Les gouvernements de l'UE et le Parlement européen sont parvenus à un accord provisoire sur l'Acte omnibus numérique le 7 mai 2026, reportant deux échéances de mise en œuvre à haut risque, excluant les machines du champ d'application du Règlement sur l'IA et ajoutant deux nouvelles interdictions applicables à compter du 2 décembre 2026. Voici les changements apportés, les éléments inchangés et les cinq mesures à prendre dès cette semaine.
•
•
11 minutes de lecture
Sujets
Les gouvernements de l'UE et le Parlement européen sont parvenus à un accord provisoire Digital Omnibus aux premières heures du 7 mai 2026, après neuf heures de négociations nocturnes. Trois éléments ont changé : (i) deux échéances de mise en œuvre à haut risque ont été repoussées ; (ii) l'IA intégrée dans les machines ne relève pas de la loi sur l'IA (AI Act) ; et (iii) deux nouvelles interdictions ont été ajoutées. Cet accord permet de regagner le terrain perdu lors de l'échec des trilogues le 28 avril au sujet du champ d'application relatif aux machines. Il reste provisoire dans l'attente d'une approbation formelle.
Les organisations qui développent, déploient ou utilisent l'IA doivent considérer ces nouvelles dates comme leur base de planification. Cet accord a été négocié sous la pression constante de la présidence du Conseil, avec pour couverture un discours sur la compétitivité inspiré du rapport Draghi. Il ne sera pas rouvert lors du prochain mandat.
Les modifications de fond
Ces négociations ont apporté trois modifications substantielles à la loi de l'UE sur l'IA, chacune faisant l'objet d'une discussion ci-dessous.
Calendrier de mise en œuvre
Deux échéances ont été déplacées. Les deux sont désormais fermement fixées, remplaçant la période de grâce conditionnelle antérieure de la Commission, liée à l'état de préparation des normes harmonisées.
Champ d'application | Précédemment | Désormais |
|---|---|---|
Systèmes à haut risque autonomes (Annexe III) | 2 août 2026 | 2 décembre 2027 |
IA dans les produits réglementés (Annexe I) | 2 août 2027 | 2 août 2028 |
Pour le contexte, l'Annexe III suivait la date générale d'application de la loi et l'Annexe I disposait de son propre calendrier de trois ans en vertu de l'Article 113, point c). L'Annexe III couvre l'identification biométrique, les infrastructures critiques, l'emploi, l'éducation, le maintien de l'ordre, la migration et l'administration de la justice. L'Annexe I couvre l'IA intégrée dans des produits déjà régis par la législation sectorielle de l'UE sur la sécurité (dispositifs médicaux, DIV, véhicules à moteur, aviation civile, ferroviaire). Le calendrier d'application prolongé a été convenu plus tôt dans les négociations, tandis que les dernières discussions portaient sur la manière dont la loi sur l'IA couvre les machines.
Machines
L'industrie a soutenu que l'IA intégrée dans les équipements industriels est déjà régie par le règlement sur les machines (UE) 2023/1230 et qu'une couche parallèle issue de la loi sur l'IA ferait double emploi avec l'évaluation de la conformité, sans gain proportionné. La résolution de mai accepte cet argument : l'IA intégrée dans les machines relevant du champ d'application du règlement 2023/1230 est exclue de la loi sur l'IA.
Cependant, cette exclusion est étroite. Elle ne couvre pas l'IA de gestion des travailleurs dans les usines, les composants biométriques, ni les systèmes agentiels utilisés pour faire fonctionner les machines ; ces éléments relèvent toujours de l'Annexe III selon les faits qui leur sont propres.
À titre d'exemple, prenons une IA d'inspection visuelle industrielle intégrée dans une machine portant le marquage CE. Elle relève désormais du règlement sur les machines plutôt que de la loi sur l'IA, mais les obligations l'accompagnent. Le règlement sur les machines comporte ses propres exigences essentielles de santé et de sécurité, sa procédure d'évaluation de la conformité et ses obligations en matière de documentation technique. La détection de la dérive et la conception de la surveillance humaine s'appliqueront toujours, car l'Annexe III exige des performances de sécurité tout au long du cycle de vie des machines auto-évolutives et la possibilité pour l'opérateur de passer outre les fonctions automatisées. L'IA des dispositifs médicaux sous le règlement RDM est liée mais non identique : elle reste dans l'Annexe I, la loi sur l'IA se superposant au RDM plutôt que de s'y effacer.
Deux nouvelles interdictions, toutes deux effectives au 2 décembre 2026
Le Parlement avait besoin d'ajouts concrets pour prouver que la loi n'avait pas été vidée de sa substance, et il en a obtenu deux.
Les images sexuelles générées par IA sans consentement sont interdites. Cette disposition répond à la même préoccupation politique que les récentes controverses sur les deepfakes (y compris les contenus du chatbot Grok de xAI) et aux dispositions relatives aux abus d'images intimes de la loi britannique sur la sécurité en ligne (Online Safety Act). L'emplacement précis devrait être confirmé dans le texte consolidé.
Le filigranage des contenus générés par IA devient obligatoire pour les fournisseurs. Les images, l'audio et la vidéo sont concernés ; le texte synthétique reste une question ouverte pour les actes d'exécution (voir Bird & Bird et AOShearman). La norme C2PA Content Credentials est le point de référence le plus probable, mais elle n'est pas encore confirmée. Cela va plus loin que l'obligation de marquage de l'Article 50, paragraphe 2, en prescrivant le mécanisme technique plutôt qu'en le laissant à la discrétion des fournisseurs.
Le second ajout a l'impact le plus large, et c'est un élément que la plupart des fournisseurs et déployeurs n'ont pas encore intégré dans leurs flux de travail d'ingénierie.
Ce qui n'a pas bougé avec les échéances
Le règlement Omnibus a repoussé le seuil réglementaire de seize mois d'un côté et de douze de l'autre. Il n'a rien déplacé au-delà de ce seuil, et le plafond a continué de bouger de lui-même. La souscription d'assurances, la surveillance par les conseils d'administration, la norme ISO/IEC 42001 et les attestations d'achat des clients se durcissent selon leur propre calendrier ; les questionnaires des assureurs demandent désormais systématiquement des preuves de la tenue d'inventaires et de la classification des risques. La formulation de Bojana Bellamy lors de l'épisode 15 du podcast AI Governance résume bien la situation : la conformité est le plancher, la responsabilité est tout ce qui se trouve au-dessus.
Si vous lisez cet accord uniquement comme un décalage des échéances, vous risquez de ne pas hiérarchiser correctement vos chantiers. Les obligations les plus susceptibles d'attirer l'attention des régulateurs pendant le report sont déjà en vigueur. L'Article 4 sur la maîtrise de l'IA est en tête de liste et constitue un poste budgétaire actif pour ce trimestre. Les interdictions de l'Article 5 et les obligations de transparence de l'Article 50 continuent de s'appliquer, tout comme les obligations relatives aux modèles d'IA à usage général (GPAI) en vertu du Code de bonnes pratiques. Le bureau de l'IA (AI Office) continue de développer ses compétences centrales, les désignations en vertu de l'Article 70 se mettent en place, et le déficit structurel de mise en application exposé par Sophie in 't Veld dans notre podcast de février n'est pas comblé. Les exigences de la législation sectorielle sur la sécurité dans les services financiers, les dispositifs médicaux et la sécurité fonctionnelle automobile restent inchangées.
Comme l'a souligné Bojana Bellamy : l'évolution au sein des organisations éclairées consiste à passer de la crainte d'une amende de quatre pour cent à la crainte de perdre des opportunités en ne déployant pas correctement l'IA ou en ne concevant pas des produits de confiance pour les clients.
Cinq actions à mener cette semaine
Nous présentons ci-dessous cinq mesures que vous pouvez prendre dès aujourd'hui pour vous préparer, classées par ordre d'urgence. Les deux premières protègent les travaux déjà engagés au sein de votre organisation, et les trois dernières permettent de réajuster la planification avant que les nouvelles dates ne soient définitivement fixées.
N'interrompez pas la construction de votre inventaire d'IA.
Les obligations de l'Annexe III s'appliqueront à partir de décembre 2027 au lieu d'août 2026, mais le travail de création et de tenue de votre inventaire n'est pas négligeable. Profitez de ces seize mois supplémentaires pour atteindre une visibilité complète au sein de vos entités opérationnelles, de vos systèmes agentiels et de vos déploiements d'IA fantôme (shadow AI). Les exigences des équipes d'achats, des conseils d'administration et des assureurs qui imposaient cet inventaire en 2025 n'ont pas perdu de leur importance.
Définissez le cadre d'un projet pilote de filigranage par rapport à la norme C2PA avant septembre.
Le cadre devient contraignant à partir du 2 décembre 2026 (dans sept mois) ; les spécifications techniques suivront via des actes d'exécution. Si la démarche est correctement structurée, l'ingénierie doit piloter le développement, l'équipe de gouvernance doit vérifier l'étendue des catégories de contenu générées (image, audio, vidéo, éventuellement texte) et le service juridique doit suivre les consultations.
Établissez une liste de contrôle pour le transfert des preuves entre les parcours de conformité de la loi sur l'IA et du règlement sur les machines.
Pour chaque système entrant dans le champ d'application du règlement 2023/1230, identifiez les éléments transférables (fichiers de gestion des risques, surveillance post-commercialisation, parties de la documentation technique), ceux qui nécessitent une réévaluation (référentiel de normes harmonisées, exigences essentielles de santé et de sécurité) et l'autorité compétente auprès de laquelle vous devez faire votre déclaration. Faites-en un groupe de travail conjoint avec les équipes de sécurité produit, car les lacunes se situent généralement lors de la transmission de la documentation.
Procédez à une nouvelle classification selon l'Annexe III pour tout système touchant au domaine des machines.
La logique globale de classification de l'Article 6 reste inchangée, mais le champ d'application va désormais s'élargir. Documentez la justification et les scénarios les plus susceptibles d'évoluer : les fonctionnalités d'IA au sein de machines portant le marquage CE (désormais sous le règlement sur les machines), l'IA de gestion des travailleurs sur les sites industriels (toujours sous l'Annexe III), les composants biométriques intégrés dans des équipements par ailleurs exclus (toujours sous l'Annexe III).
Rédigez l'argumentaire destiné à la direction.
Pour tenir le comité de direction informé, voici les quatre points à aborder lors d'une note de synthèse :
Les échéances de mise en application ont été repoussées. Les attentes du conseil d'administration, des clients et des assureurs restent les mêmes.
La maîtrise de l'IA (Article 4) est en vigueur et constitue la cible de contrôle la plus probable durant la période de report.
Le filigranage est désormais à la fois une obligation de conformité et un projet d'ingénierie. Le nouveau cadre s'imposera à partir de décembre 2026 et les spécifications techniques suivront par la suite. Préparez l'architecture technique dès à présent, tout en suivant les consultations en parallèle.
La norme ISO 42001, la législation sectorielle de sécurité et les attestations d'achat suivent leur propre calendrier, et le travail réalisé sur l'inventaire constitue le socle de l'ensemble de ces démarches.
Prochaines étapes à surveiller
Il reste encore quelques étapes avant que la position du Digital Omnibus ne soit définitive. Bien que cela ne doive pas retarder votre planification, le travail le plus complexe ayant été accompli sur le plan réglementaire, voici quelques dates et mises à jour à suivre de près :
Les votes d'approbation formelle du Conseil et du Parlement, attendus avant le 30 juin.
Les actes d'exécution pour le filigranage, en particulier la question de l'inclusion du texte synthétique ; le premier indicateur sera probablement une consultation publique.
Les orientations sectorielles sur l'IA dans les machines de la part de la DG GROW et des autorités nationales de surveillance des produits.
Les recommandations de pré-mise en œuvre du Bureau de l'IA, ainsi que les choix des États membres comme la France, l'Allemagne et les Pays-Bas, où les orientations nationales sont historiquement publiées en premier.
Le rôle d'Enzai
La continuité de l'inventaire est le fil conducteur opérationnel de cet accord. Les échéances ont été modifiées, mais l'obligation de tenir un inventaire est restée inchangée, et la majeure partie des exigences supérieures (surveillance du conseil d'administration, preuves pour les assureurs, ISO 42001, attestations d'achat) en dépendent. L'inventaire d'IA d'Enzai maintient le registre à jour à mesure que les systèmes naviguent entre la loi sur l'IA, le règlement sur les machines et la législation sectorielle de sécurité, et met en évidence les indicateurs de préparation au filigranage dont dépend l'action 2.
Références
Législation primaire et sources officielles
Règlement (UE) 2024/1689, la loi sur l'IA (AI Act) : https://eur-lex.europa.eu/eli/reg/2024/1689/oj
Règlement (UE) 2023/1230, le règlement sur les machines : https://eur-lex.europa.eu/eli/reg/2023/1230/oj
Commission européenne, Bureau de l'IA (AI Office) : https://digital-strategy.ec.europa.eu/en/policies/ai-office
Code de bonnes pratiques pour l'IA à usage général (GPAI) : https://digital-strategy.ec.europa.eu/en/policies/ai-code-practice
Article 4 de la loi sur l'IA (Maîtrise de l'IA) : https://artificialintelligenceact.eu/article/4/
Article 5 de la loi sur l'IA (Pratiques interdites) : https://artificialintelligenceact.eu/article/5/
Article 6 de la loi sur l'IA (Classification des systèmes à haut risque) : https://artificialintelligenceact.eu/article/6/
Article 50 de la loi sur l'IA (Transparence) : https://artificialintelligenceact.eu/article/50/
Annexe I de la loi sur l'IA (Produits réglementés) : https://artificialintelligenceact.eu/annex/1/
Annexe III de la loi sur l'IA (Catégories à haut risque) : https://artificialintelligenceact.eu/annex/3/
Normes
ISO/IEC 42001:2023, Systèmes de management de l'IA : https://www.iso.org/standard/42001
C2PA Content Credentials : https://c2pa.org/
Actualités et analyses
Reuters / Free Malaysia Today, "EU countries, lawmakers clinch provisional deal on watered-down AI rules", 7 mai 2026 : https://www.freemalaysiatoday.com/category/world/2026/05/07/eu-countries-lawmakers-clinch-provisional-deal-on-watered-down-ai-rules
IAPP, "AI Act Omnibus: What just happened and what comes next?" : https://iapp.org/news/a/ai-act-omnibus-what-just-happened-and-what-comes-next
Cyprus Mail, "EU lawmakers back softer AI Act after pressure from industry", 7 mai 2026 : https://cyprus-mail.com/2026/05/07/eu-lawmakers-back-softer-ai-act-after-pressure-from-industry
Bird & Bird, "Digital Omnibus on AI Trilogue Stalls Ahead of the AI Act Deadline" : https://www.twobirds.com/en/insights/2026/germany/digital-omnibus-on-ai-trilogue-stalls-ahead-of-the-ai-act-deadline
AOShearman, "Digital Omnibus on AI: what is really on the table as trilogues begin" : https://www.aoshearman.com/en/insights/digital-omnibus-on-ai-what-is-really-on-the-table-as-trilogues-begin
Contexte
Mario Draghi, L'avenir de la compétitivité européenne, septembre 2024 : https://commission.europa.eu/topics/eu-competitiveness/draghi-report_en
Loi britannique sur la sécurité en ligne (UK Online Safety Act) : https://www.gov.uk/government/collections/online-safety-act
AI Governance Podcast EP15, Compliance vs. Accountability with Bojana Bellamy : https://www.enz.ai/ai-governance-podcast-compliance-vs-accountability-with-bojana-bellamy
AI Governance Podcast EP14, Sophie in 't Veld : https://www.enz.ai/ai-governance-podcast-fundamental-rights-and-digital-law-with-sophie-in-t-veld
Donnez à votre organisation les moyens d'adopter, de gérer et de surveiller l'IA avec une confiance de niveau entreprise. Conçu pour les organisations réglementées opérant à grande échelle.