change le calendrier IA des ETI

Le Conseil de l'Union européenne et le Parlement européen ont conclu un accord politique provisoire à 4h30 du matin sur le Digital Omnibus on AI, le septième paquet de simplification réglementaire de la Commission depuis 2025.¹ Le texte amende l'EU AI Act adopté en juin 2024 et change, sans tout réécrire, le calendrier d'application le plus structurant pour une direction générale française.

Trois chiffres tiennent le sujet en main.

Les obligations applicables aux systèmes IA à haut risque de l'annexe III, qui devaient s'appliquer au 2 août 2026, sont repoussées au 2 décembre 2027.² L'annexe III couvre la biométrie, l'éducation, l'emploi et le management des travailleurs, l'accès aux services privés essentiels (scoring crédit, assurance santé, assurance vie), les services publics essentiels, le maintien de l'ordre, la migration et l'asile, l'administration de la justice et les processus démocratiques.³

Les obligations applicables aux systèmes haut risque de l'annexe I, qui couvrent l'IA embarquée dans des produits déjà soumis aux règlements sectoriels de sécurité (machines, jouets, dispositifs médicaux, ascenseurs, équipements radio), passent du 2 août 2027 au 2 août 2028.²

Le watermarking et l'identification des contenus générés par IA, prévus à l'article 50(2), voient leur période de grâce raccourcie de 6 mois à 3 mois, avec une nouvelle échéance fixée au 2 décembre 2026.⁴ Cette échéance est durcie, pas relâchée.

Pour le COMEX d'une ETI française qui finalisait son budget conformité IA pour le second semestre 2026, l'agenda vient de changer en une nuit.

Ce qui bouge vraiment : annexe III, registres, small mid-caps

L'accord ne supprime pas les obligations. Il les déplace et les calibre.

Annexe III, scoring et RH d'abord. Une banque qui prépare un agent IA de scoring crédit, un assureur qui développe un mailbot de qualification de sinistres vie, un industriel qui automatise le tri de candidatures gagnent 16 mois de fenêtre opérationnelle pour structurer la documentation technique, les jeux de tests d'équité et de robustesse, le journal d'audit et l'évaluation de conformité externe que demande l'EU AI Act sur ces périmètres.⁵

Annexe I et produits régulés. Un fabricant français de dispositifs médicaux ou un intégrateur de machines auto-pilotées récupère 12 mois supplémentaires pour aligner son module IA avec les règlements sectoriels (MDR, directive Machines révisée, RED). Le report n'est pas un cadeau, c'est un alignement avec le retard pris par les standards harmonisés et les organismes notifiés.²

Registres réinstallés. L'enregistrement des systèmes haut risque dans la base de données européenne est rétabli après avoir été menacé en négociation.⁶ Un assureur, une banque ou un opérateur public devra inscrire chaque système annexe III déployé — charge administrative supplémentaire, pas un soulagement.

Small mid-caps : ≤ 500 salariés. Les exemptions PME (documentation technique simplifiée notamment) sont étendues aux small mid-caps, jusqu'à 500 salariés.⁷ Le cœur du tissu ETI français bascule dans cette catégorie. Pour un Directeur Conformité, la simplification réduit de plusieurs dizaines de milliers d'euros le coût d'un dossier AI Act par cas d'usage haut risque.

AI Office centralisé. L'AI Office gagne une compétence supervisoire sur les systèmes IA construits sur un modèle d'usage général lorsque le modèle et le système viennent du même fournisseur (cas OpenAI–ChatGPT, Anthropic–Claude, Google–Gemini, Mistral–Le Chat).⁶ Pour une DSI française, cela centralise les recours, sans toucher à l'autorité CNIL sur les traitements de données. Le texte ajoute aussi à l'article 5 une interdiction explicite des systèmes IA conçus pour générer du matériel pédopornographique ou des contenus intimes non consentis, applicable à toute organisation, y compris aux PME.²

Ce qui ne bouge pas : RGPD, ACPR, HDS, GPAI

Le Digital Omnibus est ciblé. Il ne touche pas tout l'EU AI Act, et il ne touche pas le reste du droit français.

Les obligations GPAI restent en vigueur. Les règles applicables aux modèles d'usage général, entrées en application le 2 août 2025, sont conservées : transparence, documentation technique, droit d'auteur, gestion des risques systémiques pour les GPAI à risque systémique.⁶ Mistral, Claude, ChatGPT, Gemini et Copilot continuent d'opérer sous ce régime. Tout fournisseur d'agents IA construit sur ces modèles hérite de cette transparence.

Les pratiques interdites de l'article 5 s'appliquent toujours. Notation sociale, manipulation subliminale, exploitation de vulnérabilités, identification biométrique temps réel dans l'espace public hors exceptions.³ Aucun report.

Le RGPD ne bouge pas. Toute IA conversationnelle qui traite des données personnelles d'un assuré, d'un client, d'un patient ou d'un candidat reste soumise à la loi Informatique et Libertés. Le report AI Act n'est pas un report RGPD.

Les régulateurs sectoriels français ne bougent pas non plus. L'ACPR continue d'auditer la gouvernance des risques modèles dans les banques et assurances, indépendamment du calendrier européen. Le référentiel HDS reste obligatoire dès qu'un chatbot ou un mailbot manipule des données de santé. La CNIL maintient ses recommandations IA et ses fiches sectorielles. La DGCCRF veille sur l'information loyale du consommateur et la transparence sur l'usage d'IA dans la relation commerciale.

Pour une DSI française qui pilote un mailbot en assurance ou un callbot relation client, la grille du 2 décembre 2026 sur le watermarking est plus contraignante que celle de l'annexe III. Toute réponse texte de chatbot, courriel rédigé par un mailbot ou message vocal de synthèse devra porter une marque technique détectable. À 7 mois de l'échéance, beaucoup d'éditeurs n'ont pas livré leur implémentation watermark.

Ce que ça change pour une entreprise française

Le report change le calendrier des projets, pas leur nécessité.

Premier point : ne pas relâcher ACPR ou HDS. Une compagnie d'assurance du top 10 français qui pilote un agent de qualification de sinistres ne peut pas attendre 2027. L'ACPR audite la gouvernance modèle aujourd'hui. Le report européen ne couvre pas le risque prudentiel français.

Deuxième point : exploiter les 16 mois pour pré-conformer. Une banque mutualiste qui hésitait à lancer un POC scoring crédit assisté par IA peut le déployer en pilote contrôlé pendant 12 mois, mesurer les biais, ajuster les seuils, documenter les jeux de tests, et arriver le 2 décembre 2027 avec un dossier prêt. C'est la fenêtre qu'utilisent les frontier firms américaines pour creuser leur écart de profondeur d'usage.

Troisième point : sortir du périmètre haut risque par le design. Beaucoup de cas d'usage relation client n'entrent pas dans l'annexe III. Un chatbot de selfcare sur un contrat, un callbot qui qualifie un appel entrant, un mailbot qui priorise les emails et propose une réponse au gestionnaire ne sont pas, par défaut, des systèmes haut risque. Une ETI peut donc automatiser le support client écrit avec un chatbot relation client, absorber les pics d'appels avec un callbot ou prioriser les emails entrants avec un mailbot hors grille annexe III. Règle de design : laisser la décision finale au gestionnaire humain quand le sujet touche scoring, souscription, RH ou santé.

Quatrième point : le watermarking arrive plus vite que prévu. Une mutuelle qui envoie 200 000 emails de relance par mois, dont une partie rédigée par un mailbot, doit valider que sa stack supporte le watermarking technique au 2 décembre 2026. Cela conditionne le choix d'un éditeur ou d'un partenaire d'orchestration agentique cette année.

Cinquième point : SMC, simplification documentaire. Un industriel français de 350 salariés qui développe un agent IA pour la maintenance prédictive entre dans la catégorie small mid-cap. Sa documentation annexe III sera simplifiée — un dossier que l'équipe Conformité peut produire en interne, sans cabinet juridique externe à chaque cas.

Webotit.ai, acteur français de l'IA conversationnelle pour ETI régulées, conserve la même feuille de route : orchestrer des agents IA souverains avec hébergement français, journalisation auditable et conduite du changement métier. Ce que change le Digital Omnibus, c'est le rythme auquel un Comité d'investissement priorise ses cas d'usage. Avant, l'argument du 2 août 2026 forçait une course à 90 jours. Maintenant, estimer le retour sur investissement reprend la place de la première question.

Conclusion

Un calendrier qui glisse n'est pas un calendrier qui disparaît. Le Digital Omnibus libère 16 mois sur les projets IA haut risque, rétrécit la fenêtre sur le watermarking, étend la couverture small mid-cap aux ETI françaises et laisse intactes les règles françaises de protection du consommateur, des assurés, des patients et des données personnelles.

Pour une direction générale, la bonne question n'est plus "comment être prêt au 2 août 2026 ?". C'est "qu'allons-nous mettre en production pendant les 16 mois qui viennent, et avec quel niveau de souveraineté de la donnée ?".

Vous voulez cadrer un cas d'usage agent IA — relation client, back-office, support — dans la nouvelle grille européenne et française ? Découvrez nos solutions d'agents IA ou estimez le retour sur investissement d'un déploiement ciblé.

Questions frequentes

L'EU AI Act est-il vraiment repoussé pour toutes les entreprises ?+

Non. Le Digital Omnibus du 7 mai 2026 repousse uniquement les obligations applicables aux systèmes haut risque de l'annexe III (scoring, RH, biométrie, services essentiels) au 2 décembre 2027 et celles de l'annexe I au 2 août 2028. Les obligations sur les modèles d'usage général (GPAI) entrées en vigueur le 2 août 2025 et les pratiques interdites de l'article 5 restent inchangées.

Quelle est la nouvelle date limite pour le watermarking des contenus IA ?+

Le watermarking et l'identification des contenus générés par IA, prévus à l'article 50(2), ont une échéance fixée au 2 décembre 2026. La période de grâce est passée de 6 mois à 3 mois. Tout chatbot, mailbot ou callbot d'entreprise produisant des messages destinés au public doit intégrer cette identification technique.

Mon ETI française de 350 salariés est-elle concernée par les exemptions small mid-cap ?+

Oui. Le Digital Omnibus étend les exemptions PME (documentation technique simplifiée notamment) aux small mid-caps, définies comme les entreprises jusqu'à 500 salariés. Cela couvre une grande partie du tissu ETI français et réduit le coût documentaire d'un dossier AI Act sur les cas d'usage haut risque.

Le report européen change-t-il les obligations RGPD ou ACPR ?+

Non. Le RGPD, le règlement ACPR, le référentiel HDS et les recommandations CNIL ne sont pas amendés par le Digital Omnibus. Une banque, un assureur, une mutuelle, un hôpital qui déploie de l'IA conversationnelle reste soumis aux régulateurs sectoriels français au jour le jour, indépendamment du calendrier européen.

Quand l'accord du 7 mai 2026 sera-t-il définitif ?+

L'accord politique doit être formellement adopté par le Conseil et le Parlement européen, puis passer la révision juridico-linguistique avant publication au Journal officiel de l'UE. Les institutions ont annoncé leur intention d'achever cette adoption avant le 2 août 2026, date à laquelle les obligations annexe III seraient sinon entrées en vigueur sous le calendrier original.

Sources et references

1. [1]
2. [2]
3. [3]
4. [4]
5. [5]
6. [6]
7. [7]