Le calendrier post-Digital Omnibus du 7 mai 2026 : annexe III reportée à décembre 2027, mais les articles 4, 5, 50 et GPAI demeurent. DORA s'applique depuis janvier 2025. La nLPD expose la personne physique du dirigeant à . Lecture précise et séquence opératoire.
Le règlement UE 2024/1689 est entré en vigueur le 1er août 2024. Trois dates structurent l'application. Depuis le 2 février 2025, l'article 5 sur les pratiques interdites (notation sociale, manipulation comportementale, identification biométrique en temps réel sauf exceptions) et l'article 4 sur la littératie IA sont applicables. Depuis le 2 août 2025, les obligations pesant sur les modèles GPAI s'appliquent : transparence sur les données d'entraînement, respect du droit d'auteur, évaluation des risques systémiques pour les modèles à risque (GPT, Claude, Mistral, Gemini). Au 2 août 2026, entrent en application l'article 50 sur la transparence des contenus synthétiques, les obligations générales de gouvernance, et les règles d'application des sanctions.
Accord politique provisoire Conseil-Parlement du 7 mai 2026, après échec du trilogue du 28 avril. Sous réserve d'adoption formelle avant le 2 août 2026, le calendrier est modifié : obligations annexe III (RH, crédit, santé, éducation, justice, biométrie) reportées du 2 août 2026 au 2 décembre 2027. Obligations article 6(1) annexe I (santé, transports, machines, jouets) reportées du 2 août 2027 au 2 août 2028. Article 50(2) sur le marquage des contenus synthétiques déjà sur le marché reporté du 2 août 2026 au 2 décembre 2026. Nouvelle interdiction explicite des deepfakes intimes non consentis applicable au 2 décembre 2026.
Source : Inside Privacy, Covington & Burling, mai 2026.
L'avertissement opératoire est précis : le report ne concerne qu'une fraction du périmètre. Les articles 4 (littératie), 5 (pratiques interdites), 50 (transparence), les obligations GPAI et le RGPD croisé restent applicables au 2 août 2026. Une direction qui interprète le Digital Omnibus comme une autorisation d'attendre commet une erreur de lecture coûteuse.
L'article 4 AI Act est applicable depuis le 2 février 2025. Il oblige fournisseurs et déployeurs à prendre des mesures pour assurer un niveau suffisant de compétences en IA chez leur personnel et les personnes opérant des systèmes IA en leur nom. La supervision et l'enforcement par les autorités nationales commencent le 2 août 2026, selon la FAQ publiée par la Commission européenne en juin 2025. Les sanctions passent par les législations nationales adoptées par les États membres avant le 2 août 2025.
Le Digital Omnibus propose de transformer l'obligation en mécanisme d'encouragement par les États pour le grand public, mais l'obligation pour les déployeurs de systèmes haut risque de former leur personnel à la supervision humaine demeure dans tous les scénarios.
L'annexe III liste huit domaines à haut risque : biométrie, infrastructures critiques, éducation, emploi, services essentiels, justice et police, processus démocratiques, plus les systèmes intégrés à des produits réglementés en annexe I. L'échéance, désormais fixée au 2 décembre 2027 après Digital Omnibus, conduit certaines directions à reporter leur préparation.
Le report ne change rien à la rationalité d'anticiper. Le standard CEN-CENELEC n'est pas disponible avant fin 2026 ou 2027. Les organisations qui auront formalisé un comité IA, finalisé leur inventaire et publié leur politique IA d'ici le 2 août 2026 (autres obligations applicables) auront déjà la structure pour traiter le haut risque sans rupture. Celles qui attendront décembre 2027 construiront dans l'urgence.
Le règlement UE 2022/2554 est applicable depuis le 17 janvier 2025 pour environ 22 000 entités financières européennes. Cinq piliers structurent les obligations. La gouvernance et la gestion des risques TIC, avec implication directe de l'organe de direction (article 5). La gestion des incidents, avec notification ANSSI ou autorité compétente sous 4 heures pour les incidents majeurs. Les tests de résilience opérationnelle numérique (TLPT) tous les 3 ans, dont le coût est estimé entre 200 000 et 500 000 euros pour un établissement intermédiaire. La gestion des risques tiers, qui impose un registre exhaustif des prestataires TIC. Le partage d'informations.
En France, l'ACPR (banques, assurances) et l'AMF (marchés) sont autorités compétentes. Le règlement délégué 2025/532 du 2 juillet 2025 précise 12 critères contractuels obligatoires. Les sanctions peuvent atteindre 2 % du chiffre d'affaires mondial pour les entités financières, 1 % du chiffre d'affaires journalier mondial pour les prestataires TIC critiques. La désignation des prestataires TIC critiques (CTPP) a été publiée par les ESA le 18 novembre 2025.
L'impact concret sur DG et DAF est tangible : implication directe de l'organe de direction dans la gouvernance cyber (article 5 DORA), formation obligatoire, responsabilité personnelle en cas de manquement, registre exhaustif des prestataires TIC à jour, clauses contractuelles renforcées avec les hyperscalers.
La nLPD est en vigueur depuis le 1er septembre 2023. Quatre différences avec le RGPD structurent l'analyse pour une entreprise suisse. La notification au PFPDT s'effectue "dans les meilleurs délais" sans seuil 72 heures strict. Les sanctions pécuniaires sont qui visent désormais la personne physique responsable, et non l'entreprise (différence majeure). Les transferts internationaux sont plus souples, avec "garanties appropriées" sans approbation préalable du PFPDT. La base juridique d'intérêt légitime est admise sans consentement explicite dans certains cas.
Le PFPDT, dans sa communication réactualisée en 2025, rappelle que la nLPD est rédigée de manière technologiquement neutre et s'applique donc directement aux traitements IA. L'AIPD est obligatoire pour les traitements à risque élevé au titre de l'article 22 nLPD. À l'été 2025, le PFPDT a publié des lignes directrices spécifiques sur les LLM. En novembre 2025, l'ordonnance suisse sur les obligations de transparence pour contenus générés par IA est entrée en application. Le Conseil fédéral devrait mettre en consultation des propositions de cadre IA suisse fin 2026, dans une logique de compatibilité partielle avec l'AI Act.
L'approche conformité dispersée produit des coûts sans bénéfice stratégique. L'approche gouvernance utilise l'échéance pour installer un dispositif pilotable et réutilisable : inventaire centralisé, classification par niveau de risque, suivi documenté en production, tableau de bord pour le COMEX. Les entreprises qui sortiront gagnantes sont celles qui auront construit une gouvernance IA pilotable avec inventaire à jour et procédure de revue trimestrielle, pas celles qui attendront la date limite.
Ce que le DG doit avoir en place six mois avant une échéance : inventaire actualisé mensuellement, classification AI Act validée par le DPO et le juridique, charte d'usage IA signée par les managers, programme de littératie IA avec preuves de complétion, comité IA transverse opérationnel, procédure d'escalade des incidents documentée, cartographie des fournisseurs avec clauses à jour, revue COMEX ou board datée.
VEIA produit une feuille de route à 18 mois adaptée à chaque échéance pertinente pour l'organisation (AI Act, DORA, nLPD), le tableau de bord d'avancement par jalon, la note de cadrage à signature DG, la séquence de décision COMEX, et la position de tiers indépendant face aux éditeurs et intégrateurs lors des arbitrages techniques. Aucun partenariat commercial ne biaise les recommandations sur les choix d'architecture ou de fournisseurs.
Voir le format, sa durée, son livrable et ses conditions de mise en œuvre.
Séance de cadrage - identifier le format adapté à votre contexte.
VEIA.AI est le cabinet de conseil stratégique indépendant fondé par Christophe Picou. Spécialisation : gouvernance IA des dirigeants - COMEX, conseils d'administration, dirigeants institutionnels. Aucun partenariat commercial avec un éditeur ou un intégrateur.