L'AI Act a été reporté. Ce n'est pas une raison d'attendre.

AI Act — Christophe Picou — Mai 2026

Article · Décision · Calendrier réglementaire · AI Act

Le Digital Omnibus du 7 mai 2026 a reporté l'application des obligations annexe III de l'AI Act du 2 août 2026 au 2 décembre 2027. Plusieurs directions ont lu cette nouvelle comme une autorisation d'attendre. C'est une erreur de lecture. Voici ce qui s'applique déjà, ce qui s'applique au 2 août 2026, et pourquoi le report ne change rien à la nécessité de gouverner maintenant.

Ce qui s'applique depuis février 2025

L'article 5 AI Act (pratiques interdites) est applicable depuis le 2 février 2025. La notation sociale, la manipulation comportementale par des techniques subliminales, l'identification biométrique en temps réel hors exceptions strictes : ces usages sont interdits, et les sanctions peuvent atteindre 35 millions d'euros ou 7 % du chiffre d'affaires mondial. Une direction qui n'a pas vérifié son périmètre face à cet article opère dans une zone d'exposition mesurable.

L'article 4 (littératie IA) est applicable à la même date. Toute organisation déployant des systèmes IA doit prendre des mesures pour assurer un niveau suffisant de compétences chez son personnel. L'enforcement par les autorités nationales commence le 2 août 2026. Les directions qui n'ont pas démarré leur programme de formation auront six mois pour produire un dispositif crédible. Six mois est court pour former, documenter la complétion et inscrire la pratique dans la gouvernance.

Ce qui s'applique au 2 août 2026

L'article 50 sur la transparence des contenus synthétiques, les obligations générales de gouvernance, les règles de sanction. Les obligations GPAI applicables depuis août 2025 demeurent. Le RGPD croisé avec les traitements IA reste pleinement en vigueur, et la CNIL a inscrit l'IA dans ses priorités de contrôle pour 2026, comme l'indique son bilan publié en mai 2026 (83 sanctions en 2025, 486,8 millions d'euros).

Ce que le Digital Omnibus déplace

L'accord politique provisoire Conseil-Parlement du 7 mai 2026 reporte l'application des obligations annexe III (RH, crédit, santé, éducation, justice, biométrie) du 2 août 2026 au 2 décembre 2027. Il reporte aussi l'application article 6(1) annexe I (santé, transports, machines, jouets) du 2 août 2027 au 2 août 2028. Mais il ne touche pas aux articles 4, 5, 50 ni aux obligations GPAI. Il introduit une nouvelle interdiction explicite des deepfakes intimes non consentis applicable au 2 décembre 2026.

Le report annexe III est une réponse au constat que le standard CEN-CENELEC ne sera pas finalisé à temps. Il ne signifie pas que les usages haut risque sont autorisés sans préparation. Il signifie que l'enforcement attendra. Une organisation qui déploie un système RH automatisé en 2026 sans gouvernance ne sera pas sanctionnée immédiatement, mais elle construit une dette technique et juridique qui se révélera lors d'un contrôle ou d'un litige.

Pourquoi anticiper reste rationnel

Les organisations qui auront formalisé un comité IA, finalisé leur inventaire et publié leur politique IA d'ici le 2 août 2026 disposeront de la structure pour traiter le haut risque sans rupture quand l'échéance arrivera. Celles qui attendront décembre 2027 construiront dans l'urgence, avec un risque qualité élevé et un coût marginal supérieur.

Le rapport coût-bénéfice de l'anticipation est documenté. Le coût marginal d'intégrer la conformité haut risque dans une gouvernance existante est faible. Le coût de la construire ex nihilo sous contrainte de date est élevé.

DORA n'attend pas et la nLPD non plus

DORA est applicable depuis le 17 janvier 2025 pour 22 000 entités financières européennes. Les sanctions atteignent 2 % du chiffre d'affaires mondial. L'article 5 impose une implication directe de l'organe de direction dans la gouvernance des risques TIC. Une direction d'établissement financier qui reporterait sa préparation IA en s'appuyant sur le Digital Omnibus se trompe d'échéance : DORA s'applique déjà.

En Suisse, la nLPD est en vigueur depuis septembre 2023. Le PFPDT a publié à l'été 2025 des lignes directrices spécifiques sur les LLM, et l'ordonnance suisse sur les obligations de transparence pour contenus générés par IA est entrée en application en novembre 2025. Surtout, la nLPD expose la personne physique du dirigeant à d'amende, et non l'entreprise. Ce levier transforme la nature de la décision : il aligne directement l'intérêt du dirigeant avec la rigueur de la gouvernance.

Le report ne change pas la doctrine

L'enjeu n'est pas la date butoir. L'enjeu est la qualité de la gouvernance que l'organisation aura construite quand l'enforcement commencera. La doctrine VEIA est précise : gouverner la dépendance et construire la souveraineté décisionnelle se font en continu, pas à la veille d'une échéance. Le Digital Omnibus est une opportunité d'ajuster la séquence, pas un signal d'attente.