Digital Omnibus IA : faut-il vraiment attendre pour se mettre en conformité ?

Image de Nicolas
Nicolas
Fondateur associé d’Eterra Partners, Nicolas Fetiveau dispose d’une solide expérience de plus de 20 ans dans le développement commercial à l’échelle internationale.

Sommaire

AUTEUR

Fondateur associé d’Eterra Partners, Nicolas Fetiveau dispose d’une solide expérience de plus de 20 ans dans le développement commercial à l’échelle internationale.

L'essentiel à retenir :

Le Digital Omnibus IA, adopté provisoirement en mai 2026, repousse les obligations « haut risque » de l’IA Act à décembre 2027. Mais ce report ne suspend pas tout. Plusieurs obligations restent applicables dès 2026, avec des sanctions à la clé. Comprendre ce qui change réellement permet d’anticiper plutôt que de subir. Voici notre lecture experte du calendrier et des actions concrètes à engager.

Digital Omnibus IA : qu'est-ce qui a vraiment changé ?​

L’IA Act, ou loi européenne sur l’intelligence artificielle, est entrée en vigueur le 1ᵉʳ août 2024. Ce règlement (UE) 2024/1689 classe les systèmes d’IA selon quatre niveaux de risque et impose des obligations graduées. Le changement majeur du Digital Omnibus AI concerne le calendrier d’application des obligations « haut risque ».

Pourquoi la Commission européenne a voté un report

Le report est un constat pragmatique. La mise en œuvre de l’IA Act prenait du retard. Deux blocages ressortaient. D’abord, la désignation des autorités nationales compétentes tardait dans plusieurs États membres. Ensuite, les normes harmonisées indispensables à la conformité des systèmes à haut risque n’étaient pas finalisées.

Sans ces outils, les entreprises faisaient face à des obligations sans mode d’emploi technique. Le Digital Omnibus AI répond donc à un problème d’opérabilité, pas à une volonté de déréguler.

  • Loi Sapin II : prévention de la corruption et contrôle des tiers.
  • RGPD : protection des données et gouvernance des traitements.
  • Devoir de vigilance : identification des atteintes aux droits fondamentaux.
  • CSRD : reporting de durabilité et fiabilisation des informations ESG.
  • IA Act : classification des risques et conformité des systèmes d’IA.

Le nouveau calendrier de l'IA Act après le Digital Omnibus

  • Selon l’accord provisoire, les obligations applicables aux systèmes à haut risque autonomes (annexe III) passent du 2 août 2026 au 2 décembre 2027.
  • Pour l’IA intégrée à des produits réglementés (annexe I) (dispositifs médicaux, machines, véhicules), l’échéance est fixée au 2 août 2028.

Quelles obligations sont concernées par le report à décembre 2027

Le report cible précisément les systèmes à haut risque. L’annexe III couvre des usages sensibles. On y trouve :

  • Le recrutement
  • Le scoring de crédit
  • L’éducation
  • L’application de la loi
  • La gestion des frontières.

Ce sont ces systèmes qui bénéficient du délai jusqu’au 2 décembre 2027. Le délai accordé aux États membres pour créer les bacs à sable réglementaires (regulatory sandboxes) est aussi repoussé au 2 août 2027. Tout le reste continue d’avancer selon le calendrier initial.

Digital omnibus : les entreprises se mettent en conformité pour l’IA

Le piège du report : ce qui reste applicable dès 2026

C’est le point que beaucoup d’entreprises négligent. Le Digital Omnibus AI repousse le haut risque, mais une partie significative de l’IA Act reste pleinement applicable. Lire le report comme une pause générale est une erreur d’interprétation coûteuse.

L'AI Literacy (article 4) : sanctionnable dès le 2 août 2026

L’article 4 impose depuis le 2 février 2025 une obligation claire. Fournisseurs et déployeurs doivent assurer un niveau suffisant de culture de l’IA (AI literacy) parmi leurs équipes. Le Digital Omnibus AI assouplit la formulation : il s’agit désormais de soutenir le développement de cette culture, plutôt que d’en garantir un niveau précis. L’obligation reste néanmoins réelle et opposable.

Les pratiques d'IA interdites : en vigueur depuis février 2025

Les pratiques à risque inacceptable sont interdites depuis le 2 février 2025 :

  • Notation sociale
  • Manipulation comportementale
  • Identification biométrique en temps réel dans l’espace public

 

Le Digital Omnibus AI y ajoute l’interdiction des systèmes générant des images intimes non consenties et du contenu pédocriminel. Ces interdictions sont les plus lourdement sanctionnées du règlement.

Les obligations GPAI : actives depuis août 2025

Les obligations applicables aux modèles d’IA à usage général (GPAI, ou general-purpose AI) s’appliquent depuis le 2 août 2025. Cette date coïncide avec l’entrée en fonction du Bureau européen de l’IA (AI Office). Le Digital Omnibus AI clarifie le périmètre de compétence de ce bureau et renforce ses pouvoirs d’enquête et d’inspection sur site.

Les obligations de transparence (article 50)

L’article 50 impose d’informer les utilisateurs lorsqu’ils interagissent avec une IA et de marquer les contenus générés artificiellement. Ces obligations de transparence s’appliquent dès le 2 août 2026, indépendamment du report. Seul un délai de grâce de quatre mois, jusqu’au 2 décembre 2026, est prévu pour le marquage des systèmes déjà sur le marché.

4 risques concrets à attendre décembre 2027 pour se mettre en conformité IA Act

Considérer le Digital Omnibus AI comme une autorisation d’attendre expose à plusieurs dangers tangibles. Voici les quatre principaux.

Un risque juridique aggravé en cas de contrôle

Les sanctions de l’IA Act sont parmi les plus dissuasives du droit européen :

  • L’article 99 prévoit jusqu’à 35 millions d’euros ou 7 % du chiffre d’affaires annuel mondial pour les pratiques interdites.
  • Le manquement aux obligations à haut risque expose à 15 millions ou 3 %.
  • Une information inexacte peut coûter jusqu’à 7,5 millions ou 1 %.

Les PME bénéficient d’une application proportionnée, jamais d’une dispense. Une amende calibrée reste potentiellement fatale pour une petite structure.

Un risque opérationnel : 18 mois, c'est court pour un audit complet

Construire un dispositif de conformité solide prend du temps. Cartographier les systèmes, documenter, évaluer la conformité, former les équipes : un audit complet se compte en mois, pas en semaines. Les 18 mois qui séparent aujourd’hui de décembre 2027 paraissent confortables, mais ils se réduisent vite une fois le projet lancé. Attendre la dernière ligne droite revient à improviser sous pression.

Un risque commercial : la pression contractuelle de vos clients B2B

Le marché bouge. Les organisations qui structurent leur démarche dès la publication du Digital Omnibus AI transforment une contrainte réglementaire en avantage. Celles qui attendent décembre 2027 démarreront avec un retard difficile à combler face à des concurrents déjà rodés.

Digital omnibus : Faites appel à un cabinet de compliance pour mettre votre entreprise en conformité pour l’IA

Que faire dès maintenant ? Le plan d'action en 5 étapes​

La conformité IA Act devient un argument contractuel. De plus en plus de donneurs d’ordre exigent de leurs prestataires des garanties écrites sur l’usage et la gouvernance de l’IA. Une entreprise incapable de démontrer sa maîtrise du sujet risque d’être écartée d’appels d’offres ou de voir ses contrats renégociés.

Un risque concurrentiel : vos concurrents avancent déjà

Voici une démarche structurée, applicable quel que soit votre secteur, pour transformer le délai offert par le Digital Omnibus AI en avantage stratégique.

Cartographier vos systèmes d'IA et identifier votre Shadow AI

La première étape consiste à savoir où l’IA est réellement utilisée dans votre organisation. Au-delà des outils officiels, il faut traquer le « Shadow AI » : l’usage non encadré d’outils d’IA par les collaborateurs. Le phénomène est massif.

Selon une étude Microsoft de 2025, 71 % des employés utilisent des outils d’IA non approuvés par leur employeur. Chaque interaction non maîtrisée expose des données sensibles à des serveurs externes, échappant à toute traçabilité.

Déterminer votre statut : déployeur, fournisseur ou les deux

L’IA Act distingue plusieurs rôles :

  • Le fournisseur conçoit et met sur le marché le système : il porte la conformité technique, la documentation et le marquage CE.
  • Le déployeur utilise un système sous sa propre autorité : il doit respecter les instructions, assurer un contrôle humain et conserver les logs.

Une même entreprise peut cumuler les deux statuts. Identifier précisément votre rôle conditionne toutes vos obligations.

Former vos équipes à l'AI literacy

L’article 4 impose une culture de l’IA au sein des équipes. La formation est aussi le meilleur antidote au Shadow AI : un collaborateur formé comprend les risques et adopte spontanément les bons réflexes. Des sessions courtes et régulières, adaptées aux métiers, valent mieux qu’un module théorique unique. L’objectif n’est pas d’interdire l’IA, mais d’en canaliser l’usage dans un cadre sécurisé.

Structurer votre gouvernance IA (charte, comité, registre)

Une gouvernance IA solide repose sur trois piliers :

  • Une charte d’utilisation, accessible à tous, qui pose les règles
  • Un comité pluridisciplinaire réunissant les directions juridique, technique, sécurité et métier
  • Un registre des systèmes d’IA, qui assure la traçabilité indispensable en cas de contrôle.

Cette structuration est le socle sur lequel reposera toute votre démarche de conformité.

Anticiper les exigences haut risque avant décembre 2027

Même si l’échéance haut risque est repoussée, les exigences sont connues. Gestion des risques, qualité des données, documentation technique, contrôle humain, robustesse : autant de chantiers à initier dès maintenant pour les systèmes susceptibles d’être classés à haut risque. Engager ce travail en avance avec l’aide d’un cabinet de conformité IA Act lisse l’effort et évite la précipitation de dernière minute.

Anticiper plutôt qu'attendre : le bon calcul stratégique​

Le Digital Omnibus AI offre une fenêtre, pas une dispense. Les entreprises qui utilisent ce délai pour structurer leur conformité prennent une longueur d’avance. Celles qui le lisent comme une autorisation d’attendre accumuleront un retard juridique, opérationnel et commercial. Le Digital Omnibus AI doit servir de point de départ, pas de prétexte au report. C’est précisément là que l’expertise Eterra prend tout son sens.

En effet, pour être en conformité IA Act sans mobiliser des ressources internes démesurées, un accompagnement structuré reste le meilleur levier. Des outils dédiés comme Themio facilitent par ailleurs le suivi opérationnel de votre démarche.

En résumé

Le Digital Omnibus IA offre une fenêtre, pas une dispense. Le report des obligations « haut risque » à décembre 2027 est réel, mais conditionnel à la publication définitive du texte au Journal officiel de l’UE, attendue avant le 2 août 2026. En attendant, les interdictions de pratiques à risque inacceptable, les obligations GPAI et les exigences de transparence restent pleinement opposables avec des sanctions actives. 

Attendre décembre 2027 pour engager sa mise en conformité, c’est choisir de démarrer sous pression, avec un retard juridique, opérationnel et commercial difficile à rattraper. La bonne lecture du Digital Omnibus IA, c’est un point de départ structuré : cartographie des systèmes, identification du statut fournisseur ou déployeur, formation des équipes à l’AI literacy, gouvernance documentée, et anticipation des exigences haut risque, idéalement avec l’accompagnement d’un cabinet spécialisé comme Eterra.

VOS QUESTIONS

FAQ - Digital Omnibus et conformité IA Act

Avant de nous contacter, vous vous posez peut-être ces questions. Voici des réponses directes de nos consultants seniors.

Le Digital Omnibus IA est-il définitif ?

Non. En juin 2026, l’accord reste provisoire. Le texte doit encore être voté en plénière par le Parlement européen, puis adopté par le Conseil. Il sera ensuite publié au Journal officiel de l’Union européenne, normalement avant le 2 août 2026. Tant que cette publication n’intervient pas, les échéances d’origine de l’IA Act demeurent juridiquement applicables.

Tous les fournisseurs et déployeurs de systèmes d’IA.

Les pratiques interdites (article 5), les obligations GPAI et les obligations de transparence (article 50) sont assorties de sanctions actives. Les amendes peuvent atteindre 35 millions d’euros ou 7 % du chiffre d’affaires mondial pour les infractions les plus graves, selon l’article 99 du règlement.

S’appuyer sur un cabinet de conformité IA Act comme Eterra permet de sécuriser chaque étape : cartographie, qualification de votre statut, gouvernance, formation.

Conformité juridique.

Échangez avec un expert gratuitement Digital Omnibus

This site is registered on wpml.org as a development site. Switch to a production site key to remove this banner.