Mise en œuvre de l’EU AI Act : Point à date du 8 juillet 2026

Ce point rapide, à date du 8 juillet 2026, concerne la mise en application effective de l’EU AI Act dont l’entrée en vigueur pleine et totale avait été fixée au 2 août 2026.

Comme toute réglementation, le calendrier planifié correspond rarement au calendrier réel de mise en œuvre, en raison des nombreuses difficultés notamment de coordination entre les instances européennes, les états et les différents acteurs publics et privés concernés.

Si le 2 août 2026 reste une échéance majeure, l’idée d’une « pleine entrée en vigueur » doit être nuancée.
Le paquet Digital Omnibus a désormais décalé une partie centrale du régime des systèmes à haut risque.
NB : En jargon législatif européen, un texte “omnibus” sert à modifier plusieurs textes existants en une seule opération, au lieu de rouvrir chaque règlement séparément.

Dans le cas présent, la Commission européenne a présenté en novembre 2025 un paquet visant à rendre le “rulebook” numérique de l’UE plus agile, plus cohérent et moins coûteux à appliquer pour les entreprises.

Il s’agit du paquet Digital Omnibus.
Il comprend deux propositions principales de règlement : l’une sur les règles relatives aux données, à la cybersécurité et à la vie privée ; l’autre sur l’IA, appelée Digital Omnibus on AI.

On peut considérer le paquet Digital Omnibus on AI comme le “patch réglementaire” de l’AI Act et d’une partie du droit numérique européen. Il corrige le calendrier, réduit certaines frictions, clarifie des chevauchements, mais ne remet pas en cause l’obligation de cartographier les usages IA, de former les équipes, de documenter les systèmes et de préparer la conformité.

Pour résumer, à date du 8 juillet 2026, l’AI Act n’arrive pas “d’un bloc” le 2 août 2026 ; il est déjà partiellement applicable, et une partie importante – les systèmes d’IA à haut risque – vient d’être reportée.

Le règlement est entré en vigueur le 1er août 2024.
Les interdictions et l’obligation d’AI literacy s’appliquent depuis le 2 février 2025 ; les règles de gouvernance et les obligations relatives aux modèles d’IA à usage général s’appliquent depuis le 2 août 2025.
Le 2 août 2026 reste une échéance majeure, notamment pour l’entrée en application de la majorité des règles restantes, des règles de transparence et du démarrage effectif de l’enforcement national et européen. Mais ce n’est plus exactement la “pleine” application de tout le régime.

Le changement majeur vient du paquet Digital Omnibus on AI.
Le Parlement européen a approuvé les mesures de simplification le 16 juin 2026, puis le Conseil a donné son feu vert final le 29 juin 2026.
Le texte reporte les obligations des systèmes d’IA à haut risque :

  • au 2 décembre 2027 pour les systèmes autonomes à haut risque, par exemple emploi, éducation, infrastructures critiques, biométrie, migration ou contrôle aux frontières ;
  • au 2 août 2028 pour les systèmes intégrés dans des produits soumis à une législation sectorielle, comme certains équipements, jouets, ascenseurs ou produits industriels. Le Conseil indique que l’acte doit être publié au Journal officiel et entrer en vigueur le troisième jour suivant cette publication.

Ci-dessous, le calendrier récapitulatif, incluant les reports liés au Digital Omnibus on AI.

Depuis le 2 février 2025 :

  • Interdiction des pratiques d’IA à risque inacceptable et obligation de compétences IA / AI literacy.
  • L’enforcement par les autorités nationales démarre réellement autour du 2 août 2026.

 

Depuis le 2 août 2025 :

  • Obligations applicables aux fournisseurs de modèles d’IA à usage général, avec lignes directrices et Code of Practice GPAI.
  • Les pouvoirs de sanction de la Commission sur ces fournisseurs s’activent à partir du 2 août 2026 ; les modèles déjà mis sur le marché avant le 2 août 2025 ont jusqu’au 2 août 2027 pour se conformer.

 

Au 2 août 2026 :
Application de la majorité des règles restantes :

  • transparence des chatbots,
  • information des personnes exposées à certains systèmes,
  • obligations liées aux deepfakes et contenus IA,
  • mise en route plus concrète de la surveillance.

 

Au 2 décembre 2026 :
Nouvelle échéance spécifique issue de l’Omnibus :

  • ajustement des obligations de marquage des contenus générés par IA pour certains systèmes déjà sur le marché ;
  • entrée en vigueur du nouveau régime contre les outils de “nudification” et les contenus sexuels non consentis ou pédopornographiques générés et/ou manipulés par IA.

 

Au 2 décembre 2027 :
Nouvelle échéance pour les systèmes d’IA autonomes à haut risque, notamment dans l’emploi, l’éducation, les infrastructures critiques, la biométrie, la migration et le contrôle aux frontières.

 

Au 2 août 2028:
Nouvelle échéance pour les systèmes à haut risque intégrés dans des produits relevant d’une législation sectorielle de sécurité ou de surveillance du marché.

L’une des raisons de ces reports est très opérationnelle : les standards harmonisés ne sont pas encore pleinement disponibles.
Ces standards doivent traduire les exigences juridiques en exigences techniques vérifiables : gestion des risques, qualité des données, logs, transparence, supervision humaine, exactitude, robustesse, cybersécurité, système qualité et évaluation de conformité.
La Commission indique que les premiers standards CEN/CENELEC sont attendus en 2026, puis devront être évalués avant publication de leurs références au Journal officiel pour donner une présomption de conformité.

Sur la gouvernance, le dispositif est maintenant plus concret.
L’AI Office pilote au niveau européen, notamment pour les modèles d’IA à usage général et les modèles les plus puissants.
Les autorités nationales supervisent l’application des règles sur les systèmes d’IA, notamment les interdictions et les systèmes à haut risque.
Chaque État membre devait désigner ses autorités compétentes avant le 2 août 2025 ; la Commission indique qu’elle travaille avec les États via l’AI Board.

Pour la France, le schéma publié prévoit une coordination par la DGCCRF*, en lien avec la DGE*, avec une logique de régulation sectorielle : lorsqu’une entreprise est déjà suivie par un régulateur sectoriel, elle devrait en pratique s’adresser principalement à ce régulateur.
Le projet prévoit aussi un appui technique de l’ANSSI* et du PEReN* ; ce schéma devait être validé par le Parlement via un projet de loi.

Côté sanctions, les plafonds restent élevés :

  • jusqu’à 35 millions d’euros ou 7 % du chiffre d’affaires annuel mondial pour certaines infractions liées aux pratiques interdites ou aux exigences de données ;
  • jusqu’à 15 millions d’euros ou 3 % pour d’autres manquements ;
  • jusqu’à 7,5 millions d’euros ou 1,5 % pour fourniture d’informations incorrectes ou trompeuses aux autorités.
  • Pour les fournisseurs de modèles d’IA à usage général, la Commission peut aussi infliger des amendes jusqu’à 15 millions d’euros ou 3 % du chiffre d’affaires annuel mondial.

Opérationnellement, les organisations ne devraient donc pas “attendre 2027”.

Le bon chantier en 2026 est :

  • cartographier tous les usages IA,
  • distinguer fournisseur / déployeur / importateur / distributeur,
  • identifier les systèmes génératifs soumis à transparence,
  • mettre en place l’AI literacy, notamment au niveau des utilisateurs concernés (par exemple les équipes de test),
  • documenter les usages de GPAI,
  • préparer les preuves de conformité,
  • qualifier dès maintenant les cas potentiellement à haut risque même si l’échéance de conformité lourde est reportée.

Si le report accordé par le Digital Omnibus on AI donne du temps, il ne supprime pas le besoin d’inventaire, de gouvernance, de documentation et de maîtrise des risques.

  •  

Note :

  • DGCCRF (Direction générale de la concurrence, de la consommation et de la répression des fraudes). Elle est rattachée au Ministère de l’Économie, des Finances et de la Souveraineté industrielle et numérique.
  • DGE (Direction générale des entreprises). Elle est rattachée au Ministère chargé de l’Économie et des Finances et directement « au service du ministre chargé de l’Économie et des Finances ».
  • ANSSI (Agence nationale de la sécurité des systèmes d’information). Elle dépend du Premier ministre, via le SGDSN — Secrétariat général de la défense et de la sécurité nationale.
  • PEReN (Pôle d’expertise de la régulation numérique). Ce Service à compétence nationale est rattaché administrativement à la DGE, placé sous l’autorité conjointe des ministres chargés de l’Économie, de la Culture et du Numérique.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

processus

Une nouvelle vision pour livrer plus rapidement en prod – Ismail JAMIL

Les pratiques de tests doivent évoluer en fonction du contexte du projet, du produit, des contraintes de temps. Les standards du test préconisent : Adaptons notre stratégie en fonction du contexte en prenons en compte, l’aspect coût, qualité La principale occupation de tous les clients reste re répondre à cette question :

Lire la suite »
processus

La conception des tests

Le cycle de vie d’un test commence toujours par la conception (design) : Cette phase est différente de l’écriture et son but est tout autre. Le but de l’écriture c’est de mettre sur papier ce que l’on va tester et de s’assurer que cette exécution sera toujours la même. Mais d’écrire

Lire la suite »
Interview

Podcast Qalisty: le design de la taverne du testeur

Qalisty est un podcast dédié au métier de testeur animé et créé par Nancaidah TOURE CHAUVIN J’ai récemment eu le plaisir de contribué en tant qu’invité à cette émission pour parler de la taverne et de son design. Vous pouvez écouter sur ce lien

Lire la suite »