L'essentiel à retenir :
- Le Digital Omnibus IA repousse les obligations "haut risque" de l'IA Act à décembre 2027, mais ce report n'est pas une pause générale : plusieurs obligations restent pleinement applicables dès 2026.
- L'AI Literacy (article 4), les pratiques interdites et les obligations de transparence (article 50) sont actives. Les ignorer expose à des sanctions pouvant atteindre 35 millions d'euros ou 7 % du chiffre d'affaires mondial.
- En juin 2026, le Digital Omnibus IA n'est pas encore définitivement adopté : tant que la publication au Journal officiel n'a pas eu lieu, les échéances d'origine de l'IA Act restent juridiquement en vigueur.
- 18 mois, c'est court pour un audit complet : cartographie des systèmes, documentation, formation des équipes et gouvernance se comptent en mois, pas en semaines.
- 71 % des employés utilisent des outils d'IA non approuvés par leur employeur : le Shadow AI est le premier chantier à adresser avant toute démarche de conformité.
- La conformité IA Act devient un critère contractuel en B2B. Une entreprise incapable de démontrer sa maîtrise du sujet risque d'être écartée d'appels d'offres.
Le Digital Omnibus IA, adopté provisoirement en mai 2026, repousse les obligations « haut risque » de l’IA Act à décembre 2027. Mais ce report ne suspend pas tout. Plusieurs obligations restent applicables dès 2026, avec des sanctions à la clé. Comprendre ce qui change réellement permet d’anticiper plutôt que de subir. Voici notre lecture experte du calendrier et des actions concrètes à engager.
Digital Omnibus IA : qu'est-ce qui a vraiment changé ?
L’IA Act, ou loi européenne sur l’intelligence artificielle, est entrée en vigueur le 1ᵉʳ août 2024. Ce règlement (UE) 2024/1689 classe les systèmes d’IA selon quatre niveaux de risque et impose des obligations graduées. Le changement majeur du Digital Omnibus AI concerne le calendrier d’application des obligations « haut risque ».
Pourquoi la Commission européenne a voté un report
Le report est un constat pragmatique. La mise en œuvre de l’IA Act prenait du retard. Deux blocages ressortaient. D’abord, la désignation des autorités nationales compétentes tardait dans plusieurs États membres. Ensuite, les normes harmonisées indispensables à la conformité des systèmes à haut risque n’étaient pas finalisées.
Sans ces outils, les entreprises faisaient face à des obligations sans mode d’emploi technique. Le Digital Omnibus AI répond donc à un problème d’opérabilité, pas à une volonté de déréguler.
- Loi Sapin II : prévention de la corruption et contrôle des tiers.
- RGPD : protection des données et gouvernance des traitements.
- Devoir de vigilance : identification des atteintes aux droits fondamentaux.
- CSRD : reporting de durabilité et fiabilisation des informations ESG.
- IA Act : classification des risques et conformité des systèmes d’IA.
Le nouveau calendrier de l'IA Act après le Digital Omnibus
- Selon l’accord provisoire, les obligations applicables aux systèmes à haut risque autonomes (annexe III) passent du 2 août 2026 au 2 décembre 2027.
- Pour l’IA intégrée à des produits réglementés (annexe I) (dispositifs médicaux, machines, véhicules), l’échéance est fixée au 2 août 2028.
- Attention toutefois : en juin 2026, le texte n'est pas encore définitivement adopté. Plusieurs étapes restent à franchir : un vote en plénière du Parlement européen, l'adoption par le Conseil, puis la publication au Journal officiel de l'Union européenne. Tout cela est attendu avant le 2 août 2026. Tant que cette publication n'a pas eu lieu, les dates d'origine restent juridiquement en vigueur.
Quelles obligations sont concernées par le report à décembre 2027
Le report cible précisément les systèmes à haut risque. L’annexe III couvre des usages sensibles. On y trouve :
- Le recrutement
- Le scoring de crédit
- L’éducation
- L’application de la loi
- La gestion des frontières.
Ce sont ces systèmes qui bénéficient du délai jusqu’au 2 décembre 2027. Le délai accordé aux États membres pour créer les bacs à sable réglementaires (regulatory sandboxes) est aussi repoussé au 2 août 2027. Tout le reste continue d’avancer selon le calendrier initial.
Le piège du report : ce qui reste applicable dès 2026
C’est le point que beaucoup d’entreprises négligent. Le Digital Omnibus AI repousse le haut risque, mais une partie significative de l’IA Act reste pleinement applicable. Lire le report comme une pause générale est une erreur d’interprétation coûteuse.
L'AI Literacy (article 4) : sanctionnable dès le 2 août 2026
L’article 4 impose depuis le 2 février 2025 une obligation claire. Fournisseurs et déployeurs doivent assurer un niveau suffisant de culture de l’IA (AI literacy) parmi leurs équipes. Le Digital Omnibus AI assouplit la formulation : il s’agit désormais de soutenir le développement de cette culture, plutôt que d’en garantir un niveau précis. L’obligation reste néanmoins réelle et opposable.
Les pratiques d'IA interdites : en vigueur depuis février 2025
Les pratiques à risque inacceptable sont interdites depuis le 2 février 2025 :
- Notation sociale
- Manipulation comportementale
- Identification biométrique en temps réel dans l’espace public
Le Digital Omnibus AI y ajoute l’interdiction des systèmes générant des images intimes non consenties et du contenu pédocriminel. Ces interdictions sont les plus lourdement sanctionnées du règlement.
Les obligations GPAI : actives depuis août 2025
Les obligations applicables aux modèles d’IA à usage général (GPAI, ou general-purpose AI) s’appliquent depuis le 2 août 2025. Cette date coïncide avec l’entrée en fonction du Bureau européen de l’IA (AI Office). Le Digital Omnibus AI clarifie le périmètre de compétence de ce bureau et renforce ses pouvoirs d’enquête et d’inspection sur site.
Les obligations de transparence (article 50)
L’article 50 impose d’informer les utilisateurs lorsqu’ils interagissent avec une IA et de marquer les contenus générés artificiellement. Ces obligations de transparence s’appliquent dès le 2 août 2026, indépendamment du report. Seul un délai de grâce de quatre mois, jusqu’au 2 décembre 2026, est prévu pour le marquage des systèmes déjà sur le marché.
4 risques concrets à attendre décembre 2027 pour se mettre en conformité IA Act
Considérer le Digital Omnibus AI comme une autorisation d’attendre expose à plusieurs dangers tangibles. Voici les quatre principaux.
Un risque juridique aggravé en cas de contrôle
Les sanctions de l’IA Act sont parmi les plus dissuasives du droit européen :
- L’article 99 prévoit jusqu’à 35 millions d’euros ou 7 % du chiffre d’affaires annuel mondial pour les pratiques interdites.
- Le manquement aux obligations à haut risque expose à 15 millions ou 3 %.
- Une information inexacte peut coûter jusqu’à 7,5 millions ou 1 %.
Les PME bénéficient d’une application proportionnée, jamais d’une dispense. Une amende calibrée reste potentiellement fatale pour une petite structure.
Un risque opérationnel : 18 mois, c'est court pour un audit complet
Construire un dispositif de conformité solide prend du temps. Cartographier les systèmes, documenter, évaluer la conformité, former les équipes : un audit complet se compte en mois, pas en semaines. Les 18 mois qui séparent aujourd’hui de décembre 2027 paraissent confortables, mais ils se réduisent vite une fois le projet lancé. Attendre la dernière ligne droite revient à improviser sous pression.
Un risque commercial : la pression contractuelle de vos clients B2B
Le marché bouge. Les organisations qui structurent leur démarche dès la publication du Digital Omnibus AI transforment une contrainte réglementaire en avantage. Celles qui attendent décembre 2027 démarreront avec un retard difficile à combler face à des concurrents déjà rodés.
Que faire dès maintenant ? Le plan d'action en 5 étapes
La conformité IA Act devient un argument contractuel. De plus en plus de donneurs d’ordre exigent de leurs prestataires des garanties écrites sur l’usage et la gouvernance de l’IA. Une entreprise incapable de démontrer sa maîtrise du sujet risque d’être écartée d’appels d’offres ou de voir ses contrats renégociés.
Un risque concurrentiel : vos concurrents avancent déjà
Voici une démarche structurée, applicable quel que soit votre secteur, pour transformer le délai offert par le Digital Omnibus AI en avantage stratégique.
Cartographier vos systèmes d'IA et identifier votre Shadow AI
- Étape 1
La première étape consiste à savoir où l’IA est réellement utilisée dans votre organisation. Au-delà des outils officiels, il faut traquer le « Shadow AI » : l’usage non encadré d’outils d’IA par les collaborateurs. Le phénomène est massif.
Selon une étude Microsoft de 2025, 71 % des employés utilisent des outils d’IA non approuvés par leur employeur. Chaque interaction non maîtrisée expose des données sensibles à des serveurs externes, échappant à toute traçabilité.
Déterminer votre statut : déployeur, fournisseur ou les deux
- Étape 2
L’IA Act distingue plusieurs rôles :
- Le fournisseur conçoit et met sur le marché le système : il porte la conformité technique, la documentation et le marquage CE.
- Le déployeur utilise un système sous sa propre autorité : il doit respecter les instructions, assurer un contrôle humain et conserver les logs.
Une même entreprise peut cumuler les deux statuts. Identifier précisément votre rôle conditionne toutes vos obligations.
Former vos équipes à l'AI literacy
- Étape 3
L’article 4 impose une culture de l’IA au sein des équipes. La formation est aussi le meilleur antidote au Shadow AI : un collaborateur formé comprend les risques et adopte spontanément les bons réflexes. Des sessions courtes et régulières, adaptées aux métiers, valent mieux qu’un module théorique unique. L’objectif n’est pas d’interdire l’IA, mais d’en canaliser l’usage dans un cadre sécurisé.
Structurer votre gouvernance IA (charte, comité, registre)
- Étape 4
Une gouvernance IA solide repose sur trois piliers :
- Une charte d’utilisation, accessible à tous, qui pose les règles
- Un comité pluridisciplinaire réunissant les directions juridique, technique, sécurité et métier
- Un registre des systèmes d’IA, qui assure la traçabilité indispensable en cas de contrôle.
Cette structuration est le socle sur lequel reposera toute votre démarche de conformité.
Anticiper les exigences haut risque avant décembre 2027
- Étape 5
Même si l’échéance haut risque est repoussée, les exigences sont connues. Gestion des risques, qualité des données, documentation technique, contrôle humain, robustesse : autant de chantiers à initier dès maintenant pour les systèmes susceptibles d’être classés à haut risque. Engager ce travail en avance avec l’aide d’un cabinet de conformité IA Act lisse l’effort et évite la précipitation de dernière minute.
Anticiper plutôt qu'attendre : le bon calcul stratégique
Le Digital Omnibus AI offre une fenêtre, pas une dispense. Les entreprises qui utilisent ce délai pour structurer leur conformité prennent une longueur d’avance. Celles qui le lisent comme une autorisation d’attendre accumuleront un retard juridique, opérationnel et commercial. Le Digital Omnibus AI doit servir de point de départ, pas de prétexte au report. C’est précisément là que l’expertise Eterra prend tout son sens.
En effet, pour être en conformité IA Act sans mobiliser des ressources internes démesurées, un accompagnement structuré reste le meilleur levier. Des outils dédiés comme Themio facilitent par ailleurs le suivi opérationnel de votre démarche.
En résumé
Le Digital Omnibus IA offre une fenêtre, pas une dispense. Le report des obligations « haut risque » à décembre 2027 est réel, mais conditionnel à la publication définitive du texte au Journal officiel de l’UE, attendue avant le 2 août 2026. En attendant, les interdictions de pratiques à risque inacceptable, les obligations GPAI et les exigences de transparence restent pleinement opposables avec des sanctions actives.
Attendre décembre 2027 pour engager sa mise en conformité, c’est choisir de démarrer sous pression, avec un retard juridique, opérationnel et commercial difficile à rattraper. La bonne lecture du Digital Omnibus IA, c’est un point de départ structuré : cartographie des systèmes, identification du statut fournisseur ou déployeur, formation des équipes à l’AI literacy, gouvernance documentée, et anticipation des exigences haut risque, idéalement avec l’accompagnement d’un cabinet spécialisé comme Eterra.
VOS QUESTIONS
FAQ - Digital Omnibus et conformité IA Act
Avant de nous contacter, vous vous posez peut-être ces questions. Voici des réponses directes de nos consultants seniors.
—
Le Digital Omnibus IA est-il définitif ?
Non. En juin 2026, l’accord reste provisoire. Le texte doit encore être voté en plénière par le Parlement européen, puis adopté par le Conseil. Il sera ensuite publié au Journal officiel de l’Union européenne, normalement avant le 2 août 2026. Tant que cette publication n’intervient pas, les échéances d’origine de l’IA Act demeurent juridiquement applicables.
Qui est concerné par l'AI Literacy au 2 août 2026 ?
Tous les fournisseurs et déployeurs de systèmes d’IA.
Quelles sanctions sont déjà applicables en 2026 ?
Les pratiques interdites (article 5), les obligations GPAI et les obligations de transparence (article 50) sont assorties de sanctions actives. Les amendes peuvent atteindre 35 millions d’euros ou 7 % du chiffre d’affaires mondial pour les infractions les plus graves, selon l’article 99 du règlement.
Comment se faire accompagner pour anticiper la conformité IA Act ?
S’appuyer sur un cabinet de conformité IA Act comme Eterra permet de sécuriser chaque étape : cartographie, qualification de votre statut, gouvernance, formation.


