Logo MDP Data Protection avec clé rouge sur fond transparent

Bureaux

425 rue Jean Rostand 31670 Labège

Nous écrire

ask@mdp-data.com

Nous appeler

+33 5 61 60 16 67

Demander une démo

Digital Omnibus AI Act : le report des obligations ne signifie pas qu’on peut attendre

par | Juin 3, 2026 | AI ACT

Illustration du Digital Omnibus AI Act présentant le report des échéances pour les systèmes IA à haut risque et les obligations de conformité européennes.

Le 7 mai 2026, le Parlement européen et le Conseil sont parvenus à un accord provisoire sur le Digital Omnibus AI Act. Pour les organisations concernées, le principal impact est un report des délais pour les systèmes IA à haut risque. Ce report ne change pas les obligations : il change la fenêtre pour les mettre en œuvre. Voici ce qui a changé concrètement et pourquoi il serait dangereux d’attendre.

Digital Omnibus AI Act : ce que l’accord du 7 mai 2026 change concrètement

L’accord provisoire du 7 mai 2026 introduit deux modifications majeures sur le calendrier d’application de l’AI Act pour les systèmes IA à haut risque (Règlement UE 2024/1689) : Pour approfondir ce sujet, consultez notre article sur les exigences de conformité pour l'IA.

  • Systèmes IA à haut risque de l’Annexe III (systèmes autonomes : biométrie, éducation, emploi, services essentiels, justice…) : délai reporté du 2 août 2026 au 2 décembre 2027.
  • Systèmes IA intégrés dans des produits réglementés, Annexe I (dispositifs médicaux, équipements de sécurité, véhicules) : délai reporté au 2 août 2028.

L’adoption formelle de l’accord est attendue avant le 2 août 2026.

À noter : l’accord provisoire raccourcit un autre délai : celui du marquage des contenus générés par l’IA, qui passe du 2 février 2027 au 2 décembre 2026. Un point à surveiller pour les organisations qui produisent ou diffusent des contenus IA.

Le Digital Omnibus touche également certains points du RGPD, la directive ePrivacy et le Data Act. Ces révisions sont encore en cours de trilogue et méritent une veille spécifique.

👉 Pour approfondir : Digital Omnibus : les premiers retours d’experts sur la réforme numérique européenne

Qui est concerné par les systèmes IA à haut risque (Annexe III) ?

L’Annexe III liste huit catégories de systèmes IA à haut risque autonomes. Pour les entreprises du secteur privé, les trois plus fréquemment impactées sont :

  • Les systèmes RH utilisant l’IA pour le recrutement, l’évaluation ou la gestion des travailleurs (catégorie 4).
  • Les systèmes de crédit, d’assurance ou d’accès au logement basés sur des modèles algorithmiques (catégorie 5).
  • Les systèmes de biométrie utilisés pour le contrôle d’accès physique ou numérique (catégorie 1).

La classification n’est pas toujours évidente. Un système RH qui présélectionne des CV via IA relève-t-il de l’Annexe III ? Cela dépend de sa configuration, de son périmètre et de l’usage concret qui en est fait. La réponse demande une analyse juridique et technique combinée.

👉 Pour approfondir : Digital Omnibus : convergence et conformité européenne

Pourquoi le report Digital Omnibus ne change pas ce qu’il faut faire

Les délais ont changé. Les obligations, elles, n’ont pas évolué : classification des systèmes IA, documentation technique, analyse d’impact sur les droits fondamentaux (FRIA), gestion des risques, exigences de transparence, supervision humaine effective.

Ces obligations prennent du temps à mettre en place. Une organisation qui n’a pas commencé son inventaire en juin 2026 ne sera pas prête pour décembre 2027. Trois raisons concrètes :

L’inventaire prend 2 à 4 mois

Identifier tous les systèmes IA utilisés, les qualifier et documenter leurs cas d’usage est un travail de fond. Les systèmes des sous-traitants doivent aussi être couverts.

La documentation technique est exigeante

L’AI Act requiert une documentation détaillée sur les données d’entraînement, les méthodes de test, les biais identifiés et les mesures correctives. Pour les systèmes achetés auprès d’un fournisseur, cette documentation doit être obtenue contractuellement.

La gouvernance humaine doit être opérationnelle

Le règlement exige que les systèmes à haut risque soient déployés avec des mécanismes de supervision humaine effectifs. Mettre en place ces mécanismes dans les processus existants prend du temps.

Le calendrier recommandé pour la conformité AI Act 2026-2027

  • Juin – septembre 2026 : inventaire des systèmes IA et pré-classification.
  • Octobre – décembre 2026 : analyse des systèmes potentiellement à haut risque, FRIA pour les systèmes confirmés.
  • Premier semestre 2027 : documentation technique, mise en place de la gouvernance humaine, vérification des contrats fournisseurs.
  • 2 décembre 2027 : conformité obligatoire pour les systèmes Annexe III.

Ce calendrier ne laisse pas de marge pour des démarrages après septembre 2026.

MDP Data Protection accompagne les DPO et DSI dans la mise en conformité AI Act, de l’inventaire à la documentation technique. Contactez-nous pour un premier cadrage !

FAQ – Digital Omnibus AI Act et systèmes IA à haut risque

Qu’est-ce que le Digital Omnibus AI Act et qu’a-t-il changé ?

Le Digital Omnibus on AI est un paquet d’amendements ciblés au règlement européen sur l’IA (AI Act). L’accord provisoire du 7 mai 2026 a reporté les obligations pour les systèmes IA à haut risque de l’Annexe III du 2 août 2026 au 2 décembre 2027, et ceux de l’Annexe I au 2 août 2028. Il ne modifie pas le fond des obligations ni les règles déjà en vigueur (pratiques interdites depuis février 2025, obligations GPAI depuis août 2025).

 

Mon organisation utilise un outil RH basé sur l’IA : est-elle concernée par l’Annexe III ?

Potentiellement oui. L’Annexe III classe comme systèmes à haut risque les outils IA utilisés pour le recrutement, la sélection, la promotion, la résiliation de contrats, l’allocation des tâches et la surveillance des performances. Mais la classification dépend de la configuration de l’outil, de son périmètre et de l’usage concret. Une analyse juridique et technique est nécessaire pour qualifier le système.

 

Les obligations AI Act déjà en vigueur sont-elles suspendues par le report ?

Non. Seules les obligations spécifiques aux systèmes à haut risque (documentation technique, évaluation de conformité, enregistrement) sont reportées. L’interdiction des pratiques IA inacceptables (art. 5) est en vigueur depuis février 2025. Les obligations pour les modèles IA à usage général (GPAI) sont applicables depuis août 2025. Le marquage des contenus générés par IA est désormais attendu pour le 2 décembre 2026.

 

Pourquoi commencer la mise en conformité AI Act maintenant si la deadline est décembre 2027 ?

Parce que les étapes de conformité prennent du temps : l’inventaire et la qualification des systèmes IA prennent 2 à 4 mois, la documentation technique est exigeante (données d’entraînement, méthodes de test, biais), et la mise en place de mécanismes de supervision humaine dans les processus existants ne se fait pas en quelques semaines. Une organisation qui démarre après septembre 2026 aura du mal à être prête pour décembre 2027.

 

Qu’est-ce qu’une FRIA et quand est-elle obligatoire ?

La FRIA (Fundamental Rights Impact Assessment) est une analyse d’impact sur les droits fondamentaux, obligatoire pour certains déployeurs de systèmes IA à haut risque au sens de l’AI Act, notamment les organismes publics et les opérateurs d’infrastructures critiques. Elle évalue les risques que le système IA fait peser sur les droits fondamentaux des personnes concernées (discrimination, vie privée, accès à des services essentiels…) et doit être réalisée avant le déploiement.

🔎 Vous avez une question plus générale sur la conformité RGPD ou la cybersécurité ? Consultez notre FAQ générale.

En résumé

Le Digital Omnibus AI Act reporte les obligations pour les systèmes IA à haut risque de l’Annexe III au 2 décembre 2027 et ceux de l’Annexe I au 2 août 2028. Ce report ne suspend pas les obligations déjà en vigueur ni ne modifie le fond des exigences : classification, documentation technique, FRIA, supervision humaine. Les organisations qui n’ont pas commencé leur inventaire d’ici septembre 2026 ne seront pas prêtes à temps. Le calendrier recommandé s’étale sur 18 mois, le report n’est pas une raison d’attendre, c’est une opportunité de se mettre en ordre de marche.

Sources

Pour aller plus loin

Les solutions MDP Data Protection

MDP Data Protection et sa technologie IA accompagne les organisations dans la mise en conformité multi-réglementaire (RGPD, NIS2 et IA Act...), avec une approche opérationnelle et évolutive.

  • SimplyRGPD : Pilotage de votre conformité au quotidien.
  • MDP CAMPUS : Notre parcours de sensibilisation en vidéos pédagogiques de 3 à 7 minutes.
  • MDP Diagnostic : Diagnostic instantané de votre niveau de conformité.

Notre Méthode : le Continuous Compliance Operating System - CCOS

Et si votre conformité vivait en continu, au lieu d'être un livrable de plus ?

À propos de l’auteur

Christophe SAINT-PIERRE  – Fort de plus de 20 ans d’expérience, Christophe accompagne les organisations dans leur mise en conformité réglementaire (RGPD, NIS2, AI Act) en combinant expertise juridique, vision stratégique et approche opérationnelle. Au sein de MDP Data Protection, il pilote une démarche axée sur l’excellence, l’innovation et la valorisation réglementaire. Son objectif : transformer les contraintes légales en opportunités business pour ses clients.