AI Act repoussé à 2027 ? Le 2 août piège quand même les PME
Le Digital Omnibus décale le haut risque à décembre 2027, mais la transparence tombe bien le 2 août 2026.
Depuis le printemps, une phrase revient dans les comités de direction : « L'AI Act ? C'est reporté à 2027, on a le temps. » C'est à moitié vrai. Et c'est cette moitié fausse qui va coûter cher. Le 29 juin 2026, le Conseil de l'Union européenne a donné son feu vert final au Digital Omnibus, le paquet de simplification qui repousse effectivement les obligations sur l'IA à haut risque au 2 décembre 2027. Mais les règles de transparence, elles, tombent toujours le 2 août 2026. Et celles-là concernent presque toutes les PME.
On avait déjà prévenu, il y a un mois, avec l'obligation de marquer vos contenus IA. Le paysage vient de bouger : le report du haut risque est confirmé, mais il a créé un angle mort. Voici ce qui reste dû dans moins d'un mois, ce qui a vraiment glissé à 2027, et par où commencer.
« L'AI Act, c'est reporté à 2027 » : d'où vient le malentendu
Le Digital Omnibus est un règlement modificatif : il ne réécrit pas l'AI Act, il en décale certaines échéances et allège quelques obligations. Après un accord politique en mai, le Conseil l'a adopté formellement le 29 juin 2026. La publication au Journal officiel de l'UE est attendue en juillet, avec entrée en vigueur trois jours plus tard. Tant que cette publication n'est pas parue, l'ancien calendrier reste juridiquement en vigueur — mais la direction est verrouillée.
Ce qui a été repoussé, c'est le cœur lourd du texte : les systèmes classés à haut risque de l'Annexe III (recrutement automatisé, scoring de crédit, biométrie, gestion d'infrastructures critiques) passent du 2 août 2026 au 2 décembre 2027, soit dix-sept mois de sursis. Les IA embarquées dans des produits déjà réglementés (Annexe I : machines, dispositifs médicaux) glissent au 2 août 2028. C'est un vrai soulagement pour les entreprises concernées : documentation technique, système de gestion des risques, supervision humaine documentée — tout ce chantier lourd attend.
Le problème, c'est le raccourci. « Haut risque décalé » est devenu « AI Act décalé » dans les conversations. Or l'AI Act est un texte à tiroirs, avec des dates différentes selon le type d'obligation. Et le tiroir « transparence » n'a pas bougé.
Ce qui tombe quand même le 2 août 2026 : la transparence (article 50)
L'article 50 est la partie de l'AI Act qui touche le plus grand nombre d'entreprises, parce qu'elle ne dépend pas d'un usage « sensible » mais d'un usage banal : parler à un robot, publier une image générée, diffuser un contenu synthétique. Voici les quatre obligations concrètes qui deviennent opposables.
- Signaler l'IA au premier contact. Tout système conversationnel (chatbot, assistant vocal) doit indiquer clairement à l'utilisateur qu'il parle à une machine, dès le début de l'échange.
- Marquer les contenus générés. Les fournisseurs d'IA générative doivent intégrer un marquage lisible par machine (watermark) dans les sorties de synthèse — texte, audio, image, vidéo — « efficace, interopérable et robuste dans la mesure du possible techniquement ».
- Déclarer les deepfakes. Celui qui diffuse une image, une vidéo ou un audio manipulés par IA doit le signaler à son audience.
- Prévenir en cas de reconnaissance émotionnelle ou biométrique. Les personnes exposées doivent en être informées.
Un délai de grâce existe, mais il est étroit : les systèmes déjà sur le marché avant le 2 août 2026 ont jusqu'au 2 décembre 2026 pour se mettre en conformité sur le seul marquage machine. Tout ce qui est lancé à partir du 2 août doit marquer immédiatement. Selon la synthèse de Gibson Dunn, ce calendrier de transparence est resté exactement sur sa trajectoire d'origine, contrairement au haut risque.
Votre site a un chatbot ? Vous êtes concerné le 2 août 2026
Prenez une agence de marketing de douze personnes. Elle a installé un chatbot de qualification de leads sur sa page d'accueil, elle génère la moitié de ses visuels de campagne avec un outil d'image, et elle rédige des brouillons d'articles avec un assistant. Rien de « haut risque » là-dedans. Pourtant, au 2 août, elle doit : afficher que son chatbot est une IA, s'assurer que ses visuels publiés portent un marquage, et signaler tout contenu manipulé qui pourrait tromper. Trois gestes simples — mais qui nécessitent d'avoir fait l'inventaire.
C'est là que se joue le vrai risque pour les PME : pas l'amende record, mais l'angle mort. Beaucoup pensent être « hors périmètre » parce qu'elles ne font pas de biométrie ni de scoring de crédit. Elles confondent haut risque (reporté) et transparence (maintenue).
Vos visuels et textes marketing générés par IA
Le marquage machine incombe d'abord au fournisseur du modèle. Les grands acteurs l'ont déjà intégré : les images produites par ChatGPT et la plupart des générateurs récents embarquent des métadonnées de provenance (type C2PA). Mais côté déployeur — c'est-à-dire vous, l'entreprise qui publie — la responsabilité est de ne pas retirer ce marquage et de déclarer les deepfakes. Un visuel « inspiré d'une personne réelle », une voix clonée pour une pub, une vidéo retouchée par IA à des fins d'information : tout cela doit être signalé. Le texte purement rédactionnel relu par un humain avant publication échappe à l'obligation de label — la relève éditoriale reste votre meilleure porte de sortie.
Haut risque : pourquoi la plupart des PME peuvent souffler jusqu'en 2027
La bonne nouvelle du Digital Omnibus, c'est le sursis sur l'Annexe III. Un système est « à haut risque » quand il décide ou influence lourdement une situation qui engage les droits d'une personne : trier des CV, noter la solvabilité d'un client, filtrer l'accès à une formation, gérer de la surveillance. Si votre usage de l'IA se limite à produire du contenu, automatiser des tâches internes, résumer des réunions ou coder, vous n'êtes pas dans ce périmètre.
Pour les entreprises qui, elles, y tombent — un cabinet RH qui utilise un outil de présélection, par exemple — le sursis à décembre 2027 ne veut pas dire « oubliez ». La CNIL a déjà annoncé des contrôles sur le tri de CV, et le RGPD, lui, s'applique sans attendre. Le report concerne l'AI Act, pas le reste du droit. Si vous cherchez à savoir si vous pouvez sortir du haut risque, notre grille sur les quatre exemptions de l'article 6(3) reste d'actualité.
Le calendrier AI Act réellement à jour (2025-2028)
Pour couper court aux approximations, voici les échéances telles qu'elles ressortent du texte consolidé après le Digital Omnibus.
| Obligation | Date applicable | Statut Omnibus |
|---|---|---|
| Pratiques interdites (manipulation, notation sociale…) | 2 février 2025 | Inchangé |
| Modèles à usage général (GPAI) | 2 août 2025 (modèles anciens : 2 août 2027) | Inchangé |
| Transparence — article 50 (chatbots, marquage, deepfakes) | 2 août 2026 (grâce marquage : 2 décembre 2026) | Maintenu |
| Nouvelle interdiction (images intimes non consenties) | 2 décembre 2026 | Ajouté |
| Haut risque — Annexe III (recrutement, crédit, biométrie…) | 2 décembre 2027 | Reporté (+17 mois) |
| Bacs à sable réglementaires nationaux | 2 août 2027 | Reporté |
| Haut risque — Annexe I (produits réglementés) | 2 août 2028 | Reporté |
Le détail des obligations de l'article 50 est bien documenté sur le portail officiel artificialintelligenceact.eu, une référence utile à garder sous la main pour vérifier un cas précis.
Ce que le Digital Omnibus change aussi, au-delà des dates
Le paquet n'est pas qu'un décalage de calendrier. Trois évolutions méritent l'attention d'un dirigeant.
- Une nouvelle interdiction. À partir du 2 décembre 2026, les systèmes conçus pour générer des images intimes non consenties (et le matériel pédocriminel) sont explicitement bannis. Une interdiction, pas une obligation de conformité : le non-respect relève de la sanction la plus lourde.
- Des allègements pour les petites structures. Les souplesses réservées aux PME (documentation simplifiée) sont étendues aux « petites entreprises de taille intermédiaire » (small mid-caps). Les données personnelles peuvent désormais être traitées, sous garanties, pour détecter et corriger les biais d'un modèle.
- Moins de doublons réglementaires. Pour l'IA embarquée dans des machines ou produits déjà couverts par d'autres directives, les exigences qui se chevauchaient sont réconciliées, et certaines fonctions non liées à la sécurité sortent du haut risque. La supervision des GPAI se centralise par ailleurs au niveau du Bureau européen de l'IA.
La France, elle, n'a pas encore désigné l'ensemble de ses autorités de surveillance du marché. La CNIL s'est positionnée en pilote, en particulier sur les usages touchant aux données personnelles. Autrement dit : ne comptez pas sur un flou administratif national pour gagner du temps.
Combien coûte la mise en règle avant le 2 août — et par où commencer
Bonne nouvelle : se conformer à l'article 50 n'a rien d'un projet à six chiffres. Pour une PME, c'est surtout un travail d'inventaire et de mentions, pas de refonte technique. Le plan tient en cinq gestes.
- Recenser vos usages IA visibles. Chatbots sur site, assistants vocaux, visuels et vidéos générés, voix clonées, contenus diffusés. Une simple feuille de calcul suffit pour démarrer.
- Ajouter les mentions manquantes. Une phrase du type « Vous échangez avec un assistant IA » sur chaque chatbot. Un label de provenance sur les contenus synthétiques publics.
- Vérifier le marquage de vos outils. Confirmez que vos générateurs d'images et de vidéos intègrent bien un watermark C2PA, et que votre chaîne de publication ne le supprime pas.
- Tracer les décisions. Gardez une trace de qui relit quels contenus IA avant diffusion : c'est votre exemption pour le texte éditorial.
- Nommer un référent. Une personne qui suit le calendrier et centralise les questions. La formation compte : rappelons que l'obligation de littératie IA est déjà en vigueur.
Le point le plus chronophage, c'est l'inventaire tenu à jour dans le temps : à chaque nouvelle campagne, savoir ce qui a été généré et publié. Automatiser ce registre — par exemple en logguant chaque contenu IA publié via un scénario no-code — évite qu'il ne devienne obsolète en deux semaines. Construire un registre automatisé de vos contenus IA avec Make
Nous détaillions la checklist complète dans notre guide sur l'AI Act post-Omnibus ; le report du haut risque à décembre 2027 en modifie l'urgence relative, pas le fond sur la transparence.
Le verdict
Le Digital Omnibus est une vraie détente pour les entreprises qui manipulent de l'IA « à haut risque » : dix-sept mois de plus, un chantier lourd qui attend. Mais pour l'écrasante majorité des PME et des indépendants, le rendez-vous du 2 août 2026 tient. Il est léger, il est gérable, et il se règle en quelques après-midis. Le seul vrai danger, c'est de croire à la rumeur du « tout est reporté » et de se réveiller le 3 août avec un chatbot muet sur sa nature et des visuels non marqués. La transparence, ce n'est pas du haut risque — c'est le minimum que tout le monde doit à ses clients. Autant en faire un réflexe avant que ce soit une amende.