Le 7 mai 2026, à 4h30 du matin, les négociateurs européens se sont mis d’accord sur une révision majeure de l’AI Act. Sous l’étiquette « simplification », l’Omnibus repousse les obligations pour les systèmes IA à haut risque, interdit les applications de nudification, et redéfinit les rapports de force entre Bruxelles et les industries. Décryptage d’un accord qui change le calendrier — mais pas les exigences fondamentales.
Pourquoi l’Europe a décidé de réécrire son propre texte
L’AI Act a été adopté en mars 2024. Moins de deux ans plus tard, la Commission européenne proposait déjà de le modifier. Ce n’est pas anodin. Un texte réglementaire aussi ambitieux, révisé avant même son entrée en application complète, dit quelque chose sur la tension structurelle qui traverse la politique numérique européenne.
Le déclencheur a un nom : le rapport Draghi. En septembre 2024, l’ancien président de la BCE a remis à Ursula von der Leyen un diagnostic de 400 pages sur la compétitivité européenne. Le verdict est brutal : l’écart de productivité avec les États-Unis s’explique largement par le secteur technologique. Sur les 50 plus grandes entreprises tech mondiales, quatre seulement sont européennes. Entre 2017 et 2023, 70 % des modèles d’IA fondamentaux ont été développés outre-Atlantique. L’Europe, conclut Draghi, ne peut pas « rester bloquée dans les technologies intermédiaires du siècle dernier ».
La recommandation est claire : simplifier le cadre réglementaire pour libérer l’innovation. Le rapport cite explicitement l’AI Act comme un texte ambitieux mais « complexe à naviguer pour les entreprises ». Estimant le besoin d’investissement annuel à 750-800 milliards d’euros, Draghi plaide pour une coordination qui passe aussi par un allègement des charges administratives.
C’est dans ce sillage que la Commission a lancé, à partir de février 2025, dix paquets législatifs « Omnibus » couvrant la durabilité, l’agriculture, la défense, le numérique et d’autres secteurs. L’Omnibus VII, publié le 19 novembre 2025, cible spécifiquement l’AI Act. Son objectif affiché : simplifier la mise en œuvre, donner du temps aux entreprises, et maintenir la compétitivité européenne sans renier les protections fondamentales.
Mais la simplification réglementaire, comme le résumait le juriste britannique Jony Ive (dans un tout autre contexte), « est l’une des choses les plus difficiles à faire ». Et les six mois de négociation qui ont suivi l’ont amplement démontré.
Six mois de négociation : la chronologie complète
Pour comprendre l’accord du 7 mai, il faut retracer le parcours politique qui y a conduit. Ce n’est pas un détail procédural — c’est ce qui révèle les rapports de force réels.
19 novembre 2025 — La Commission européenne publie l’Omnibus VII, incluant la proposition de révision de l’AI Act. Le cœur du texte : un report des obligations pour les systèmes IA à haut risque, conditionné à la disponibilité des normes harmonisées. La Commission propose aussi d’étendre certaines exemptions PME aux ETI (small mid-caps), de réduire quelques exigences, et de renforcer les pouvoirs du Bureau de l’IA (AI Office).
13 mars 2026 — Le Conseil de l’UE adopte son mandat de négociation. Les États membres s’alignent sur le report des deadlines, mais les discussions s’enveniment sur un point précis : le traitement de l’IA embarquée dans des produits déjà réglementés (dispositifs médicaux, machines industrielles, jouets connectés). L’Allemagne pousse pour les exempter du périmètre de l’AI Act. Les pays plus prudents résistent.
26 mars 2026 — Le Parlement européen vote son mandat. Les eurodéputés ajoutent une exigence absente de la proposition initiale de la Commission : l’interdiction des applications de nudification par IA. Le Parlement propose aussi de raccourcir le délai de grâce pour le watermarking du contenu généré par IA.
28 avril 2026 — Deuxième trilogue. Après 12 heures de négociation ininterrompue, les discussions échouent. Le point de blocage : la question de l’IA industrielle. Le Parlement (poussé par la droite et le lobbying industriel) veut exempter les produits couverts par le Règlement Machines. Le Conseil refuse de démanteler le cadre horizontal de l’AI Act. La conférence de presse prévue le lendemain est annulée. Un troisième trilogue est programmé pour le 13 mai.
7 mai 2026, 4h30 du matin — Contre toute attente, les négociateurs trouvent un compromis lors d’une session supplémentaire entre les deux dates prévues. L’accord politique est annoncé dans la matinée. Les deux co-rapporteurs, Arba Kokalari (PPE, Suède) et Michael McNamara (Renew, Irlande), tiennent une conférence de presse à 11h.
À retenir
L’accord du 7 mai est un accord politique provisoire. Il doit encore être formellement adopté par le Parlement et le Conseil, puis passer la révision juridico-linguistique avant publication au Journal Officiel. Les colégislateurs visent une adoption avant le 2 août 2026 — date à laquelle les obligations haut risque originales entreraient en vigueur si rien n’est fait.
Le nouveau calendrier : qui est concerné, et quand
C’est le cœur de l’Omnibus. Le calendrier d’application de l’AI Act est profondément réorganisé. Je synthétise ici les dates clés, telles qu’elles ressortent de l’accord provisoire.
Ce qui ne change pas
Les pratiques interdites (article 5 de l’AI Act) restent en vigueur depuis le 2 février 2025 : scoring social, surveillance biométrique en temps réel dans l’espace public, manipulation subliminale, exploitation des personnes vulnérables. L’Omnibus ne touche pas à ces interdictions — il en ajoute une (les nudifiers, voir section 4).
L’obligation de littératie IA (article 4) reste applicable. Les obligations de transparence pour les modèles d’IA à usage général (GPAI) sont en vigueur depuis août 2025. La gouvernance institutionnelle (Bureau de l’IA, comité, forum consultatif) est déjà opérationnelle.
Ce qui est reporté
Systèmes IA à haut risque « autonomes » (Annexe III) — ce sont les systèmes utilisés en biométrie, infrastructures critiques, éducation, emploi, accès aux services publics, migration, police et justice. La date d’application passe du 2 août 2026 au 2 décembre 2027. C’est un report de 16 mois.
Systèmes IA embarqués dans des produits réglementés (Annexe I) — dispositifs médicaux, machines, jouets, ascenseurs, embarcations. La date passe du 2 août 2027 au 2 août 2028. Report de 12 mois.
Watermarking du contenu IA (article 50§2) — l’obligation de marquer le contenu synthétique (audio, image, vidéo, texte) comme étant généré par IA reste théoriquement applicable au 2 août 2026, mais un délai de transition est accordé aux fournisseurs dont les systèmes sont déjà sur le marché : ils devront se conformer au 2 décembre 2026. C’est plus tôt que la proposition initiale de la Commission (février 2027), reflet de la pression du Parlement pour un délai serré.
Sandboxes réglementaires — les États membres avaient jusqu’au 2 août 2026 pour créer au moins un bac à sable réglementaire IA. Ce délai est repoussé au 2 août 2027.
En clair
Si vous utilisez l’IA pour le recrutement, l’évaluation de performance, la gestion des tâches, la surveillance des employés ou les décisions de promotion : votre deadline de conformité n’est plus août 2026, mais décembre 2027. Si vous intégrez de l’IA dans un dispositif médical ou une machine industrielle : vous avez jusqu’en août 2028.
L’interdiction des nudifiers : le vrai signal politique
L’accord Omnibus ne se limite pas à des reports de calendrier. Il ajoute une nouvelle interdiction à l’article 5 de l’AI Act : les systèmes d’IA utilisés pour générer des images intimes non consenties (NCII — non-consensual intimate imagery) et du matériel d’abus sexuel sur mineurs (CSAM).
Cette interdiction n’était pas dans la proposition initiale de la Commission. Elle a émergé pendant les négociations, portée par le Parlement européen, après un événement déclencheur très concret : en janvier 2026, le modèle d’IA Grok (intégré au réseau social X d’Elon Musk) a généré des millions d’images de nudification à partir de photos de personnes réelles, déclenchant une vague d’indignation en Europe et au-delà.
La co-rapporteure Arba Kokalari l’a dit sans ambiguïté en conférence de presse : « Nous n’avons pas de liste d’applications de nudification, mais nous savons tous ce que Grok et X ont fait il y a quelques mois, et nous voulons envoyer le message que tout cela est interdit en Europe. »
L’interdiction couvre trois configurations : la mise sur le marché d’un système IA conçu pour générer ce type de contenu, la mise sur le marché sans mesures de sécurité raisonnables pour empêcher cette génération, et l’utilisation délibérée d’un système IA à cette fin. Les entreprises ont jusqu’au 2 décembre 2026 pour se mettre en conformité.
Au-delà du sujet spécifique, cette interdiction révèle un mécanisme politique important. Comme le note l’analyste Laura Caroli, l’aile gauche du Parlement (minoritaire dans la législature actuelle) a concentré son capital politique sur l’obtention de cette interdiction, en cédant du terrain à la droite sur les priorités industrielles. C’est un arbitrage classique à Bruxelles : quand un véhicule législatif passe, chaque camp y accroche ses priorités.
IA industrielle : le compromis qui a failli tout faire échouer
Le trilogue du 28 avril a échoué après 12 heures de négociation. Le responsable : la question de l’IA embarquée dans les produits industriels.
Le problème est simple à formuler, complexe à résoudre. L’AI Act classe en haut risque les systèmes IA intégrés dans des produits déjà couverts par des réglementations sectorielles européennes — le Règlement Machines, la directive sur les dispositifs médicaux, celle sur les jouets, les ascenseurs, les équipements marins. Ces produits doivent donc se conformer à la fois à leur réglementation sectorielle et aux exigences supplémentaires de l’AI Act.
L’industrie (et notamment l’Allemagne, sous l’impulsion du chancelier Merz) plaidait pour exempter ces produits du périmètre de l’AI Act, arguant que la double conformité crée des coûts disproportionnés et une insécurité juridique. Le rapporteur McNamara reconnaissait la logique de la démarche, tout en prévenant que « router la gouvernance IA par la législation sectorielle pourrait finir par être dérégulateur plutôt que simplificateur ». Plus de 40 organisations de la société civile ont exprimé la même inquiétude.
Le compromis du 7 mai repose sur deux couches. D’une part, la définition de « composant de sécurité » est resserrée : un produit doté de fonctions IA qui se contentent d’assister l’utilisateur ou d’optimiser la performance ne sera pas automatiquement classé haut risque. Ce qui compte, c’est de savoir si une défaillance ou un dysfonctionnement crée un risque pour la santé ou la sécurité. D’autre part, un mécanisme « d’équivalence » est créé pour les produits couverts par le Règlement Machines : si les exigences sectorielles couvrent déjà les risques IA, un alignement est possible sans double conformité intégrale.
Les organisations industrielles ont salué le compromis. Les associations du secteur des technologies, de l’électronique et des dispositifs médicaux l’ont jugé insuffisant, regrettant que l’accord n’aille pas plus loin dans l’exemption. De son côté, le BEUC (Bureau européen des unions de consommateurs) a alerté sur le fait que ces assouplissements construisent un environnement numérique « moins sûr ».
Simplification ou redistribution de la complexité ?
Le narratif officiel de l’Omnibus est limpide : simplification. La réalité juridique l’est beaucoup moins.
Le texte reporte des deadlines, mais n’allège pas les exigences fondamentales. La conformité attendue pour les systèmes IA à haut risque — documentation technique, gestion des risques, qualité des données, supervision humaine, transparence, traçabilité — reste inchangée. Ce qui est reporté, c’est la date à laquelle ces exigences deviennent contraignantes. Ce qui est ajouté (nudifiers, CSAM, nouveau test causal pour les composants de sécurité, base juridique élargie pour le traitement de données sensibles dans la détection des biais, redéfinition des pouvoirs du Bureau de l’IA), c’est de la complexité supplémentaire.
Comme le formule un juriste spécialisé : « La complexité globale du système ne diminue pas — elle se redistribue. La « simplification » est donc une étiquette politique qui exige, du point de vue juridique, d’être désagrégée en ses effets spécifiques. »
Il y a aussi un risque opérationnel que beaucoup sous-estiment. Tant que l’Omnibus n’est pas formellement adopté par les deux colégislateurs et publié au Journal Officiel, l’AI Act dans sa version originale reste en vigueur. Les obligations haut risque avec une date d’application au 2 août 2026 sont juridiquement valides à ce jour. La prudence professionnelle impose de construire son programme de conformité sur le régime actuel, en traitant tout report futur comme un bénéfice potentiel et non comme une hypothèse de planification.
Autre enjeu souvent ignoré : l’Omnibus ne touche qu’à l’AI Act. Mais la Commission a ouvert un chantier parallèle — le « digital fitness check » — qui examine l’impact cumulé de l’ensemble des réglementations numériques européennes (RGPD, DSA, DMA, Data Act, AI Act). Le RGPD lui-même pourrait faire l’objet d’un Omnibus dédié. Si cette vague de simplification se poursuit, les entreprises devront intégrer un suivi réglementaire continu dans leur gouvernance IA — pas un exercice ponctuel de mise en conformité.
PME et ETI : ce qui change concrètement pour vous
L’Omnibus élargit certaines exemptions qui étaient réservées aux PME à une nouvelle catégorie : les small mid-caps (SMC), c’est-à-dire les entreprises comptant jusqu’à 500 employés. En pratique, cela signifie des exigences de documentation technique simplifiées et un régime de sanctions modulé.
C’est une avancée, mais elle ne couvre pas l’essentiel. Si votre entreprise utilise un système IA classé haut risque (par exemple pour le recrutement, l’évaluation de performance ou l’allocation de tâches), les obligations fondamentales — gestion des risques, qualité des données, supervision humaine, transparence — s’appliqueront intégralement, même en tant que PME ou ETI. Le report au 2 décembre 2027 donne du temps. Il ne donne pas de passe-droit.
Et il y a un point que les dirigeants de PME sous-estiment systématiquement : même si vous n’êtes pas « fournisseur » d’un système IA (vous ne le développez pas, vous l’achetez), vous êtes très probablement déployeur (deployer). Et les obligations de l’article 26 de l’AI Act s’appliquent aux déployeurs. Vous devez garantir la supervision humaine, vérifier que le système est utilisé conformément aux instructions du fournisseur, surveiller le fonctionnement du système, et signaler tout incident grave. Ce n’est pas le fournisseur qui portera la responsabilité si vous utilisez un outil IA de recrutement de manière non conforme — c’est vous.
Ce qui change pour les PME/ETI (résumé)
Extension des exemptions PME aux entreprises de moins de 500 salariés (small mid-caps). Documentation technique allégée. Régime de sanctions modulé. Mais les obligations fondamentales pour les systèmes haut risque restent intégrales. Et les obligations de déployeur (article 26) s’appliquent à toutes les entreprises, quelle que soit leur taille.
Les cinq actions à lancer maintenant
Le report des deadlines est une occasion. Voici comment en tirer parti concrètement, sans tomber dans le piège de l’attentisme.
1. Cartographiez vos systèmes IA. Avant de savoir si vous êtes concerné par les obligations haut risque, vous devez savoir ce que vous utilisez. Recensez tous les outils IA déployés dans votre organisation — y compris le shadow AI, ces usages non contrôlés qui prolifèrent dans les équipes. C’est le socle indispensable de tout programme de gouvernance.
2. Classifiez le niveau de risque. Pour chaque système identifié, déterminez s’il entre dans le périmètre de l’Annexe III (haut risque « autonome ») ou de l’Annexe I (composant de sécurité dans un produit réglementé). Les critères de classification ne changent pas avec l’Omnibus — seule la date d’application bouge.
3. Vérifiez vos obligations de déployeur. Si vous achetez et utilisez un système IA (même fourni par un tiers), vous êtes déployeur au sens de l’AI Act. L’article 26 vous impose des obligations spécifiques. Ne partez pas du principe que c’est le problème du fournisseur.
4. Préparez votre documentation. Le report à décembre 2027 ne signifie pas que vous avez 18 mois pour commencer à y penser. Les normes harmonisées (en cours de finalisation par le CEN et le CENELEC) définiront les standards techniques de conformité. Commencez maintenant à structurer votre documentation technique, votre système de gestion des risques et vos processus de supervision humaine.
5. Intégrez le watermarking. Si vous fournissez un système d’IA générative déjà sur le marché, la date butoir pour le watermarking est le 2 décembre 2026. C’est dans six mois. Ce n’est pas reporté indéfiniment — c’est l’échéance la plus proche.
Le report des deadlines est une fenêtre d’opportunité — pas un prétexte pour attendre. L’AI Risk & Governance Scan d’Inovapolis est un diagnostic de 90 minutes qui cartographie vos systèmes IA, identifie vos obligations réglementaires et vous donne une feuille de route concrète de mise en conformité.
