AI Act : ce que le report à 2027 ne suspend pas au 2 août 2026

Le 16 juin 2026, le Parlement européen a entériné le report des obligations « haut risque » de l’AI Act, du 2 août 2026 au 2 décembre 2027. Beaucoup de dirigeant·e·s en ont conclu qu’ils avaient gagné dix-huit mois. C’est faux, et le malentendu coûte cher. Plusieurs obligations tombent quand même le 2 août 2026, et les autorités françaises seront opérationnelles à cette date. Cet article décrit ce que le report change vraiment, ce qu’il ne touche pas, et les quatre arbitrages que votre board doit passer avant l’été.

Quand Karim, DSI d’un assureur mutualiste de 2 500 personnes, a lu le titre « l’AI Act repoussé à 2027 », il a rangé le dossier conformité au fond de la pile de l’après-rentrée. Trois jours plus tard, sa direction juridique lui signalait que les chatbots de la relation sociétaire et les contenus de synthèse produits par ses équipes marketing restaient, eux, soumis à une échéance au 2 août 2026. Cette scène, nos équipes Afervescence la croisent partout depuis le vote. Le report du Digital Omnibus a créé un faux sentiment de répit, et ce répit est précisément l’angle mort de gouvernance de l’été. Nous décrivons ici ce que le texte a réellement décalé, ce qui s’applique malgré tout, et comment arbitrer avant que la première mise en demeure ne le fasse pour vous.

Ce que le Digital Omnibus a vraiment reporté

Le Digital Omnibus, dont l’accord provisoire a été trouvé le 7 mai 2026 entre la Commission, le Conseil et le Parlement, ne réécrit pas l’AI Act. Il en décale une partie du calendrier. Les obligations attachées aux systèmes à haut risque de l’annexe III (ressources humaines, crédit, santé, éducation, justice, biométrie) passent du 2 août 2026 au 2 décembre 2027 pour les systèmes autonomes, et au 2 août 2028 pour l’IA embarquée dans des produits déjà régulés au titre de l’annexe I.

La raison affichée est technique : les standards harmonisés qui doivent guider la conformité ne sont pas finalisés, et le Parlement européen a estimé, dans son communiqué du 16 juin, qu’imposer des obligations sans référentiel stable exposait les entreprises à une insécurité juridique. Les cabinets juridiques qui suivent le dossier, de Gibson Dunn à Hogan Lovells, y voient un répit réel pour les opérateurs de systèmes sensibles.

Un point de vigilance demeure, et il est de taille. Au moment où nous écrivons, l’adoption formelle par le Conseil de l’Union n’est pas finalisée. Le report ne produira ses effets juridiques qu’après publication au Journal officiel, attendue avant le 2 août 2026. Tant que cette publication n’a pas eu lieu, le calendrier initial reste, en droit, la référence. Construire sa gouvernance sur une dispense non encore promulguée serait un pari, pas une stratégie.

Les obligations qui tombent quand même le 2 août 2026

Le report ne touche pas tout, loin de là. Les obligations de transparence de l’article 50 restent calées au 2 août 2026. Concrètement, tout système conçu pour interagir avec une personne (un agent conversationnel, un assistant) devra signaler qu’elle parle à une machine. Tout contenu de synthèse, texte, image, audio ou vidéo, devra être marqué comme tel, deepfakes compris. Un délai technique de grâce court jusqu’au 2 décembre 2026 pour le marquage lisible par machine, mais l’obligation d’information, elle, s’ouvre dès août.

Deuxième front : les modèles d’usage général. Les obligations des fournisseurs de modèles GPAI sont en vigueur depuis août 2025, mais les pouvoirs d’exécution de la Commission, sa capacité à sanctionner, entrent en application le 2 août 2026. Les fournisseurs dont les modèles étaient sur le marché avant août 2025 disposent jusqu’au 2 août 2027 pour se mettre en conformité, mais aucune entreprise qui intègre un modèle GPAI ne peut plus considérer ce sujet comme lointain.

Troisième front, le plus concret pour vous : les autorités nationales seront opérationnelles. En France, la CNIL, la DGCCRF et l’Arcom sont désignées pour superviser l’application. La Commission européenne a d’ailleurs publié le 8 mai un projet de lignes directrices sur l’article 50, soumis à consultation jusqu’au 3 juin. Le dispositif de contrôle n’attend pas décembre 2027.

« L’AI Act devient pleinement applicable le 2 août 2026. »

Commission européenne, portail Shaping Europe’s digital future, 2026

Le faux soulagement, et ce qu’il coûte

Le vrai risque de l’été n’est pas réglementaire, il est cognitif. Lue de travers, l’annonce du report devient une dispense générale, et la dispense générale autorise le relâchement. C’est exactement ce que redoutent les analystes de l’IAPP, qui rappellent que le décalage ne dispense de rien d’immédiat : il déplace une échéance, il n’efface pas les autres.

Hélène, déléguée à la protection des données d’un groupe de santé, a vu ce mécanisme à l’œuvre dans son propre comité. Le report voté, plusieurs directions métier ont suspendu l’inventaire des systèmes IA qu’elle avait lancé au printemps. Or c’est précisément cet inventaire, systèmes internes comme outils tiers et shadow AI compris, qui conditionne toute conformité, qu’elle soit due en août 2026 ou en décembre 2027. Reporter l’inventaire au prétexte que les obligations haut risque reculent revient à reporter les fondations parce que la livraison du toit a glissé.

Il faut aussi entendre la critique. Des voix de la société civile, relayées par TechPolicy.Press, estiment que le report laisse des systèmes à fort impact hors contrôle plus longtemps que prévu. Afervescence n’a pas à trancher ce débat politique. Notre rôle est plus simple et plus utile : vous éclairer sur ce qui s’applique, pour que votre décision soit informée plutôt que confortable.

Les quatre arbitrages à passer avant l’été

Premier arbitrage · la cartographie. Avant toute chose, votre board doit savoir combien de systèmes IA opèrent dans la maison, lesquels relèvent de l’annexe III, lesquels tombent sous l’article 50, et où se cache le shadow AI. Sans cette carte, aucune des trois autres décisions n’est possible. C’est le socle, et il ne souffre aucun report.

Deuxième arbitrage · la transparence dès août. Identifiez vos systèmes conversationnels et vos chaînes de production de contenus de synthèse, puis tranchez qui porte la mise en conformité article 50, à quelle échéance et avec quel budget. Ce chantier est court, mais il est dû dans cinq semaines.

Troisième arbitrage · le temps gagné, bien employé. Les dix-huit mois sur le haut risque ne sont une bonne nouvelle que si vous les utilisez. Les cabinets qui suivent le dossier le disent d’une même voix : ce répit sert à documenter, à classifier et à préparer, pas à attendre. Décidez maintenant ce que vous ferez de ce délai.

Quatrième arbitrage · la gouvernance permanente. Le calendrier de l’AI Act bougera encore. Plutôt que de courir après chaque échéance, installez une instance qui suit la conformité IA en continu, rattachée au board. C’est la seule réponse robuste à un cadre réglementaire en mouvement, et c’est ce que nous détaillions déjà sur ce que votre conseil d’administration doit savoir sur l’IA.

FAQ

Le report de l’AI Act à décembre 2027 me dispense-t-il de tout en 2026 ?

Non. Le Digital Omnibus, entériné par le Parlement européen le 16 juin 2026, ne décale que les obligations « haut risque » de l’annexe III, au 2 décembre 2027 pour les systèmes autonomes. Les obligations de transparence de l’article 50 et l’entrée en application des pouvoirs d’exécution sur les modèles GPAI restent calées au 2 août 2026. Attention aussi : l’adoption formelle par le Conseil n’est pas finalisée au moment d’écrire.

Quelles obligations s’appliquent dès le 2 août 2026 ?

Trois principalement. La transparence de l’article 50 : signaler qu’un système est une IA, marquer les contenus de synthèse et les deepfakes, avec un délai technique de grâce jusqu’au 2 décembre 2026 pour le marquage lisible par machine. Les pouvoirs d’exécution de la Commission sur les modèles GPAI. Et la mise en service des autorités nationales : en France, CNIL, DGCCRF et Arcom.

Mon entreprise utilise des chatbots et génère des contenus IA, suis-je concerné ?

Oui, directement. L’article 50 vise précisément les systèmes qui interagissent avec des personnes et la production de contenus de synthèse. Un agent conversationnel doit informer l’utilisateur qu’il parle à une machine, et un contenu généré doit être identifiable comme tel. Cette obligation s’ouvre au 2 août 2026, indépendamment du report sur les systèmes à haut risque.

Que faire des dix-huit mois gagnés sur les systèmes à haut risque ?

Les employer, pas les attendre. Les cabinets juridiques qui suivent le dossier convergent : ce délai sert à inventorier l’ensemble de vos systèmes IA, à les classifier par niveau de risque, à documenter ceux de l’annexe III et à installer une gouvernance pérenne. Reporter ce travail au prétexte du décalage revient à repousser les fondations parce que la livraison du toit a glissé.

Pour aller plus loin

• Commission européenne · AI Act, cadre réglementaire, 2026
• Parlement européen · Les eurodéputés soutiennent le report de certaines règles sur l’IA, juin 2026
• CNIL · L’AI Act et son entrée en application, 2026
• EU Artificial Intelligence Act · Les règles de transparence de l’article 50, 2026
• IAPP · AI Act Omnibus, what just happened and what comes next, 2026

Cet article s’inscrit dans la série Stratégie d’Afervescence. Pour relier conformité et décision, voyez notre lecture du grand écart entre stratégie IA et exécution et de la posture dirigeante face à l’IA.

Avant l’été, faites le point : demandez un diagnostic de cartographie AI Act pour savoir, système par système, ce qui s’applique à vous le 2 août 2026 et ce que vous avez le temps de préparer.

La rédaction Afervescence

La rédaction Afervescence rassemble les voix conseil de la maison fondée par Tania Gombert. Elle écrit pour les dirigeant·e·s, les directions techniques et les boards qui veulent faire croitre ce qui compte vraiment dans leur organisation, sans céder ni à la hype ni au repli. Conseil, cadrage, accompagnement : afervescence.com.