Le Digital Omnibus on AI n’opère pas de refonte de l’AI Act, mais vise à en faciliter la mise en œuvre en ajustant plusieurs paramètres clés (calendrier des systèmes à haut risque, articulation avec les cadres sectoriels, traitement des données pour limiter les biais, soutien aux PME).
Présenté comme un texte de simplification face aux difficultés opérationnelles rencontrées (retard des normes, outils de conformité incomplets, autorités encore en cours de désignation), il a fait l’objet d’un accord politique en mai 2026, d’une approbation du Parlement et du Conseil en juin 2026, sous réserve de sa publication au Journal officiel de l’Union européenne.
Pour les organisations, l’enjeu n’est donc pas de suspendre la conformité, mais d’ajuster leur feuille de route en distinguant ce qui est reporté de ce qui reste applicable à court terme.
| Date | Échéance |
| 2 août 2026 | • Obligations sur la transparence en vertu de l’article 50 de l’AI Act (excepté les obligations de l’article 50 §2) |
| 2 décembre 2026 | • Obligations de marquage des contenus générés par IA (article 50 §2) • Interdiction des systèmes d’IA générant des contenus sexuels ou intimes non consentis et des systèmes d’IA générant des contenus pédopornographiques (CSAM) |
| 2 décembre 2027 | • Obligations applicables aux systèmes d’IA à haut risque autonomes (Annexe III) |
| 2 août 2028 | • Obligations applicables aux systèmes d’IA à haut risque intégrés dans des produits réglementés (Annexe I) |
Les principales évolutions à retenir
1. Report du calendrier applicable aux systèmes d’IA à haut risque
Le report envisagé vise les deux catégories de systèmes d’IA à haut risque :
- Pour les systèmes autonomes relevant de l’Annexe III de l’AI Act, le calendrier d’application est décalé au 2 décembre 2027. Cette catégorie couvre notamment les systèmes utilisés dans des domaines sensibles, tels que la biométrie, les infrastructures critiques, l’éducation, l’emploi, l’accès aux services essentiels, la répression, la migration et le contrôle aux frontières, ainsi que l’administration de la justice et les processus démocratiques.
- Pour les systèmes d’IA intégrés dans des produits soumis à une législation sectorielle européenne relevant de l’Annexe I, l’échéance est reportée au 2 août 2028. Ce report concerne les systèmes d’IA intégrés aux produits règlementés tels que les jouets, les équipements radioélectriques, les équipements sous pression, les dispositifs médicaux, les dispositifs médicaux de diagnostic in vitro, les ascenseurs ou encore les équipements de protection individuelle.
| Impact en matière de conformité En pratique, ces reports ne constituent pas une suspension des obligations en matière de conformité. Ils offrent un délai supplémentaire pour structurer les principaux chantiers de mise en conformité. |
2. L’obligation de maîtrise de l’IA (article 4)
La maîtrise de l’IA reste une obligation, mais s’inscrit davantage dans une logique de moyen que de résultat. Les fournisseurs et les déployeurs de systèmes d’IA demeurent tenus de promouvoir un niveau suffisant de compréhension de l’IA auprès de leur personnel et des autres personnes s’occupant du fonctionnement et de l’utilisation des systèmes d’IA.
| Impact en matière de conformité Cette exigence conserve une portée opérationnelle importante : elle suppose d’identifier les personnes concernées dans l’organisation, d’adapter les actions de sensibilisation à leur profil et au contexte d’utilisation des systèmes d’IA, ainsi que de conserver des preuves de mise en œuvre. Cette exigence constitue ainsi un pilier transversal de la gouvernance en matière d’IA, applicable au-delà des seuls systèmes d’IA à haut risque et pertinent tout au long du cycle de vie des systèmes d’IA. |
3. Obligations pour les systèmes bénéficiant du mécanisme de filtrage (exemption de la classification à haut risque)
Pour les systèmes relevant de l’article 6(3) de l’AI Act bénéficiant du mécanisme de filtrage, l’obligation d’enregistrement dans la base de données européenne est maintenue, néanmoins la documentation attendue est simplifiée sous réserve de justifier que ces systèmes sont exemptés de la qualification de « haut risque ».
| Impact en matière de conformité Concrètement, les organisations devront être en mesure de justifier la classification des risques du système d’IA hors de la catégorie à haut risque (domaine de l’Annexe III, raison de l’application du mécanisme de filtrage et justification de l’absence de profilage). Cette évolution renforce l’importance de mécanismes internes de traçabilité, de qualification et de justification, au-delà d’une simple approche déclarative. |
4. Allègements pour les PME et les small mid-cap companies
Le texte maintient les allègements déjà prévus pour les PME et les étend aux small mid-cap companies (SMC), notamment au travers d’une documentation technique simplifiée, de formulaires allégés acceptés par les organismes notifiés et d’une réduction proportionnée des sanctions administratives dans certains cas.
| Impact en matière de conformité Cette évolution répond à une logique de proportionnalité : éviter que la conformité IA ne constitue un désavantage compétitif pour les structures ne disposant pas des mêmes ressources qu’un grand groupe. Pour autant, l’allègement des exigences ne dispense pas ces acteurs de mettre en place une gouvernance adaptée, ni de démontrer une démarche de conformité structurée, proportionnée à leurs moyens et à leurs risques. |
5. Correction des biais et utilisation de données sensibles
Le nouvel article 4a ouvre la possibilité d’utiliser certaines données sensibles pour la détection et la correction des biais, y compris au-delà du seul périmètre des systèmes haut risque, mais sous condition de stricte nécessité. Cette utilisation doit néanmoins assurer plusieurs garanties obligatoires telles que la pseudonymisation, la limitation d’accès, la suppression des données et la documentation des traitements.
| Impact en matière de conformité En pratique, cette disposition ne crée pas une autorisation générale de traitement. Elle ouvre une possibilité strictement encadrée, qui suppose de justifier les finalités poursuivies, d’encadrer les accès, de limiter les durées de conservation et de fonder le traitement sur une base juridique appropriée. Les entreprises devront donc intégrer la prévention et la correction des biais à leur gouvernance des données, plutôt que les traiter comme un sujet autonome. |
6. AI Office, sandboxes et tests en conditions réelles
Le rôle de l’AI Office est renforcé pour la supervision les modèles d’IA à usage général notamment dans le cas où l’opérateur est à la fois le fournisseur du modèle et du système d’IA, tout en maintenant l’intervention des autorités nationales pour certains secteurs sensibles (justice, police, finance, frontières).
En parallèle, la date limite de mise en place des sandboxes réglementaires nationales est reportée au 2 août 2027, et certains tests en conditions réelles sont étendus aux systèmes d’IA couverts par des législations sectorielles.
| Impact en matière de conformité L’objectif est de rendre les dispositifs de test et de pré-conformité plus opérationnels, afin de soutenir l’innovation dans un cadre mieux maîtrisé. |
7. Transparence des contenus générés (article 50 §2)
Les obligations prévues au paragraphe 2 de l’article 50, relatives au marquage et à l’identification des contenus générés artificiellement, sont applicables à compter du 2 décembre 2026 pour les systèmes mis sur le marché avant le 2 août 2026.
| Impact en matière de conformité Pour les entreprises qui produisent, intègrent ou diffusent des contenus synthétiques, ce sujet demeure donc prioritaire, notamment dans le contexte de report de certaines obligations applicables aux systèmes à haut risque. |
8. Interdiction des systèmes IA générant des contenus sexuels non consentis et pédopornographique
L’interdiction des systèmes IA générant des contenus sexuels ou intimes non consentis (« nudification’ applications ») et des systèmes d’IA générant du contenu pédopornographique (CSAM) est applicable à compter du 2 décembre 2026.
| Impact en matière de conformité Cette évolution vise à combler une lacune du cadre initial en rattachant expressément certaines pratiques en matière d’IA au régime des interdictions de l’article 5 de l’AI Act. |
9. Articulation renforcée de l’AI Act avec les cadres sectoriels existants
Pour les systèmes d’IA intégrés dans des produits déjà soumis à une législation sectorielle européenne, l’objectif est de limiter les doubles obligations entre l’AI Act et les régimes sectoriels applicables.
Cette logique est particulièrement marquée pour les systèmes d’IA intégrés dans des machines, qui basculent vers une approche davantage sectorielle, relevant de l’Annexe I, section B. En effet, les exigences applicables à l’IA auraient ainsi vocation à être intégrées directement dans le Règlement (UE) 2023/1230 sur les machines, notamment par voie d’actes délégués attendus avant le 2 août 2027.
| Impact en matière de conformité En pratique, cette évolution vise à éviter une superposition excessive des régimes de conformité, tout en maintenant un niveau d’encadrement adapté aux risques propres aux produits concernés. |
10. Composant de sécurité : une qualification centrée autour de la fonction de prévention des risques
La notion de composant de sécurité est recentrée sur les systèmes d’IA exerçant une fonction de sécurité, c’est-à-dire ceux destinés à prévenir ou à atténuer des risques pour la santé, la sécurité ou les biens.
| Impact en matière de conformité Cette précision est importante sur le plan opérationnel : un système d’IA utilisé à des fins d’assistance, d’optimisation, d’automatisation ou de contrôle qualité ne devrait pas être automatiquement qualifié de composant de sécurité du seul fait de son intégration dans un produit ou un processus. La qualification devra donc reposer sur l’analyse concrète de la fonction exercée par le système, de sa contribution à la maîtrise des risques et de son rôle dans la sécurité du produit ou de l’usage concerné. |
Conclusion
Le Digital Omnibus ne doit pas être interprété comme un signal de pause, mais comme une invitation à reprioriser la feuille de route de conformité.
Les entreprises doivent dès maintenant distinguer les échéances des obligations applicables en fonction de la cartographie des usages IA.
Cette phase doit aussi permettre de sécuriser les arbitrages de qualification : identifier les systèmes déjà concernés par des obligations de transparence, déterminer les cas d’usage susceptibles de relever d’un régime haut risque, documenter les décisions de qualification ou de non-qualification, structurer les contrôles relatifs aux données, aux biais et à la supervision humaine, et conserver les preuves nécessaires en cas de contrôle.
Le véritable enjeu n’est donc pas de savoir si la conformité peut attendre, mais de prioriser les actions entre 2026, 2027 et 2028 afin de transformer cette clarification réglementaire en avantage opérationnel : cartographier, qualifier, documenter, former et gouverner avant que les échéances les plus structurantes ne deviennent effectives.
👉 Chez Naaia, nous sommes convaincus qu’une conformité IA efficace ne repose pas seulement sur la lecture des textes, mais sur la capacité à piloter concrètement la gouvernance, les preuves et les responsabilités dans le temps.
Afin de transformer les évolutions du Digital Omnibus en plan d’action concret, la plateforme Naaia accompagne les organisations dans la structuration d’une gouvernance de l’IA claire, traçable et actionnable.
