Le 8 juillet 2026, le Parlement européen et le Conseil de l'Union européenne ont signé l'acte final modifiant le règlement (UE) 2024/1689 (l'AI Act) et le règlement (UE) 2018/1139 (le règlement de base de l'EASA) dans le cadre de la procédure 2025/0359(COD), connue sous le nom de Digital Omnibus sur l'IA ou Omnibus VII. Le Conseil avait donné son feu vert définitif le 29 juin 2026, et l'acte a maintenant terminé sa procédure, en attente de publication au Journal officiel de l'Union européenne. Une fois publié, il entrera en vigueur le vingtième jour suivant sa publication.

L'effet matériel est une réinitialisation du calendrier des obligations centrales à haut risque de l'AI Act. La date d'applicabilité générale pour la plupart des obligations à haut risque, initialement fixée au 2 août 2026, est reportée au 2 décembre 2027 pour les systèmes d'IA à haut risque autonomes listés à l'annexe III, et au 2 août 2028 pour les systèmes d'IA à haut risque intégrés dans des produits réglementés couverts par l'annexe I (machines, dispositifs médicaux, diagnostics in vitro, véhicules, aviation, équipements marins). Pour tout responsable de la conformité IA dans l'UE, il s'agit de la première modification substantielle de l'AI Act depuis son adoption en juin 2024, et cela modifie le plan de construction et de conformité de tout système qui visait l'échéance d'août 2026.

La source officielle pour le calendrier de la procédure, les références des co-législateurs et le statut de l'acte final est le dossier de l'Observatoire législatif du Parlement européen pour la procédure 2025/0359(COD). La proposition de la Commission est le document COM(2025) 0836 du 19 novembre 2025, la position du Parlement en première lecture est le texte T10-0198/2026 du 16 juin 2026, et l'adoption par le Conseil est enregistrée au 29 juin 2026. Cet article détaille ce qui a changé, qui est concerné, et ce que vous devez faire ensuite.

Que modifie réellement le Digital Omnibus VII ?

L'omnibus est une simplification ciblée, et non une réécriture. Il modifie deux règlements européens contraignants existants : l'AI Act (règlement (UE) 2024/1689) et le règlement de base de l'EASA (règlement (UE) 2018/1139). Le cadre politique défini par les deux co-législateurs est la "simplification de la mise en œuvre de règles harmonisées sur l'intelligence artificielle", et l'effet juridique principal est un report des dates d'applicabilité pour le haut risque, assorti de clarifications substantielles limitées sur les frontières du régime à haut risque et sur l'interaction avec la législation sectorielle sur la sécurité des produits.

L'ancrage procédural est important pour les équipes de conformité : l'acte a été adopté selon la procédure législative ordinaire (codécision, base juridique du marché intérieur de l'article 114 du TFUE), avec la commission IMCO (rapporteur KOKALARI, PPE) et la commission LIBE (rapporteur MCNAMARA, Renew) conjointement responsables au Parlement européen. Le trilogue s'est conclu en mai 2026, le Parlement a voté sa position en première lecture le 16 juin 2026, le Conseil l'a adoptée le 29 juin 2026, et l'acte final a été signé le 8 juillet 2026. L'étape atteinte dans le dossier de procédure est : "Procédure terminée, en attente de publication au Journal officiel".

Qui doit se conformer, et pour quand ?

Tout fournisseur, déployeur, importateur, distributeur et représentant autorisé d'un système d'IA mis sur le marché de l'UE ou dont les résultats sont utilisés dans l'UE entre dans le champ d'application de l'AI Act, quel que soit le lieu d'établissement du fournisseur. L'omnibus ne restreint pas ce champ d'application. Ce qu'il fait, c'est décaler les dates auxquelles les lourdes obligations liées au haut risque deviennent exécutoires, tout en maintenant le régime des pratiques interdites, le régime de transparence de l'IA à usage général (GPAI) et l'architecture institutionnelle (l'AI Office, l'AI Board, les autorités compétentes nationales) sur leurs calendriers initiaux.

Concrètement, l'échelle d'applicabilité révisée pour le régime à haut risque est la suivante :

Catégorie d'obligationApplicabilité initialeApplicabilité post Omnibus VIICondition
Pratiques interdites de l'article 5 (à l'exclusion des images intimes)2 février 2025 (déjà applicable)Inchangé, en vigueurAucune
Interdiction des images intimes de l'article 52 février 20252 décembre 2026Conditionné à une publication au JO avant le 2 août 2026
Transparence et marquage de l'article 50(2) pour le contenu généré par l'IA2 août 20262 décembre 2026Conditionné à une publication au JO avant le 2 août 2026
Transparence GPAI et désignation de l'AI Office2 août 2025 (déjà applicable)Inchangé, en vigueurAucune
Systèmes d'IA à haut risque autonomes de l'annexe III2 août 20262 décembre 2027Conditionné à une publication au JO avant le 2 août 2026
IA à haut risque intégrée dans des produits de l'annexe I (machines, dispositifs médicaux, IVDR, véhicules, aviation, équipements marins)2 août 20272 août 2028Conditionné à une publication au JO avant le 2 août 2026

La mention "conditionné à une publication au JO avant le 2 août 2026" est la charnière juridique : les reports ne s'appliquent que si l'omnibus est publié au Journal officiel avant la date d'applicabilité initiale du 2 août 2026. Avec l'acte final signé le 8 juillet 2026, cette condition est effectivement remplie, mais le déclencheur formel est la publication au JO, et non la signature. Les équipes doivent suivre la date de publication au JO dans la notice CELEX d'EUR-Lex pour l'acte final, qui suivra la signature de quelques jours.

Quelles obligations de l'AI Act sont déplacées, et lesquelles restent sur le calendrier initial ?

Le report est sélectif. Trois catégories sont déplacées : les obligations pour les systèmes à haut risque autonomes de l'annexe III (au 2 décembre 2027), les obligations pour l'IA à haut risque intégrée dans des produits de l'annexe I (au 2 août 2028), et deux dispositions spécifiques de transparence (l'interdiction des images intimes de l'article 5 et le marquage de l'article 50(2), toutes deux au 2 décembre 2026). Tout le reste, y compris le cœur des pratiques interdites de l'article 5, les obligations de transparence et de documentation GPAI, la voie du code de bonnes pratiques GPAI pour les modèles présentant un risque systémique, et la configuration institutionnelle de l'AI Office et des autorités compétentes nationales, reste sur son calendrier initial.

Ce schéma sélectif est important sur le plan opérationnel. Les fournisseurs de modèles GPAI sont toujours tenus de respecter les obligations de documentation et d'information en aval de l'article 53, applicables depuis le 2 août 2025, et les fournisseurs de modèles GPAI présentant un risque systémique sont toujours soumis aux obligations de l'article 55. Les déployeurs de systèmes de reconnaissance des émotions ou de catégorisation biométrique doivent toujours respecter les obligations de transparence de l'article 50 en vigueur depuis le 2 août 2026, à l'exception de la sous-disposition plus étroite sur le marquage qui est reportée au 2 décembre 2026. Le travail de conformité qui a toujours été programmé pour 2025 et début 2026 reste inchangé, l'omnibus n'offre du temps supplémentaire que pour l'évaluation de la conformité à haut risque, le système de gestion des risques, la gouvernance des données, la documentation technique et les obligations de surveillance post-commercialisation qui s'ajoutent à la classification à haut risque.

Que signifie l'omnibus pour les fournisseurs de systèmes d'IA à haut risque ?

Pour un fournisseur d'un système d'IA à haut risque de l'annexe III (par exemple, un outil de sélection pour le recrutement, un système de notation de crédit, un composant d'infrastructure critique, ou un système d'éligibilité à l'éducation ou aux services essentiels), l'effet pratique est une extension de 16 mois de la fenêtre de développement : du 2 août 2026 au 2 décembre 2027. C'est le temps nécessaire pour achever l'évaluation de la conformité, construire le système de gestion des risques, rassembler la documentation technique, mettre en place la journalisation automatique et la supervision humaine, et contracter avec un organisme notifié si nécessaire. Ce n'est pas le moment de reporter le travail : l'évaluation de la conformité en vertu de l'AI Act est un processus lourd en documentation et en preuves qui prend 6 à 12 mois pour un système complexe, et la nouvelle échéance est encore dans 17 mois.

Pour les fournisseurs d'IA à haut risque intégrée dans des produits de l'annexe I, l'extension va du 2 août 2027 au 2 août 2028. Il s'agit de la catégorie qui chevauche la législation sectorielle sur la sécurité des produits : le règlement sur les machines, le règlement sur les dispositifs médicaux (MDR), le règlement sur les diagnostics in vitro (IVDR), le cadre de réception par type pour l'automobile, et le règlement de base de l'EASA. L'omnibus modifie le règlement de base de l'EASA précisément pour aligner ses dispositions sur l'IA avec la nouvelle date d'août 2028, ce qui explique pourquoi le règlement de base apparaît dans le titre formel de l'acte. Les fournisseurs de cette catégorie doivent replanifier leur évaluation de la conformité pour qu'elle se déroule en parallèle avec le processus sectoriel de marquage CE, et non de manière séquentielle, et doivent s'attendre à ce que les autorités sectorielles compétentes (organismes notifiés pour le MDR/IVDR, autorités de réception par type pour l'automobile, EASA pour l'aviation) se coordonnent avec l'AI Office sur le volet de l'AI Act.

Pour les déployeurs d'IA à haut risque (employeurs, banques, hôpitaux, autorités publiques), l'extension retarde également les obligations incombant au déployeur : l'analyse d'impact sur les droits fondamentaux au titre de l'article 27, les obligations de supervision humaine, l'enregistrement dans la base de données publique de l'UE pour certains déployeurs à haut risque, et l'obligation de surveillance post-commercialisation pour signaler les incidents graves. Les déployeurs qui construisaient des processus pour respecter l'échéance d'août 2026 doivent poursuivre ce développement et utiliser le temps supplémentaire pour le déploiement institutionnel, la formation et l'intégration avec les systèmes de gestion de la conformité existants.

Comment les responsables de la conformité IA doivent-ils replanifier les 18 prochains mois ?

Quatre actions sont désormais urgentes, et les 16 mois supplémentaires n'en suppriment aucune. Premièrement, vous devez redéfinir la feuille de route de conformité en fonction des nouvelles dates du 2 décembre 2027 et du 2 août 2028, et confirmer que la condition de publication au JO est remplie avant de considérer le report comme définitif. Deuxièmement, inventoriez chaque système d'IA concerné et classez-le par rapport aux listes de l'annexe III et de l'annexe I post-omnibus, car la classification détermine l'échéance applicable. Troisièmement, commencez ou poursuivez la préparation de l'évaluation de la conformité, y compris la documentation technique, le système de gestion des risques, les preuves de la gouvernance des données, et l'engagement d'un organisme notifié pour les systèmes qui nécessitent une évaluation de la conformité par un tiers. Quatrièmement, surveillez le flux des actes dérivés : l'AI Office et la Commission publient toujours des actes d'exécution et des actes délégués (le code de bonnes pratiques GPAI, les orientations sur la hiérarchisation des risques élevés, les normes techniques détaillées de l'annexe III) qui complètent les détails opérationnels du régime à haut risque, et ceux-ci arriveront pendant la fenêtre de report.

Le registre de lobbying sur la procédure 2025/0359(COD) est un indicateur utile des prochains points de pression. Le registre de transparence du Parlement européen pour la procédure 2025/0359(COD) consigne des réunions entre les rapporteurs et les rapporteurs fictifs et Mistral AI, Google, l'AI Chamber, noyb, European Digital Rights (EDRi), CCIA Europe, Allegro, Wolt, Inter Ikea, le TIC Council, la Fédération internationale de l'industrie phonographique, les bureaux bruxellois de l'ARD et de la ZDF, l'European Tech Alliance, ALLAI, l'European FinTech Association, et la Fédération européenne des associations de conseil en ingénierie. Cette ampleur d'engagement, couvrant les concepteurs d'IA, les plateformes, les ayants droit, la société civile et les associations sectorielles, signale un fort intérêt des parties prenantes quant à la manière dont le régime à haut risque et ses actes d'exécution seront opérationnalisés pendant la fenêtre de report. Le registre consigne que les réunions ont eu lieu, il ne consigne pas les positions adoptées, cet article n'en attribue donc aucune.

Qu'est-ce qui est resté inchangé alors que les équipes auraient pu s'attendre à un report ?

Trois éléments que l'omnibus n'a pas modifiés méritent d'être signalés, car la presse spécialisée les a parfois confondus avec le report. Le cœur des pratiques interdites de l'article 5 (manipulation subliminale, notation sociale par les autorités publiques, moissonnage non ciblé d'images faciales, déduction des émotions sur le lieu de travail et dans les écoles, catégorisation biométrique pour les attributs sensibles, et identification biométrique à distance en temps réel par les autorités publiques) reste en vigueur et est déjà exécutoire. Le régime de transparence GPAI reste en vigueur. Et l'architecture institutionnelle, l'AI Office au sein de la Commission, l'European AI Board, le forum consultatif et le groupe scientifique, reste en vigueur. L'omnibus est strictement un report pour le haut risque et un alignement ciblé du règlement de base de l'EASA, et non une pause globale de l'AI Act.

C'est exactement là qu'une veille continue par juridiction prend tout son sens. Un signal qui est passé d'un "accord en trilogue" à une "adoption par le Conseil", puis à un "acte final signé" et à une "publication au JO" en l'espace de deux mois a remodelé toutes les feuilles de route de conformité à l'IA dans l'UE. Obsidian suit cette chaîne de signaux de bout en bout, avec une traçabilité ancrée dans le corpus réglementaire qui relie chaque étape procédurale à l'article spécifique du règlement sous-jacent. L'IA est un compagnon réglementaire vérifié, jamais un substitut à l'expert humain qui valide l'évaluation de la conformité, mais c'est le moyen le plus rapide de faire remonter le changement dès qu'un co-législateur agit. Consultez la page monitoring et la page du compagnon IA pour voir comment cela fonctionne en pratique, ainsi que la page pricing pour la structure des offres.

Suivez ce sujet en temps réel avec une tâche de monitoring gratuite

Pour les 18 prochains mois, la liste de contrôle est simple. Confirmez la date de publication au JO dans EUR-Lex dès qu'elle est disponible, redéfinissez chaque plan de projet d'IA à haut risque par rapport au 2 décembre 2027 (annexe III) ou au 2 août 2028 (annexe I), maintenez le travail sur la transparence GPAI et les pratiques interdites sur son calendrier initial de 2025-2026, informez par écrit les équipes produit, juridique, d'ingénierie ML et d'achats des nouvelles dates, et suivez le flux des actes d'exécution de l'AI Office qui complèteront les détails opérationnels pendant la fenêtre de report. Obsidian continuera de signaler chaque avancée substantielle sur l'AI Act et le Digital Omnibus au fur et à mesure.