Le 29 juin 2026, le Conseil de l'Union européenne a donné son approbation finale au Digital Omnibus sur l'IA, reportant les obligations à haut risque de l'AI Act européen du 2 août 2026 au 2 décembre 2027 pour les systèmes autonomes, et au 2 août 2028 pour l'IA intégrée dans des produits réglementés. Le vote est intervenu cinq semaines avant l'échéance initiale, après deux trilogues infructueux en avril et mai 2026 qui laissaient les équipes de conformité se préparer à une échéance dont le maintien restait incertain.
Ce report ne marque pas un recul de l'application des règles. Au cours de la même période de 2026, la Commission européenne a infligé à Temu une amende de 200 millions d'euros au titre du Digital Services Act, la Haute Cour irlandaise a confirmé une amende RGPD de 530 millions d'euros contre TikTok, et les autorités nationales sont passées d'un « mode d'observation » à des inspections DORA actives dans les secteurs bancaire et de l'assurance. Le corpus européen de règles sur l'IA, les données et les plateformes est à la fois réécrit et appliqué, selon des calendriers qui coïncident rarement.
Pour les responsables de la gouvernance de l'IA, les DPO et les responsables de la conformité numérique couvrant l'UE, le Royaume-Uni et la Suisse, cette combinaison, échéances mouvantes et amendes bien réelles, constitue l'environnement opérationnel effectif pour le reste de l'année 2026.
L'échéance à haut risque de l'AI Act européen est-elle toujours fixée au 2 août 2026 ?
Non, dès que le Digital Omnibus sur l'IA sera publié au Journal officiel, ce qui est attendu en juillet 2026, il entrera en vigueur trois jours plus tard. Le règlement (UE) 2024/1689 fixait initialement le 2 août 2026 pour les systèmes à haut risque de l'annexe III, couvrant le recrutement, la notation de crédit, l'identification biométrique, l'éducation, la migration et les cas d'usage relevant des forces de l'ordre, et le 2 août 2027 pour les systèmes intégrés à des produits relevant de l'annexe I. Le Parlement européen a approuvé le texte de l'Omnibus le 16 juin 2026 par 423 voix pour, et l'accord du Conseil du 29 juin 2026 a fixé les nouvelles échéances au 2 décembre 2027 et au 2 août 2028 respectivement.
Deux obligations évoluent en sens inverse. Le délai de grâce pour le marquage et l'étiquetage des contenus générés par l'IA au titre de l'article 50 a été réduit de six à trois mois, avançant une nouvelle échéance au 2 décembre 2026 pour les systèmes déjà sur le marché, et l'Omnibus ajoute une interdiction pure et simple de la génération de contenus sexuels ou intimes non consentis et de matériel pédopornographique généré par IA, une disposition sans aucun report. Jusqu'à la publication du texte au Journal officiel, la date initiale du 2 août 2026 reste juridiquement contraignante, si bien que les organisations qui classifient des systèmes au titre de l'annexe III ne peuvent pas simplement suspendre leurs travaux.
Avec quelle rigueur la Commission européenne applique-t-elle le Digital Services Act ?
Avec suffisamment de rigueur pour avoir prononcé deux amendes à neuf chiffres en six mois. Le 5 décembre 2025, la Commission a infligé à X une amende de 120 millions d'euros, sa première décision de non-conformité au titre du DSA, pour la conception trompeuse du badge de vérification bleu, un répertoire publicitaire qui ne respectait pas les règles de divulgation de l'article 39, et des obstacles à l'accès des chercheurs qui enfreignaient l'article 40, paragraphe 12. X a disposé de 60 jours ouvrés pour corriger le problème du badge et de 90 jours pour soumettre un plan de remédiation complet, et a fait appel de la décision devant le Tribunal de l'Union européenne en février 2026, ce qui en fait le premier test judiciaire de l'application du DSA.
Le 28 mai 2026, la Commission a infligé à Temu une amende de 200 millions d'euros, soit 0,38 % de son chiffre d'affaires mondial de 53 milliards d'euros, pour ne pas avoir mené une évaluation des risques adéquate permettant d'identifier les produits illégaux et dangereux sur sa place de marché. Temu dispose jusqu'au 28 août 2026 pour soumettre un plan d'action correctif, et l'enquête plus large de la Commission sur les systèmes de recommandation et la modération des contenus de Temu reste ouverte. Ces deux dossiers reposent sur les obligations de gestion des risques systémiques des articles 34 et 35, les mêmes dispositions qui maintiennent chaque très grande plateforme en ligne et chaque moteur de recherche sous la surveillance continue de la Commission, un domaine où la surveillance réglementaire par plateforme permet de détecter une nouvelle enquête dès son ouverture plutôt que le jour où elle fait la une.
Quelle autorité de contrôle décide réellement d'une affaire RGPD lorsque les données traversent les frontières ?
Dans le cadre du mécanisme de guichet unique, c'est l'autorité de protection des données du lieu où l'entreprise a son principal établissement dans l'UE, ce qui correspond à l'Irlande pour la plupart des plateformes mondiales. La décision de la Commission irlandaise de protection des données (DPC) du 2 mai 2025 a infligé à TikTok une amende de 530 millions d'euros, dont 45 millions pour ne pas avoir correctement informé les utilisateurs au titre de l'article 13, paragraphe 1, point f), et 485 millions pour des transferts illicites de données d'utilisateurs de l'EEE vers la Chine au titre de l'article 46, paragraphe 1, après avoir constaté que TikTok ne pouvait pas démontrer que ses clauses contractuelles types garantissaient aux données de l'EEE un niveau de protection substantiellement équivalent à celui exigé par le RGPD. Le 3 juin 2026, la Haute Cour irlandaise a confirmé à la fois la constatation de responsabilité et le montant de l'amende, tout en renvoyant à l'autorité de contrôle, pour réexamen, l'ordonnance suspendant les transferts futurs, ce qui laisse TikTok en mesure de continuer à transférer des données européennes vers la Chine tant que ce point précis n'est pas réexaminé.
Le montant cumulé des amendes de la DPC irlandaise atteint désormais 4,04 milliards d'euros depuis 2018, toujours dominé par la décision Meta de 1,2 milliard d'euros en 2023. Sur l'ensemble des autorités de contrôle de l'UE, l'enquête de DLA Piper de janvier 2026 estime les sanctions de 2025 à environ 1,2 milliard d'euros, un niveau comparable à 2024, portant le total cumulé à l'échelle de l'Union depuis l'entrée en vigueur du RGPD en 2018 à 7,1 milliards d'euros. Pour un responsable de la conformité, la leçon pratique est que le choix de l'autorité chef de file n'est pas une simple question administrative : il détermine quelle posture d'application, quel calendrier et quelle propension aux amendes transfrontalières régissent réellement le dossier.
Le RGPD est-il lui-même en cours de révision en parallèle de l'AI Act ?
Oui, dans le cadre du même paquet Digital Omnibus, proposé par la Commission le 19 novembre 2025 sous la référence COM(2025) 837. La proposition redéfinirait les données personnelles afin que les données pseudonymisées ne soient plus considérées comme des données personnelles pour une entité qui ne dispose pas des moyens de réidentifier la personne concernée, permettrait aux entreprises de s'appuyer sur la base de l'intérêt légitime du RGPD pour entraîner ou exploiter des modèles d'IA sous réserve de garanties, transférerait les règles de consentement aux cookies de la directive vie privée et communications électroniques vers le RGPD avec un consentement en un clic valable six mois, et créerait un point de signalement unique pour les violations de données et les incidents de cybersécurité.
Le Comité européen de la protection des données et le Contrôleur européen de la protection des données ont publié un avis conjoint en février 2026 soutenant les mesures de simplification administrative, tout en appelant explicitement les colégislateurs à ne pas adopter la redéfinition des données personnelles, avertissant qu'elle restreindrait le droit fondamental à la protection des données au-delà de ce qu'une simple modification technique devrait permettre. À la mi-2026, le dossier reste dans la procédure législative ordinaire, les commissions Industrie et Libertés civiles du Parlement en étant conjointement responsables, ce qui signifie que le texte du RGPD auquel une entreprise se conforme aujourd'hui pourrait ne plus être celui en vigueur lorsqu'un programme d'entraînement d'IA actuellement en cours de conception sera mis en production.
Qu'apportent le Digital Markets Act, le Data Act et DORA en complément de l'AI Act et du RGPD ?
Le Digital Markets Act suit sa propre voie d'application contre les mêmes contrôleurs d'accès. Le 22 avril 2025, la Commission a infligé à Apple une amende de 500 millions d'euros pour des pratiques anti-orientation contraires à l'article 5, paragraphe 4, et à Meta une amende de 200 millions d'euros pour son modèle publicitaire « payer ou consentir » contraire à l'article 5, paragraphe 2, les premières amendes de non-conformité prononcées au titre du DMA. Le premier réexamen triennal de la Commission, publié le 3 mai 2026 sous la référence COM(2026) 178, a conclu que le dispositif était adapté à son objectif et ne nécessitait aucune modification législative, tandis que les procédures de spécification ouvertes contre Google Play et Google Search en janvier 2026 restent actives.
Le Data Act est devenu applicable le 12 septembre 2025, donnant aux utilisateurs de produits et services connectés le droit d'accéder aux données que ces produits génèrent et, lorsque cela est possible, de les faire partager en temps réel avec des tiers. Les obligations de conception exigeant que les produits connectés rendent les données accessibles par défaut prendront effet le 12 septembre 2026, et des conditions contractuelles équitables, raisonnables et non discriminatoires s'appliquent à tous les accords de partage de données interentreprises signés après septembre 2025, cette obligation s'étendant à certains contrats existants de longue durée à partir de septembre 2027. Lorsque des données personnelles sont concernées, les sanctions du Data Act suivent les niveaux du RGPD, jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires mondial.
Pour les entités financières en particulier, le délai de grâce de DORA s'est achevé avec l'année 2025. Depuis le premier trimestre 2026, la BCE, la BaFin, l'AMF, la CSSF et d'autres autorités nationales compétentes sont passées de revues de préparation à des évaluations de surveillance formelles portant sur la gestion des risques liés aux TIC, les contrats avec les prestataires tiers et la déclaration des incidents, avec des amendes pouvant atteindre 2 % du chiffre d'affaires mondial pour les établissements, et jusqu'à 1 million d'euros à titre personnel pour les membres des organes de direction qui ne donnent pas suite aux rapports sur les risques liés aux TIC.
| Instrument | Statut (juillet 2026) | Date clé à suivre |
|---|---|---|
| AI Act, annexe III à haut risque | Omnibus adopté, publication au Journal officiel en attente | 2 décembre 2027 (au lieu du 2 août 2026) |
| AI Act, transparence article 50 | Délai de grâce réduit par l'Omnibus | 2 décembre 2026 |
| Application des risques systémiques du DSA | Active, deux amendes prononcées, une en appel | 28 août 2026 (plan correctif de Temu) |
| RGPD (affaire de transfert TikTok) | Responsabilité et amende confirmées, mesure corrective réexaminée | Réexamen par la DPC irlandaise en attente |
| Réforme du RGPD (Digital Omnibus) | En procédure législative ordinaire | Aucune date d'adoption fixée |
| Obligations des contrôleurs d'accès du DMA | Deux amendes prononcées, réexamen achevé, aucun changement | Procédures de spécification Google en cours |
| Obligations de conception du Data Act | Règles principales applicables depuis septembre 2025 | 12 septembre 2026 |
| Application de la surveillance DORA | Délai de grâce terminé, évaluations actives | En continu, selon l'autorité nationale compétente |
Huit instruments, huit calendriers, et au moins trois d'entre eux ont changé de manière substantielle au cours du seul premier semestre 2026. Une équipe de conformité qui suit cela sur un simple tableau est à un communiqué de presse du Conseil près de bâtir un programme autour d'une échéance qui ne s'applique plus, ce qui est précisément l'écart que le compagnon IA d'Obsidian est conçu pour combler : non pas un substitut au jugement juridique, mais un compagnon réglementaire vérifié qui signale le moment où un acte délégué franchit l'examen ou une amende devient définitive.
Que devrait faire une équipe de conformité maintenant ?
Commencez par séparer le texte contraignant de l'AI Act de ses modifications en attente : poursuivez les travaux de classification au titre de l'annexe III en partant du principe que le 2 août 2026 pourrait encore s'appliquer, tout en suivant la progression de l'Omnibus vers sa publication au Journal officiel afin que la nouvelle date du 2 décembre 2027 soit confirmée plutôt que présumée. En parallèle, considérez l'application du DSA et du DMA comme une indication de ce que les régulateurs privilégient réellement, les évaluations des risques systémiques et les restrictions anti-orientation, plutôt que de vous appuyer uniquement sur le texte des règlements.
Pour les équipes qui gèrent leur exposition au RGPD sur plusieurs établissements dans l'UE, confirmez quelle autorité de contrôle détient le statut de chef de file pour chaque activité de traitement et suivez les négociations du Digital Omnibus concernant les changements apportés à la définition des données personnelles, qui pourraient affecter des programmes d'entraînement d'IA déjà en cours. Le MCP pour assistants IA d'Obsidian permet d'intégrer ce suivi directement dans les outils que les équipes de conformité utilisent déjà, et les offres actuelles montrent comment une surveillance par juridiction permet de suivre le rythme d'un corpus réglementaire qui a changé trois fois au cours du premier semestre 2026.