Règlement Omnibus IA — adopté le 29 juin 2026 — Report des obligations de l'IA Act pour les systèmes IA autonomes à haut risque : du 2 août 2026 au 2 décembre 2027. Les systèmes intégrés à des produits réglementés : report au 2 août 2028. Le RGPD reste pleinement applicable.
46

Report des protections pour les IA à haut risque — Règlement Omnibus IA

En vigueur numérique europe

En bref

Le règlement Omnibus IA, adopté par le Parlement européen le 29 juin 2026, reporte les obligations de l'IA Act pour les systèmes IA à haut risque. Les systèmes autonomes (recrutement, crédit, justice prédictive) devaient être conformes au 2 août 2026 ; ils obtiennent jusqu'au 2 décembre 2027. Les systèmes intégrés à des produits déjà réglementés (dispositifs médicaux, machines industrielles) voient leur délai reporté au 2 août 2028. En contrepartie, une nouvelle interdiction est ajoutée sans délai de transition : les systèmes IA générant des contenus sexuels non consentis (deepfakes intimes). Le score modéré reflète un risque réel mais limité dans le temps : le report crée une zone grise de 16 mois pendant laquelle les protections sectorielles (RGPD, directives sectorielles) restent la seule ligne de défense effective.

Ce qu'il faut retenir

Août 2024
Interdictions absolues en vigueur (notation sociale, biométrie temps réel…)
2 déc. 2027
Systèmes IA autonomes à haut risque (recrutement, crédit, justice…)
2 août 2028
Systèmes IA intégrés à des produits réglementés (médical, machines…)
Immédiat
Nouvelle interdiction : deepfakes sexuels non consentis (Omnibus IA)
RGPD toujours applicable

Le report de l'IA Act ne suspend pas le RGPD. Les droits d'accès, de rectification, d'opposition et à l'explication des décisions algorithmiques restent en vigueur.

Interdictions absolues maintenues

Les pratiques interdites depuis août 2024 (notation sociale, manipulation subliminale, identification biométrique en temps réel dans les espaces publics) ne bénéficient d'aucun report.

Nouvelle interdiction deepfakes

L'Omnibus ajoute sans délai l'interdiction des IA générant des contenus sexuels non consentis — une avancée concrète pour les victimes de deepfakes intimes.

Directives sectorielles actives

Dans les secteurs déjà réglementés (santé, finance, transport), les règles sectorielles continuent de s'appliquer aux systèmes IA pendant la période de report.

Analyse par niveau

N1 — Texte et portée juridique
Le règlement Omnibus IA modifie le règlement (UE) 2024/1689 (IA Act) aux articles 111 et 113. Il reporte la date d'application des obligations pour les systèmes à haut risque listés à l'Annexe III (systèmes IA autonomes dans des domaines sensibles) du 2 août 2026 au 2 décembre 2027. Pour les systèmes de l'Annexe I (intégrés à des produits réglementés au titre de législations d'harmonisation de l'UE), la date est repoussée au 2 août 2028. Il introduit également un nouvel article 5, paragraphe 1, point i), interdisant sans délai les systèmes IA qui génèrent ou manipulent des contenus sexuels à caractère non consenti impliquant des personnes identifiables.
N2 — Contexte : pourquoi ce report ?
Le report est la résultante de deux pressions convergentes. D'un côté, les industries technologiques européennes et américaines ont argué que la mise en conformité dans les délais prévus était techniquement impossible (manque de standards harmonisés, absence de notified bodies accrédités en nombre suffisant). De l'autre, plusieurs États membres — dont la France et l'Allemagne — ont plaidé pour un assouplissement afin de ne pas pénaliser leurs champions industriels face à la concurrence américaine et chinoise. Le Parlement européen a obtenu en contrepartie la nouvelle interdiction sur les deepfakes intimes et un renforcement des obligations de transparence pour les modèles de fondation à partir de 2025.
N3 — Impact concret pendant la période de report
Pendant les 16 mois de report (août 2026 – décembre 2027), les systèmes IA à haut risque autonomes peuvent continuer d'opérer sans être soumis aux obligations de l'IA Act : pas d'obligation de documentation technique, pas de système de gestion des risques certifié, pas de droit à l'explication algorithmique spécifique au titre de l'IA Act. En pratique, cela concerne les systèmes de tri de CV, de scoring de crédit, d'aide à la décision judiciaire. Le RGPD reste le seul cadre contraignant, ce qui est insuffisant pour les décisions automatisées à fort impact (article 22 RGPD, droit à ne pas être soumis à une décision automatisée, est souvent contourné via la clause "mesure préparatoire").
N4 — Risques : report qui devient permanent ?
Le risque principal est que le report de 2026 devienne le premier d'une série. L'histoire de la régulation numérique européenne montre que les délais de mise en conformité sont régulièrement prolongés sous pression industrielle (voir le règlement eIDAS 2.0, dont l'application a été repoussée trois fois). Si les notified bodies ne sont pas accrédités en nombre suffisant d'ici 2027, un nouveau report sera politiquement inévitable. Le message envoyé aux industriels est que les délais de l'IA Act ne sont pas fermes, ce qui réduit l'incitation à investir massivement dans la conformité.
N5 — Ce que cela change pour les citoyens
Pour un citoyen confronté à une décision IA défavorable (refus de crédit, rejet de candidature, décision judiciaire assistée) entre août 2026 et décembre 2027, les recours au titre de l'IA Act ne sont pas disponibles. Il reste le RGPD (droit d'accès, d'explication limitée) et les voies de recours sectorielles. La nouvelle interdiction sur les deepfakes intimes est en revanche immédiatement utilisable : une victime peut porter plainte sur cette base dès l'entrée en vigueur de l'Omnibus. C'est un droit nouveau, concret et actionnable, qui compense partiellement le recul sur les délais de conformité.

Score d'impact détaillé

CritèrePoidsNote
Impact direct15
5
Systèmes concernés15
7
Risque pendant la période de report15
9
Contrôles existants12
7
Droits des personnes10
5
Risque d'extension20
8
Réversibilité13
5
Total10046

Réversibilité

★★★☆☆

3/5 — Le report est borné dans le temps (2027/2028). Mais si les délais glissent à nouveau, la réversibilité diminue. Le RGPD et les directives sectorielles maintiennent un socle. L'accréditation des notified bodies conditionne la suite.

Idées reçues

"Le report suspend toute protection contre les IA dangereuses"

Non. Le RGPD reste en vigueur. Les interdictions absolues de l'IA Act (notation sociale, biométrie en temps réel, manipulation subliminale) ne sont pas reportées. Et l'Omnibus ajoute une nouvelle interdiction sur les deepfakes sexuels non consentis, immédiatement applicable.

"Les systèmes IA à haut risque vont proliférer sans contrôle pendant 16 mois"

Les systèmes en question opéraient déjà sans cadre IA Act spécifique avant l'entrée en vigueur prévue en 2026. Le report maintient le statu quo ante, pas un recul sur des droits déjà effectifs. La nouveauté aurait été les obligations de l'IA Act ; leur report repousse une avancée, il ne crée pas une régression.

Chronologie

Août 2024
Entrée en vigueur de l'IA Act — les interdictions absolues (notation sociale, biométrie en temps réel…) s'appliquent immédiatement.
Février 2025
Obligations de transparence pour les modèles de fondation (GPT-4, Gemini, Mistral…) entrent en vigueur.
Début 2026
Constat que les notified bodies accrédités pour l'IA Act sont en nombre insuffisant. Les industriels demandent un report. La Commission propose l'Omnibus IA.
29 juin 2026
Adoption du règlement Omnibus IA par le Parlement européen. Report des systèmes autonomes à haut risque au 2 décembre 2027 ; systèmes intégrés au 2 août 2028. Nouvelle interdiction deepfakes sexuels non consentis.
2 août 2026
Date initialement prévue pour les obligations IA Act des systèmes autonomes à haut risque — reportée par l'Omnibus.
2 décembre 2027
Nouvelle date d'application pour les systèmes IA autonomes à haut risque (Annexe III de l'IA Act).
2 août 2028
Nouvelle date d'application pour les systèmes IA intégrés à des produits réglementés (Annexe I de l'IA Act).

Sources

Questions fréquentes

Le RGPD s'applique-t-il encore pendant la période de report ?
Oui. Le RGPD s'applique pleinement et sans interruption, y compris aux systèmes IA à haut risque. Le report de l'IA Act ne crée pas de vide juridique sur la protection des données.
Quels systèmes sont concernés par le report ?
Les systèmes IA autonomes à haut risque (Annexe III de l'IA Act) : recrutement, crédit, justice prédictive, sécurité des infrastructures. Les systèmes intégrés à des produits déjà réglementés (dispositifs médicaux, machines) ont leur propre délai au 2 août 2028.
Les interdictions de l'IA Act sont-elles reportées aussi ?
Non. Les interdictions absolues (IA de notation sociale, identification biométrique en temps réel dans les espaces publics, manipulation subliminale) sont entrées en vigueur en août 2024 et ne sont pas reportées.
Une nouvelle interdiction a-t-elle été ajoutée par l'Omnibus ?
Oui. L'Omnibus IA ajoute l'interdiction des systèmes IA générant des contenus sexuels non consentis (deepfakes intimes), sans période de transition — cette interdiction est immédiatement applicable depuis le 29 juin 2026.