ISMS Copilot
Compliance Strategy

Le report des échéances à haut risque de l'AI Act n'est pas une trêve

L'UE a accepté de repousser les échéances à haut risque à décembre 2027 et août 2028. La raison de ce report doit changer votre lecture : il s'agit d'un avertissement concernant votre périmètre, et non d'un répit pour votre feuille de route.

par ISMS Copilot··7 min read
Le report des échéances à haut risque de l'AI Act n'est pas une trêve

Le 7 mai 2026, le Parlement européen et le Conseil sont parvenus à un accord politique sur le Digital Omnibus relatif à l'IA, le paquet qui modifie l'AI Act (Règlement (UE) 2024/1689). Le gros titre est un report. Les règles applicables aux systèmes à haut risque dans des domaines tels que la biométrie, les infrastructures critiques, l'emploi et la migration s'appliqueront désormais à partir du 2 décembre 2027, et celles concernant l'IA intégrée dans des produits réglementés comme les ascenseurs ou les jouets à partir du 2 août 2028 (Commission européenne, « L'UE convient de simplifier les règles sur l'IA », 2026-05-07). La plupart des autres dispositions du règlement devaient initialement s'appliquer à partir du 2 août 2026, les systèmes à haut risque intégrés dans des produits réglementés étant déjà soumis à un calendrier décalé au 2 août 2027 (Commission européenne, page du cadre réglementaire de l'AI Act). Ainsi, le calendrier des systèmes à haut risque autonomes a été décalé d'environ seize mois, et celui des produits intégrés a été repoussé de douze mois supplémentaires.

L'accord n'est pas encore en vigueur. Il a été conclu entre les colégislateurs, mais n'a pas encore été formellement adopté ni publié au Journal officiel. La direction est suffisamment définie pour permettre une planification, et c'est précisément là que les équipes risquent de commettre une erreur.

Cette erreur consiste à interpréter seize mois de report comme un répit. Ce n'en est pas un. Un report vous indique trois choses, et une seule d'entre elles est « vous avez plus de temps ». Les deux autres concernent ce qui a changé en même temps que l'échéance, et pourquoi cette échéance a été modifiée. Lisez ces deux aspects en premier, et la situation s'inverse.

Lisez ce qui a réellement changé, pas seulement la date

Le calendrier des systèmes à haut risque a été modifié. Les parties de l'AI Act qui s'appliquent déjà, elles, n'ont pas bougé.

Les pratiques interdites énoncées à l'article 5 s'appliquent depuis le 2 février 2025, tout comme les obligations en matière d'alphabétisation à l'IA. Les règles de gouvernance et les obligations relatives aux modèles d'IA à usage général s'appliquent depuis le 2 août 2025 (Commission européenne, page du cadre réglementaire de l'AI Act). Aucune de ces dates d'application n'a été modifiée par le Digital Omnibus. Si votre organisation utilise un modèle d'IA à usage général ou exploite un système qui frôle une pratique interdite, vos obligations sont déjà en vigueur depuis près d'un an. L'accord du 7 mai prévoit également l'ajout d'une nouvelle interdiction plutôt que la suppression de l'une d'elles : l'interdiction des systèmes d'IA utilisés pour générer des images intimes non consenties, les fameuses « applications de nudification » (Commission européenne, 2026-05-07). La tendance des règles immédiatement applicables est donc additive, et non soustractive.

Le report est donc ciblé. Il ne concerne qu'un niveau du régime, à savoir la classification des systèmes à haut risque et leurs obligations de conformité, laissant les interdictions et les obligations relatives à l'IA à usage général exactement là où elles étaient. Une équipe qui entend « l'AI Act est reporté » et qui suspend son programme global de gouvernance de l'IA a mal interprété un changement ciblé du calendrier comme une amnistie générale. C'est le premier piège.

Lisez pourquoi ce report a eu lieu, car la raison est un avertissement

L'échéance n'a pas été reportée parce que les obligations se sont avérées faciles. Elle a été décalée pour permettre aux normes techniques et outils de support des systèmes à haut risque d'être en place avant l'application des règles, ce qui n'aurait pas été le cas selon le calendrier initial (Commission européenne, 2026-05-07). Les normes harmonisées que les fournisseurs de systèmes à haut risque sont censés utiliser comme référence ne sont pas encore finalisées.

Réfléchissez à ce que cela implique pour le périmètre. On ne vous remet pas un règlement finalisé avec du temps supplémentaire pour l'appliquer. On vous accorde ce délai précisément parce que le règlement n'est pas finalisé. Le travail de classification de vos systèmes, de cartographie de leurs obligations, et de mise en place des pratiques de gestion des risques et de gouvernance des données doit désormais se faire face à une cible mouvante. C'est plus difficile que de se conformer à une norme établie, et non l'inverse. Les équipes qui traiteront le 2 décembre 2027 comme « on verra l'année prochaine » se retrouveront fin 2027 avec le même problème de périmètre non défini qu'aujourd'hui, avec moins de temps et une norme qui n'aura pas encore cessé d'évoluer.

L'interprétation honnête du report est tout le contraire d'un soulagement. Le régulateur vous indique que les détails opérationnels sont encore en cours de rédaction, et la raison pour laquelle il vous a accordé plus de temps est précisément celle pour laquelle vous devriez commencer dès maintenant les parties durables et indépendantes des normes de ce travail : un inventaire des emplacements de l'IA dans vos produits et processus, une classification défendable de chaque utilisation selon les catégories de l'annexe III, et les pratiques de gestion des risques et de gouvernance des données que toute version finale de la norme exigera. Aucune de ces étapes ne dépend de la dernière clause du règlement.

Ne confondez pas ce report avec l'autre Digital Omnibus

Il existe un second paquet législatif en cours d'examen à Bruxelles sous un nom similaire, et le confondre avec le premier est un piège en soi. Le Digital Omnibus plus large propose de simplifier le RGPD et les règles adjacentes sur les données numériques, et l'une de ses modifications proposées consisterait à restreindre la définition des données personnelles, réduisant ainsi leur champ d'application.

Ce paquet n'est pas encore adopté. Il s'agit d'une proposition contestée, et les autorités chargées de l'application du RGPD s'y opposent fermement. Dans l'Avis conjoint 2/2026 (adopté le 10 février 2026), le Comité européen de la protection des données (CEPD) et le Superviseur européen de la protection des données (SEPD) ont exhorté les colégislateurs à ne pas adopter la modification proposée de la définition des données personnelles, avertissant qu'elle entraînerait un rétrécissement significatif du concept de données personnelles (CEPD et SEPD, Avis conjoint 2/2026, adopté le 2026-02-10). Leur message était que la simplification ne devait pas réduire la protection que le RGPD est censé garantir.

La leçon pour les praticiens est de garder ces deux dossiers séparés dans votre planification. Le report des systèmes à haut risque de l'AI Act est proche d'être adopté, et vous pouvez vous fier aux nouvelles échéances. Le « RGPD simplifié » n'est qu'un projet que vos autorités de contrôle contestent, et anticiper une réduction de vos registres de traitement ou de vos analyses d'impact (PIA) sur cette base reviendrait à planifier en fonction d'une clause qui pourrait ne pas survivre. Ne vous décompliancez pas sur la base d'une proposition. Attendez le texte final.

La règle à retenir

Lorsque qu'un régulateur reporte une règle, la date est l'information la moins utile dans l'annonce. Avant de modifier votre feuille de route, lisez les deux autres faits : qu'est-ce qui n'a pas changé en même temps que l'échéance, et pourquoi cette échéance a été reportée ? Ici, les interdictions et les obligations relatives à l'IA à usage général n'ont pas bougé, et le calendrier des systèmes à haut risque a été décalé parce que la norme n'était pas finalisée. Ensemble, ces deux éléments transforment un report de seize mois, d'une raison de ralentir, en une raison de commencer les parties du travail qui n'ont jamais dépendu de l'échéance en premier lieu.

Si votre tâche à court terme consiste en ce travail ingrat mais essentiel : cartographier l'emplacement de l'IA dans votre environnement et classer chaque utilisation selon les catégories de l'annexe III et les obligations qui en découlent, c'est précisément ce travail de fond indépendant des normes qu'il faut faire maintenant. C'est le type de travail de référencement croisé que ISMS Copilot est conçu pour accélérer. L'échéance a été reportée. Pas le travail.

Articles connexes