Tous les articles
réglementation IA PME conformité AI Act gouvernance

AI Act : décryptage du report à 2027 pour les PME

Ligne de temps abstraite évoquant un cadre réglementaire sur fond dégradé bleu marine — illustration professionnelle de conformité IA, style SaaS épuré

Le 2 août 2026, les obligations de l'AI Act pour les systèmes d'IA à haut risque devaient entrer en vigueur. Beaucoup de PME commençaient tout juste à s'y préparer — ou ne s'y étaient pas encore attaquées.

Le 6 mai 2026, tout a basculé. Le Parlement européen et le Conseil de l'UE ont conclu un accord politique provisoire dans le cadre du Digital Omnibus : le régime « haut risque » est repoussé de 16 mois. Confirmé par les États membres le 13 mai, l'accord fixe la nouvelle échéance au 2 décembre 2027.

Est-ce une bonne nouvelle pour les PME ? Oui et non.

L'essentiel est de comprendre ce qui est réellement reporté — et ce qui, dès août 2026, reste pleinement applicable.

L'accord du 6 mai 2026 : ce que l'Omnibus contient

L'accord provisoire, confirmé par les États membres le 13 mai, modifie l'AI Act de manière ciblée. Trois changements majeurs concernent directement les entreprises.

D'abord, le report des obligations pour les systèmes à haut risque de l'Annexe III. Cela inclut le recrutement automatisé, l'évaluation de crédit, la notation des employés ou les systèmes éducatifs. La date d'entrée en vigueur passe du 2 août 2026 au 2 décembre 2027.

Ensuite, un report supplémentaire pour l'IA intégrée à des produits réglementés (Annexe I) : dispositifs médicaux, machines, véhicules. Ces systèmes bénéficient d'un délai jusqu'au 2 août 2028.

Enfin, une nouvelle interdiction est ajoutée à l'article 5 : les systèmes d'IA qui génèrent des images intimes non consenties ou du matériel d'abus sexuel sur enfant. L'interdiction s'applique dès que le texte sera formellement adopté, avec une période de transition jusqu'au 2 décembre 2026.

Le cabinet Gibson Dunn, dans son alerte client du 27 mai 2026, insiste sur un point crucial : l'accord n'est pas encore formellement adopté. Le texte est en cours de révision juridico-linguistique. L'adoption formelle et la publication au Journal officiel sont attendues avant le 2 août 2026.

Le calendrier remanié : trois dates à retenir

Pour une PME qui utilise des outils d'IA, le nouveau calendrier se résume à trois échéances.

2 août 2026 : la date ne disparaît pas. Les obligations de transparence de l'article 50 restent applicables. Si votre entreprise utilise un chatbot, génère des contenus par IA ou déploie un système de reconnaissance d'émotions, vous devez en informer les utilisateurs. Les pouvoirs d'exécution de l'AI Office pour les modèles d'IA à usage général entrent également en vigueur.

2 décembre 2026 : date butoir pour le marquage des contenus générés par IA (watermarking). Les systèmes mis sur le marché avant le 2 août 2026 bénéficient d'un délai de grâce de quatre mois — et non jusqu'en février 2027 comme initialement proposé. Ce délai plus court resserre le calendrier pour les fournisseurs.

2 décembre 2027 : les obligations complètes pour les systèmes à haut risque de l'Annexe III deviennent applicables. Gestion des risques, documentation technique, contrôle humain, transparence, enregistrement dans la base de données européenne : tout cela s'appliquera à cette date — sauf modification ultérieure du texte.

Ce qui reste actif au 2 août 2026

Le report des obligations « haut risque » a créé un malentendu. Certains dirigeants croient que l'AI Act tout entier est repoussé. C'est inexact.

Ce qui s'applique dès le 2 août 2026 :

  • L'obligation de transparence (article 50). Toute interaction avec un système d'IA doit être signalée comme telle. Un chatbot de service client doit indiquer qu'il est automatisé. Un contenu généré par IA doit être identifié.
  • Les pratiques interdites (article 5). Les systèmes de notation sociale, la reconnaissance faciale en temps réel dans l'espace public, la manipulation subliminale : ces pratiques sont déjà interdites.
  • L'obligation de compétence IA (article 4). En vigueur depuis février 2025, elle impose de former vos collaborateurs qui utilisent des outils d'IA. Beaucoup de PME ne l'ont pas encore mise en œuvre.
  • Les pouvoirs de l'AI Office. L'autorité européenne disposera de pouvoirs d'enquête, d'inspection et de sanction pour les modèles d'IA à usage général.

Le cabinet Pinsent Masons résume la situation : le report donne du temps pour les obligations les plus lourdes, mais « le 2 août 2026 reste une date de conformité active ».

Le vrai risque : le piège de la non-rétroactivité

Le report de 2027 n'est pas qu'un délai supplémentaire. Il crée une faille réglementaire que les experts jugent préoccupante.

L'article 111 de l'AI Act stipule que le règlement ne s'applique pas de manière rétroactive. Un système d'IA mis sur le marché avant le 2 décembre 2027 — et non « substantiellement modifié » par la suite — pourrait ne jamais avoir à se conformer aux obligations de l'Annexe III.

Laura Caroli, ancienne co-négociatrice de l'AI Act pour le Parlement européen, le formule clairement : un système de recrutement à haut risque déployé avant décembre 2027 « peut rester hors du champ de l'AI Act indéfiniment, à moins d'être substantiellement modifié après cette date ».

Bram Vranken, chercheur au Corporate Europe Observatory, va plus loin : « Une grande partie des systèmes d'IA à haut risque mis sur le marché avant décembre 2027 ne devront jamais se conformer aux règles. »

Ce n'est pas un détail technique. C'est une incitation perverse pour les fournisseurs à déployer rapidement des systèmes d'IA — y compris les plus risqués — avant la date butoir, afin de verrouiller une exemption permanente.

Pour une PME qui achète un outil de recrutement automatisé ou de scoring de crédit d'ici fin 2027, la question n'est plus seulement « est-ce que cet outil est performant ? » mais « est-ce que cet outil a été conçu pour respecter l'AI Act, même si ce n'est pas encore obligatoire ? ».

Trois actions à prendre maintenant

Le report ne signifie pas l'inaction. Voici trois mesures concrètes pour une PME.

1. Inventoriez vos outils d'IA. Listez tous les systèmes que votre entreprise utilise : chatbots, générateurs de contenu, outils de tri de CV, scoring client, assistants de rédaction. Pour chacun, notez s'il relève de l'Annexe III (haut risque) ou d'un usage à risque limité. Cette cartographie est la base de toute démarche de conformité.

2. Formez vos équipes à l'article 4. L'obligation de compétence IA est déjà en vigueur depuis 16 mois. Documentez les formations suivies, les outils utilisés et les collaborateurs concernés. Une formation d'une demi-journée sur les bases de l'IA et les risques associés couvre l'essentiel. Le non-respect n'entraîne pas d'amende directe, mais expose à une responsabilité civile en cas de dommage causé par une utilisation incorrecte.

3. Exigez la transparence de vos fournisseurs. Demandez à chaque fournisseur d'outil IA : votre système est-il classé comme « haut risque » au sens de l'AI Act ? Disposez-vous d'une documentation technique ? Prévoyez-vous une évaluation de conformité ? Si la réponse reste vague, considérez cela comme un signal d'alerte — surtout pour les outils de recrutement ou de scoring.

Le cabinet A-LIGN le rappelle dans son analyse : « Traiter 2027 comme une certitude juridique relève de l'optimisme législatif, pas du fait juridique. La posture prudente est de planifier comme si les délais étendus tiendraient, tout en se préparant comme s'ils ne tiendraient pas. »

Recommandation

Le report de l'AI Act est une respiration, pas des vacances.

Les PME qui utilisent cette fenêtre de 18 mois pour cartographier leurs outils, former leurs équipes et exiger des garanties de leurs fournisseurs seront en position de force en décembre 2027.

Celles qui attendent la dernière minute découvriront que les organismes d'évaluation de conformité sont saturés, que la documentation technique prend six mois à constituer, et que leurs fournisseurs n'ont pas anticipé.

Le 2 août 2026 n'est pas une date fantôme. La transparence et les pratiques interdites s'appliquent. Commencez par là.

Mention IA : cet article a été rédigé avec l'assistance d'un outil d'intelligence artificielle et relu par un humain.

Avertissement : cet article ne constitue pas un avis juridique. Pour une analyse adaptée à votre situation, consultez un professionnel du droit spécialisé en conformité réglementaire.

Sources

  • Gibson Dunn, « EU AI Act Omnibus Agreement — Postponed High-Risk Deadlines and Other Key Changes », Client Alert, 27 mai 2026
  • Pinsent Masons, « Rules on 'high-risk' AI to be delayed under EU 'omnibus' deal », Out-Law News, 7 mai 2026
  • Tech Policy Press, « EU's AI Act Delays Let High-Risk Systems Dodge Oversight », Joana Soares, 2 avril 2026
  • A-LIGN, « What the EU AI Act Enforcement Delay Actually Means for Your Organization », mai 2026
  • ARCO Intelligence, « EU Delays High-Risk AI Deadline 16 Months — But August 2026 Still Bites », 29 mai 2026
  • AI Act Service Desk, Commission européenne, « Timeline for the Implementation of the EU AI Act »
  • MyBusinessFuture, « Règlement IA : Guide des systèmes à haut risque pour les PME », 3 avril 2026

Partager cet article

Retour au blog