Si vous avez lu les titres de presse ces dernières semaines, vous avez peut-être vu des formulations contradictoires : "l'AI Act est repoussé", "l'AI Act entre en vigueur en août", "l'AI Act simplifié". Votre juriste vous a peut-être posé la question en réunion, et vous avez répondu "je me renseigne" en espérant que la réponse ne soit pas trop compliquée.
Elle ne l'est pas. Voici ce qui s'est passé.
Ce qu'a décidé l'Union européenne en mai 2026
Le 7 mai 2026, le Parlement européen et le Conseil de l'UE ont conclu un accord provisoire sur ce qu'ils appellent le "Digital Omnibus" — un paquet législatif qui modifie plusieurs textes numériques en même temps, dont l'AI Act.
La décision principale : les obligations les plus lourdes de l'AI Act, celles qui concernent les systèmes d'IA dits "à haut risque" (liste en Annexe III), sont repoussées de 16 mois. Au lieu d'entrer en vigueur le 2 août 2026, ces obligations s'appliqueront à partir du 2 décembre 2027.
L'Annexe III, c'est quoi concrètement ? Ce sont les systèmes d'IA utilisés dans les RH (tri de CV, évaluation de performance), le crédit, l'accès à l'éducation, les services essentiels, la santé, la justice, les infrastructures critiques. Des usages qui touchent directement aux droits des individus.
Ce qui n'a pas été repoussé
C'est là que la réponse "l'AI Act est repoussé" devient trompeuse.
Plusieurs obligations restent en vigueur selon le calendrier initial :
Les pratiques interdites (article 5) sont applicables depuis février 2025. La notation sociale à grande échelle, la manipulation comportementale, certains systèmes biométriques en temps réel — tout ça est déjà interdit. Si vous utilisez un tel système, vous êtes déjà en infraction.
Les obligations pour les modèles d'IA généralistes sont en vigueur depuis août 2025. Si votre entreprise développe ou déploie des modèles de langage à grande échelle, les exigences de transparence et de documentation technique s'appliquent déjà.
Les pouvoirs de sanction de la Commission européenne entrent en vigueur le 2 août 2026. À partir de cette date, le Bureau de l'IA peut infliger des amendes : jusqu'à 35 millions d'euros ou 7 % du chiffre d'affaires mondial pour les violations les plus graves. Ce pouvoir ne fait l'objet d'aucun report.
Les obligations de transparence pour les contenus générés par IA (article 50) — notamment l'obligation d'identifier les textes, images ou sons générés automatiquement — sont maintenues à leur date initiale du 2 décembre 2026.
Pourquoi ce report, et qu'est-ce que ça dit de la suite ?
Le report n'est pas une victoire des lobbyistes contre la réglementation. C'est un aveu pragmatique : les normes techniques que les entreprises devaient suivre pour prouver leur conformité n'étaient pas encore finalisées par les organismes de normalisation européens. Reporter la date d'obligation sans avoir les référentiels prêts aurait créé une conformité sur le papier, impossible à vérifier dans les faits.
Ce que ça dit pour la suite : l'AI Act n'est pas abandonné. Il est adapté pour être applicable réellement. Les entreprises qui utilisaient le délai pour ne rien faire viennent de gagner 16 mois supplémentaires. Celles qui ont commencé à se préparer ont pris de l'avance sur leurs concurrentes.
Ce que ça change pour vous, concrètement
| Situation | Impact du report |
|---|---|
| Vous utilisez l'IA uniquement comme outil d'assistance (rédaction, recherche) | Peu concerné par le report — obligations légères dès le départ |
| Vous avez un module IA RH (tri de CV, scoring, prédiction d'absences) | Report Annexe III s'applique — délai jusqu'en décembre 2027, mais anticipez maintenant |
| Vous développez des LLM ou des modèles pour des clients | Obligations GPAI en vigueur depuis août 2025 — pas de report |
| Vous êtes dans un secteur réglementé (santé, finance, défense) | Vos autorités sectorielles avancent leurs propres référentiels — suivez leur calendrier |
L'angle que les articles de presse ne mentionnent pas
Le report des obligations formelles ne change pas la pression réelle dans les chaînes d'approvisionnement.
Si vous travaillez avec des grands comptes — une banque, un groupe industriel coté, un organisme public — certains de vos clients vont vous demander des attestations de conformité AI Act bien avant que la loi ne l'exige. Parce qu'eux-mêmes sont auditables et veulent pouvoir montrer qu'ils travaillent avec des prestataires sérieux.
Ce calendrier-là, celui des audits clients, n'a pas été repoussé par le Digital Omnibus.
La vraie question n'est donc pas "est-ce que j'ai jusqu'en 2027 ?" — c'est "est-ce que mes clients vont me demander une preuve avant ça ?"
Pourquoi l'architecture IA que vous choisissez maintenant compte
Qu'il s'agisse d'août 2026 ou de décembre 2027, les obligations qui arrivent ont un point commun : elles exigent de la traçabilité. Qui a utilisé quel système d'IA, sur quelles données, avec quel résultat. Et la capacité à le montrer à un auditeur.
C'est précisément là que la différence entre une IA cloud et une IA installée dans vos locaux devient concrète. Avec un outil SaaS américain, les journaux d'utilisation appartiennent à votre fournisseur. Avec LMbox, ils sont dans votre SI — accessibles à votre RSSI, exportables pour un audit, versionnés.
Un cabinet d'avocats parisien qui a déployé LMbox il y a six mois nous a dit : "La première fois qu'un client grand compte nous a demandé nos logs d'utilisation IA, on les avait. Nos confrères qui utilisent ChatGPT ont dû expliquer pourquoi ils ne pouvaient pas répondre."
Ce n'est pas une question de conformité abstraite. C'est une question de pouvoir répondre à votre prochain client qui vous pose la question.
Prochaine étape : si vous voulez faire le point sur votre exposition AI Act et voir comment une solution IA souveraine s'intègre dans votre calendrier de conformité, contactez notre équipe — on vous répond avec un diagnostic honnête, pas un pitch.
