[{"@context":"https:\/\/schema.org\/","@type":"BlogPosting","@id":"https:\/\/mdp-data.com\/digital-omnibus-ai-act-report-obligations-2027\/#BlogPosting","mainEntityOfPage":"https:\/\/mdp-data.com\/digital-omnibus-ai-act-report-obligations-2027\/","headline":"Digital Omnibus AI Act : le report des obligations ne signifie pas qu’on peut attendre","name":"Digital Omnibus AI Act : le report des obligations ne signifie pas qu’on peut attendre","description":"L'accord provisoire Digital Omnibus du 7 mai 2026 reporte les obligations AI Act pour les syst\u00e8mes \u00e0 haut risque Annexe III au 2 d\u00e9cembre 2027. Le calendrier change, pas les obligations. Inventaire, documentation technique, FRIA, gouvernance humaine : voici pourquoi une organisation qui n'a pas commenc\u00e9 en juin 2026 ne sera pas pr\u00eate \u00e0 temps.","datePublished":"2026-06-03","dateModified":"2026-06-03","author":{"@type":"Person","@id":"https:\/\/mdp-data.com\/author\/mdpdata\/#Person","name":"Christophe SAINT-PIERRE","url":"https:\/\/mdp-data.com\/author\/mdpdata\/","identifier":5,"image":{"@type":"ImageObject","@id":"https:\/\/secure.gravatar.com\/avatar\/dda2b7fb6ebd7d829cda1b55f29137a792e548278c72cf22d119baca5d18707f?s=96&d=mm&r=g","url":"https:\/\/secure.gravatar.com\/avatar\/dda2b7fb6ebd7d829cda1b55f29137a792e548278c72cf22d119baca5d18707f?s=96&d=mm&r=g","height":96,"width":96}},"publisher":{"@type":"Organization","name":"MDP DATA PROTECTION","logo":{"@type":"ImageObject","@id":"https:\/\/mdp-data.com\/wp-content\/uploads\/2025\/12\/2025-MDP-Logo.webp","url":"https:\/\/mdp-data.com\/wp-content\/uploads\/2025\/12\/2025-MDP-Logo.webp","width":600,"height":60}},"image":{"@type":"ImageObject","@id":"https:\/\/mdp-data.com\/wp-content\/uploads\/2026\/05\/digital_omnibus_ai_act_conformite_ia_haut_risque.jpg","url":"https:\/\/mdp-data.com\/wp-content\/uploads\/2026\/05\/digital_omnibus_ai_act_conformite_ia_haut_risque.jpg","height":1080,"width":1920},"url":"https:\/\/mdp-data.com\/digital-omnibus-ai-act-report-obligations-2027\/","about":["AI ACT"],"wordCount":1714,"keywords":["AI Act","CNIL","Conformit\u00e9 AI Act","Digital Omnibus","DPO"],"articleBody":"Le 7 mai 2026, le Parlement europ\u00e9en et le Conseil sont parvenus \u00e0 un accord provisoire sur le Digital Omnibus AI Act. Pour les organisations concern\u00e9es, le principal impact est un report des d\u00e9lais pour les syst\u00e8mes IA \u00e0 haut risque. Ce report ne change pas les obligations : il change la fen\u00eatre pour les mettre en \u0153uvre. Voici ce qui a chang\u00e9 concr\u00e8tement et pourquoi il serait dangereux d’attendre.SommaireToggleDigital Omnibus AI Act : ce que l’accord du 7 mai 2026 change concr\u00e8tementQui est concern\u00e9 par les syst\u00e8mes IA \u00e0 haut risque (Annexe III) ?Pourquoi le report Digital Omnibus ne change pas ce qu’il faut faireLe calendrier recommand\u00e9 pour la conformit\u00e9 AI Act 2026-2027FAQ – Digital Omnibus AI Act et syst\u00e8mes IA \u00e0 haut risqueEn r\u00e9sum\u00e9SourcesPour aller plus loinLes solutions MDP Data ProtectionNotre M\u00e9thode : le Continuous Compliance Operating System – CCOS\u00c0 propos de l’auteurDigital Omnibus AI Act : ce que l’accord du 7 mai 2026 change concr\u00e8tementL’accord provisoire du 7 mai 2026 introduit deux modifications majeures sur le calendrier d’application de l’AI Act pour les syst\u00e8mes IA \u00e0 haut risque (R\u00e8glement UE 2024\/1689) : Pour approfondir ce sujet, consultez notre article sur les exigences de conformit\u00e9 pour l'IA.Syst\u00e8mes IA \u00e0 haut risque de l’Annexe III (syst\u00e8mes autonomes : biom\u00e9trie, \u00e9ducation, emploi, services essentiels, justice\u2026) : d\u00e9lai report\u00e9 du 2 ao\u00fbt 2026 au 2 d\u00e9cembre 2027.Syst\u00e8mes IA int\u00e9gr\u00e9s dans des produits r\u00e9glement\u00e9s, Annexe I (dispositifs m\u00e9dicaux, \u00e9quipements de s\u00e9curit\u00e9, v\u00e9hicules) : d\u00e9lai report\u00e9 au 2 ao\u00fbt 2028.L’adoption formelle de l’accord est attendue avant le 2 ao\u00fbt 2026. \u00c0 noter : l’accord provisoire raccourcit un autre d\u00e9lai : celui du marquage des contenus g\u00e9n\u00e9r\u00e9s par l’IA, qui passe du 2 f\u00e9vrier 2027 au 2 d\u00e9cembre 2026. Un point \u00e0 surveiller pour les organisations qui produisent ou diffusent des contenus IA.Le Digital Omnibus touche \u00e9galement certains points du RGPD, la directive ePrivacy et le Data Act. Ces r\u00e9visions sont encore en cours de trilogue et m\u00e9ritent une veille sp\u00e9cifique.\ud83d\udc49 Pour approfondir : Digital Omnibus : les premiers retours d’experts sur la r\u00e9forme num\u00e9rique europ\u00e9enneQui est concern\u00e9 par les syst\u00e8mes IA \u00e0 haut risque (Annexe III) ?L’Annexe III liste huit cat\u00e9gories de syst\u00e8mes IA \u00e0 haut risque autonomes. Pour les entreprises du secteur priv\u00e9, les trois plus fr\u00e9quemment impact\u00e9es sont :Les syst\u00e8mes RH utilisant l’IA pour le recrutement, l’\u00e9valuation ou la gestion des travailleurs (cat\u00e9gorie 4).Les syst\u00e8mes de cr\u00e9dit, d’assurance ou d’acc\u00e8s au logement bas\u00e9s sur des mod\u00e8les algorithmiques (cat\u00e9gorie 5).Les syst\u00e8mes de biom\u00e9trie utilis\u00e9s pour le contr\u00f4le d’acc\u00e8s physique ou num\u00e9rique (cat\u00e9gorie 1).La classification n’est pas toujours \u00e9vidente. Un syst\u00e8me RH qui pr\u00e9s\u00e9lectionne des CV via IA rel\u00e8ve-t-il de l’Annexe III ? Cela d\u00e9pend de sa configuration, de son p\u00e9rim\u00e8tre et de l’usage concret qui en est fait. La r\u00e9ponse demande une analyse juridique et technique combin\u00e9e.\ud83d\udc49 Pour approfondir : Digital Omnibus : convergence et conformit\u00e9 europ\u00e9ennePourquoi le report Digital Omnibus ne change pas ce qu’il faut faireLes d\u00e9lais ont chang\u00e9. Les obligations, elles, n’ont pas \u00e9volu\u00e9 : classification des syst\u00e8mes IA, documentation technique, analyse d’impact sur les droits fondamentaux (FRIA), gestion des risques, exigences de transparence, supervision humaine effective.Ces obligations prennent du temps \u00e0 mettre en place. Une organisation qui n’a pas commenc\u00e9 son inventaire en juin 2026 ne sera pas pr\u00eate pour d\u00e9cembre 2027. Trois raisons concr\u00e8tes :L’inventaire prend 2 \u00e0 4 moisIdentifier tous les syst\u00e8mes IA utilis\u00e9s, les qualifier et documenter leurs cas d’usage est un travail de fond. Les syst\u00e8mes des sous-traitants doivent aussi \u00eatre couverts.La documentation technique est exigeanteL’AI Act requiert une documentation d\u00e9taill\u00e9e sur les donn\u00e9es d’entra\u00eenement, les m\u00e9thodes de test, les biais identifi\u00e9s et les mesures correctives. Pour les syst\u00e8mes achet\u00e9s aupr\u00e8s d’un fournisseur, cette documentation doit \u00eatre obtenue contractuellement.La gouvernance humaine doit \u00eatre op\u00e9rationnelleLe r\u00e8glement exige que les syst\u00e8mes \u00e0 haut risque soient d\u00e9ploy\u00e9s avec des m\u00e9canismes de supervision humaine effectifs. Mettre en place ces m\u00e9canismes dans les processus existants prend du temps.Le calendrier recommand\u00e9 pour la conformit\u00e9 AI Act 2026-2027Juin – septembre 2026 : inventaire des syst\u00e8mes IA et pr\u00e9-classification.Octobre – d\u00e9cembre 2026 : analyse des syst\u00e8mes potentiellement \u00e0 haut risque, FRIA pour les syst\u00e8mes confirm\u00e9s.Premier semestre 2027 : documentation technique, mise en place de la gouvernance humaine, v\u00e9rification des contrats fournisseurs.2 d\u00e9cembre 2027 : conformit\u00e9 obligatoire pour les syst\u00e8mes Annexe III.Ce calendrier ne laisse pas de marge pour des d\u00e9marrages apr\u00e8s septembre 2026.MDP Data Protection accompagne les DPO et DSI dans la mise en conformit\u00e9 AI Act, de l’inventaire \u00e0 la documentation technique. Contactez-nous pour un premier cadrage !FAQ – Digital Omnibus AI Act et syst\u00e8mes IA \u00e0 haut risqueQu’est-ce que le Digital Omnibus AI Act et qu’a-t-il chang\u00e9 ?Le Digital Omnibus on AI est un paquet d’amendements cibl\u00e9s au r\u00e8glement europ\u00e9en sur l’IA (AI Act). L’accord provisoire du 7 mai 2026 a report\u00e9 les obligations pour les syst\u00e8mes IA \u00e0 haut risque de l’Annexe III du 2 ao\u00fbt 2026 au 2 d\u00e9cembre 2027, et ceux de l’Annexe I au 2 ao\u00fbt 2028. Il ne modifie pas le fond des obligations ni les r\u00e8gles d\u00e9j\u00e0 en vigueur (pratiques interdites depuis f\u00e9vrier 2025, obligations GPAI depuis ao\u00fbt 2025). Mon organisation utilise un outil RH bas\u00e9 sur l’IA : est-elle concern\u00e9e par l’Annexe III ?Potentiellement oui. L’Annexe III classe comme syst\u00e8mes \u00e0 haut risque les outils IA utilis\u00e9s pour le recrutement, la s\u00e9lection, la promotion, la r\u00e9siliation de contrats, l’allocation des t\u00e2ches et la surveillance des performances. Mais la classification d\u00e9pend de la configuration de l’outil, de son p\u00e9rim\u00e8tre et de l’usage concret. Une analyse juridique et technique est n\u00e9cessaire pour qualifier le syst\u00e8me. Les obligations AI Act d\u00e9j\u00e0 en vigueur sont-elles suspendues par le report ?Non. Seules les obligations sp\u00e9cifiques aux syst\u00e8mes \u00e0 haut risque (documentation technique, \u00e9valuation de conformit\u00e9, enregistrement) sont report\u00e9es. L’interdiction des pratiques IA inacceptables (art. 5) est en vigueur depuis f\u00e9vrier 2025. Les obligations pour les mod\u00e8les IA \u00e0 usage g\u00e9n\u00e9ral (GPAI) sont applicables depuis ao\u00fbt 2025. Le marquage des contenus g\u00e9n\u00e9r\u00e9s par IA est d\u00e9sormais attendu pour le 2 d\u00e9cembre 2026. Pourquoi commencer la mise en conformit\u00e9 AI Act maintenant si la deadline est d\u00e9cembre 2027 ?Parce que les \u00e9tapes de conformit\u00e9 prennent du temps : l’inventaire et la qualification des syst\u00e8mes IA prennent 2 \u00e0 4 mois, la documentation technique est exigeante (donn\u00e9es d’entra\u00eenement, m\u00e9thodes de test, biais), et la mise en place de m\u00e9canismes de supervision humaine dans les processus existants ne se fait pas en quelques semaines. Une organisation qui d\u00e9marre apr\u00e8s septembre 2026 aura du mal \u00e0 \u00eatre pr\u00eate pour d\u00e9cembre 2027. Qu’est-ce qu’une FRIA et quand est-elle obligatoire ?La FRIA (Fundamental Rights Impact Assessment) est une analyse d’impact sur les droits fondamentaux, obligatoire pour certains d\u00e9ployeurs de syst\u00e8mes IA \u00e0 haut risque au sens de l’AI Act, notamment les organismes publics et les op\u00e9rateurs d’infrastructures critiques. Elle \u00e9value les risques que le syst\u00e8me IA fait peser sur les droits fondamentaux des personnes concern\u00e9es (discrimination, vie priv\u00e9e, acc\u00e8s \u00e0 des services essentiels\u2026) et doit \u00eatre r\u00e9alis\u00e9e avant le d\u00e9ploiement.\ud83d\udd0e Vous avez une question plus g\u00e9n\u00e9rale sur la conformit\u00e9 RGPD ou la cybers\u00e9curit\u00e9 ? Consultez notre FAQ g\u00e9n\u00e9rale.En r\u00e9sum\u00e9Le Digital Omnibus AI Act reporte les obligations pour les syst\u00e8mes IA \u00e0 haut risque de l’Annexe III au 2 d\u00e9cembre 2027 et ceux de l’Annexe I au 2 ao\u00fbt 2028. Ce report ne suspend pas les obligations d\u00e9j\u00e0 en vigueur ni ne modifie le fond des exigences : classification, documentation technique, FRIA, supervision humaine. Les organisations qui n’ont pas commenc\u00e9 leur inventaire d’ici septembre 2026 ne seront pas pr\u00eates \u00e0 temps. Le calendrier recommand\u00e9 s’\u00e9tale sur 18 mois, le report n’est pas une raison d’attendre, c’est une opportunit\u00e9 de se mettre en ordre de marche.Sources EUR-Lex – R\u00e8glement (UE) 2024\/1689 sur l’intelligence artificielle (AI Act)CNIL – Les fiches pratiques IAPour aller plus loinCNIL -  Nouvelle \u00e9dition : Guide 2024 de la s\u00e9curit\u00e9 des donn\u00e9es personnellesMDP Data Protection - Logiciel RGPD : comment choisir la solution id\u00e9ale pour votre entrepriseLes solutions MDP Data ProtectionMDP Data Protection et sa technologie IA accompagne les organisations dans la mise en conformit\u00e9 multi-r\u00e9glementaire (RGPD, NIS2 et IA Act...), avec une approche op\u00e9rationnelle et \u00e9volutive.SimplyRGPD : Pilotage de votre conformit\u00e9 au quotidien.MDP CAMPUS : Notre parcours de sensibilisation en vid\u00e9os p\u00e9dagogiques de 3 \u00e0 7 minutes.MDP Diagnostic : Diagnostic instantan\u00e9 de votre niveau de conformit\u00e9.Notre M\u00e9thode : le Continuous Compliance Operating System - CCOSEt si votre conformit\u00e9 vivait en continu, au lieu d'\u00eatre un livrable de plus ?D\u00e9couvrir la m\u00e9thode CCOS\u00c0 propos de l’auteur Christophe SAINT-PIERRE  \u2013 Fort de plus de 20 ans d\u2019exp\u00e9rience, Christophe accompagne les organisations dans leur mise en conformit\u00e9 r\u00e9glementaire (RGPD, NIS2, AI Act) en combinant expertise juridique, vision strat\u00e9gique et approche op\u00e9rationnelle. Au sein de MDP Data Protection, il pilote une d\u00e9marche ax\u00e9e sur l\u2019excellence, l\u2019innovation et la valorisation r\u00e9glementaire. Son objectif : transformer les contraintes l\u00e9gales en opportunit\u00e9s business pour ses clients."},{"@context":"https:\/\/schema.org\/","@type":"BreadcrumbList","itemListElement":[{"@type":"ListItem","position":1,"name":"Digital Omnibus AI Act : le report des obligations ne signifie pas qu’on peut attendre","item":"https:\/\/mdp-data.com\/digital-omnibus-ai-act-report-obligations-2027\/#breadcrumbitem"}]}]