AI Act : les obligations high-risk repoussées à 2027

Le 2 février 2026, la Commission européenne devait publier les guidelines sur les systèmes IA à haut risque. Ce document devait clarifier les critères de l’article 6 de l’AI Act : quels systèmes sont considérés comme high-risk, quelles obligations en découlent, comment s’y conformer concrètement. Ce document n’est jamais arrivé.

Selon l’IAPP, c’est le deuxième deadline manqué sur l’implémentation de l’AI Act. Renate Nikolay, directrice générale adjointe de la Commission, a reconnu la situation : “These standards are not ready, and that’s why we allowed ourselves in the AI omnibus to give us a bit more time.” Pour les PME, cette phrase résume tout : les règles du jeu ne sont pas encore écrites. Et le Digital Omnibus vient officiellement repousser le coup d’envoi.

Ce que le Digital Omnibus change concrètement

Publié le 19 novembre 2025, le Digital Omnibus est un paquet législatif de simplification qui modifie le calendrier de l’AI Act. Voici ce qui bouge :

• Systèmes high-risk (Annexe III) : les obligations sont conditionnées à la disponibilité des standards harmonisés. Date butoir absolue : 2 décembre 2027 (au lieu du 2 août 2026 initialement prévu).
• Produits réglementés (Annexe I) : extension au 2 août 2028.
• Watermarking de contenu généré par IA : repoussé à février 2027 pour les systèmes déjà sur le marché.

Le comité parlementaire IMCO/LIBE a voté en faveur du texte le 18 mars 2026. L’adoption finale est attendue pour mi-2026. En attendant, la date du 2 août 2026 reste techniquement la date légale. Mais dans les faits, personne ne s’attend à ce qu’elle soit maintenue pour les obligations high-risk.

La raison de fond est pragmatique : les standards harmonisés développés par le CEN-CENELEC ne seront pas prêts avant fin 2026. Sans ces standards, les entreprises ne disposent tout simplement pas des références techniques pour se conformer. La Commission ne peut pas exiger le respect de règles qu’elle n’a pas encore finalisées.

Ce qui ne change pas : formations et pratiques interdites

Le report ne concerne pas l’ensemble de l’AI Act. Deux volets majeurs conservent leur calendrier initial :

Les pratiques interdites (article 5) sont en vigueur depuis février 2025. Le scoring social, la manipulation subliminale et l’identification biométrique en temps réel dans l’espace public restent bannis — sans report.

Les obligations de formation IA (article 4) s’appliquent également depuis février 2025, avec des sanctions nationales prévues pour août 2026. Si vous n’avez pas encore lancé de programme de sensibilisation pour votre équipe, ce volet-là n’a pas bougé d’un jour. Notre analyse des obligations de formation AI Act détaille les étapes concrètes pour vous mettre en conformité avant l’échéance.

Les règles GPAI (articles 51 à 56) sur les modèles d’IA à usage général restent inchangées.

En résumé : ce qui est reporté concerne la classification et les obligations spécifiques aux systèmes à haut risque. Ce qui touche à la transparence, à la formation et aux interdictions fondamentales reste en vigueur.

Pourquoi ce retard profite aux PME préparées

Le Digital Omnibus introduit une nouvelle catégorie : les “small mid-caps”, définies comme les entreprises de moins de 750 employés avec un chiffre d’affaires inférieur à 150 millions d’euros. Ces structures bénéficieront de :

• Documentation technique simplifiée
• Obligations de gestion qualité allégées
• Pénalités ajustées à la taille de l’entreprise

Pour les PME classiques (moins de 250 employés), les allègements sont encore plus marqués. C’est une reconnaissance que le cadre initial était calibré pour les grandes entreprises technologiques, pas pour une PME de 40 personnes qui utilise un CRM avec scoring prédictif.

Mais le vrai avantage du report n’est pas réglementaire — il est stratégique. Les PME qui utilisent cette fenêtre pour préparer leur conformité progressivement auront un avantage sur celles qui attendront 2027 pour s’y mettre dans l’urgence. Le scénario RGPD de 2018 se répète : ceux qui ont anticipé ont traversé l’échéance sereinement. Ceux qui ont improvisé au dernier moment y ont laissé du temps et de l’argent. Notre guide de conformité AI Act pour les PME propose une checklist en cinq étapes que vous pouvez commencer dès maintenant.

Comment utiliser cette fenêtre de 18 mois

Voici un plan d’action adapté au nouveau calendrier :

Mars-juin 2026 : inventaire et classification

• Listez tous vos outils IA et classez-les par niveau de risque
• Identifiez ceux qui relèvent potentiellement du haut risque (recrutement, scoring crédit, décisions automatisées)
• Lancez votre programme de formation IA (article 4 — deadline non reporté)

Juillet-décembre 2026 : documentation et fournisseurs

• Constituez votre registre de déploiement IA
• Interrogez vos fournisseurs sur leur propre conformité AI Act
• Suivez la publication des standards harmonisés CEN-CENELEC

Janvier-novembre 2027 : ajustements et conformité finale

• Adaptez vos pratiques aux guidelines high-risk une fois publiées
• Mettez en place la supervision humaine pour vos systèmes à haut risque
• Formalisez vos analyses d’impact

Ce calendrier vous laisse le temps de faire les choses correctement, sans sprint de dernière minute.

L’anticipation reste le meilleur investissement

Le report des deadlines high-risk est une bonne nouvelle opérationnelle, pas un signal de relâchement. L’AI Act reste le cadre réglementaire le plus ambitieux au monde sur l’intelligence artificielle, et il s’appliquera. La question n’est plus “si” mais “quand” — et la réponse est désormais “décembre 2027” pour le volet high-risk.

Les PME qui profitent de ce délai supplémentaire pour structurer leurs usages IA transformeront une contrainte réglementaire en avantage concurrentiel. Celles qui y voient une invitation à repousser le sujet se retrouveront exactement dans la même situation d’urgence, avec 18 mois de retard.