Depuis le printemps 2026, une phrase circule dans les comités de direction : « l'AI Act a été repoussé ». Elle s'appuie sur une actualité réelle, l'accord européen du 7 mai 2026 sur le paquet de simplification dit « Digital Omnibus ». Elle est pourtant trompeuse, et cette méprise peut coûter cher.
Car ce qui a été reporté, ce sont les obligations les plus lourdes, celles qui pèsent sur les systèmes d'intelligence artificielle à haut risque. Ce qui n'a pas bougé, c'est l'article 50, le volet transparence, dont les obligations restent applicables au 2 août 2026. Or l'article 50 est précisément celui qui concerne le plus grand nombre d'entreprises, y compris celles qui ne développent aucune intelligence artificielle et se contentent d'en utiliser.
Ce que le Digital Omnibus a réellement décalé
Le règlement européen sur l'intelligence artificielle, le règlement (UE) 2024/1689, est entré en vigueur le 1er août 2024. Son application est échelonnée : interdiction des usages à risque inacceptable depuis février 2025, obligations sur les modèles à usage général depuis août 2025, application générale prévue au 2 août 2026, et systèmes à haut risque intégrés à des produits déjà réglementés en 2027 (source : CNIL).
En novembre 2025, la Commission européenne a proposé un train de simplification, le Digital Omnibus, pour alléger la charge réglementaire numérique et aligner certaines échéances sur la disponibilité réelle des normes techniques. Un accord politique entre le Parlement et le Conseil a été acté le 7 mai 2026, confirmé par les ambassadeurs des États membres le 13 mai. À la mi-juin 2026, ce texte n'est pas encore formellement adopté ni publié au Journal officiel de l'Union : son adoption définitive est attendue avant le 2 août 2026 (source : Parlement européen, Legislative Train Schedule).
Ce report concerne les systèmes à haut risque, et eux seuls. Les systèmes autonomes listés à l'annexe III glissent du 2 août 2026 au 2 décembre 2027. Ceux intégrés à des produits déjà réglementés (annexe I) sont repoussés à 2028 (source : Gibson Dunn, White & Case).
Le report ne touche pas la transparence. L'article 50 reste applicable au 2 août 2026.
Synthèse des analyses Gibson Dunn et White & Case, mai 2026
Une seule nuance touche l'article 50 : l'obligation de marquer les contenus de synthèse dans un format lisible par machine bénéficie d'un sursis de quatre mois, jusqu'au 2 décembre 2026, mais uniquement pour les systèmes déjà mis sur le marché avant le 2 août. Pour tout le reste, et pour tout système nouveau, l'échéance d'août tient.
Ce qu'exige l'article 50
L'article 50 impose des obligations de transparence à deux catégories d'acteurs : les fournisseurs, qui conçoivent les systèmes, et les déployeurs, qui les utilisent. C'est ce second statut qui surprend les dirigeants : une entreprise qui se contente d'utiliser un outil d'IA générative est un déployeur, et porte à ce titre des obligations propres.
Quatre exigences concrètes :
- Les agents conversationnels doivent se déclarer. Un système qui interagit directement avec une personne doit l'informer qu'elle s'adresse à une intelligence artificielle, sauf si c'est évident. Votre service client automatisé est concerné.
- Les contenus de synthèse doivent être marqués. Les images, sons, vidéos et textes générés par IA doivent porter un marquage lisible par machine, à la charge du fournisseur du système.
- Les hypertrucages doivent être signalés. Tout contenu généré ou manipulé par IA représentant des personnes, lieux ou événements de façon trompeuse (les « deepfakes ») doit être divulgué comme tel par celui qui le diffuse.
- Les textes d'information du public doivent être déclarés. Un texte produit par IA et publié pour informer le public sur des sujets d'intérêt général doit indiquer son origine, sauf relecture éditoriale humaine assumée.
Le règlement prévoit des exemptions de bon sens, notamment pour les œuvres artistiques, créatives, satiriques ou fictionnelles, et pour les usages relevant de la détection des infractions pénales (source : texte de l'article 50, EUR-Lex).
Le coût du manquement
L'article 99 du règlement fixe trois paliers de sanction. Les pratiques interdites exposent à une amende pouvant atteindre 35 millions d'euros ou 7 % du chiffre d'affaires annuel mondial. Les autres manquements, et c'est dans cette catégorie que tombe la violation de l'article 50, peuvent atteindre 15 millions d'euros ou 3 % du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu. La transmission d'informations inexactes aux autorités plafonne à 7,5 millions d'euros ou 1 % (source : article 99, EUR-Lex).
Ces montants ne sont pas calibrés pour une entreprise de taille intermédiaire : ils visent les grands acteurs et plafonnent au montant le plus bas pour les plus petites structures. Mais ils fixent un ordre de grandeur, et surtout un signal : la transparence sur l'IA n'est plus une bonne pratique, c'est une obligation assortie d'un risque financier.
En France, une architecture encore en construction
La France n'a pas désigné une autorité unique, mais une architecture à plusieurs voix. La CNIL concentre l'essentiel des cas d'usage sensibles (données personnelles, biométrie, emploi), aux côtés de la DGCCRF et de l'ARCOM. Le projet de loi d'adaptation au droit de l'Union, validé par le Sénat le 17 février 2026, confie ces compétences à la CNIL en modifiant la loi Informatique et Libertés (source : Banque des Territoires).
Deux faits méritent l'attention d'un dirigeant. D'abord, cette désignation a pris du retard : l'architecture de contrôle se finalise encore (source : AI-Regulation). Ensuite, la CNIL a inscrit la conformité à l'IA à son programme de contrôles 2026 (source : IT Social). Le calendrier d'application avance plus vite que le calendrier de préparation des organisations.
Pourquoi c'est un sujet de direction, pas de juriste
Il serait tentant de renvoyer l'article 50 au service juridique ou à la direction des systèmes d'information. Ce serait une erreur d'altitude. La question que pose cette échéance n'est pas « comment se conformer », elle est « qui, dans l'entreprise, sait seulement où l'IA est déjà utilisée ».
Car pour appliquer l'article 50, encore faut-il avoir cartographié ses propres usages. Combien de directions générales peuvent répondre, aujourd'hui, à ces questions ?
- Quels agents conversationnels sont en service chez nous, et lesquels s'adressent à des clients ou à des candidats ?
- Quels contenus publiés à l'extérieur sont produits ou retouchés par une IA ?
- Qui, nommément, est responsable de la conformité de ces usages, et avec quel mandat ?
- Nos prestataires et nos outils intègrent-ils déjà de l'IA générative que nous diffusons sans le savoir ?
C'est la conviction que nous portons chez IARH Consulting : une échéance réglementaire n'est pas d'abord un problème de conformité, c'est un révélateur de gouvernance. L'entreprise qui ne sait pas qui décide, qui pilote et qui contrôle ses usages d'IA ne pourra pas se mettre en conformité, parce qu'elle ne sait pas ce qu'elle doit mettre en conformité.
Ce qu'il reste à faire avant le 2 août
À la date de cet article, il reste moins de deux mois. Le délai n'est plus à une mission longue, mais il suffit pour trois gestes décisifs : établir l'inventaire réel des usages d'IA exposés à l'article 50, désigner un responsable clairement mandaté, et arrêter les quelques décisions de transparence qui s'imposent (mentions sur les agents conversationnels, marquage des contenus, règles de diffusion).
Ces trois gestes ne relèvent pas de la technique. Ils relèvent de l'arbitrage de direction. C'est exactement l'objet d'un cadrage de gouvernance : répondre à « qui décide, qui pilote, qui contrôle » avant que l'échéance ne réponde à votre place.
L'AI Act n'a pas été reporté. Une partie de ses obligations l'a été. Confondre les deux, c'est s'exposer à découvrir le 3 août que le sursis dont on se croyait bénéficiaire ne couvrait pas ses propres usages.