En bref
Le règlement Omnibus IA, adopté par le Parlement européen le 29 juin 2026, reporte les obligations de l'IA Act pour les systèmes IA à haut risque. Les systèmes autonomes (recrutement, crédit, justice prédictive) devaient être conformes au 2 août 2026 ; ils obtiennent jusqu'au 2 décembre 2027. Les systèmes intégrés à des produits déjà réglementés (dispositifs médicaux, machines industrielles) voient leur délai reporté au 2 août 2028. En contrepartie, une nouvelle interdiction est ajoutée sans délai de transition : les systèmes IA générant des contenus sexuels non consentis (deepfakes intimes). Le score modéré reflète un risque réel mais limité dans le temps : le report crée une zone grise de 16 mois pendant laquelle les protections sectorielles (RGPD, directives sectorielles) restent la seule ligne de défense effective.
Ce qu'il faut retenir
- Les obligations IA Act pour les systèmes autonomes à haut risque sont reportées du 2 août 2026 au 2 décembre 2027 — soit 16 mois de délai supplémentaire.
- Les systèmes IA intégrés à des produits réglementés (dispositifs médicaux, machines) ont jusqu'au 2 août 2028.
- Le RGPD reste pleinement applicable sans interruption : le report de l'IA Act ne crée pas de vide juridique sur la protection des données.
- Les interdictions absolues de l'IA Act (notation sociale, identification biométrique en temps réel, manipulation subliminale) ne sont pas reportées — elles sont en vigueur depuis août 2024.
- L'Omnibus IA ajoute une nouvelle interdiction immédiate : les systèmes IA générant des contenus sexuels non consentis (deepfakes intimes).
Le report de l'IA Act ne suspend pas le RGPD. Les droits d'accès, de rectification, d'opposition et à l'explication des décisions algorithmiques restent en vigueur.
Les pratiques interdites depuis août 2024 (notation sociale, manipulation subliminale, identification biométrique en temps réel dans les espaces publics) ne bénéficient d'aucun report.
L'Omnibus ajoute sans délai l'interdiction des IA générant des contenus sexuels non consentis — une avancée concrète pour les victimes de deepfakes intimes.
Dans les secteurs déjà réglementés (santé, finance, transport), les règles sectorielles continuent de s'appliquer aux systèmes IA pendant la période de report.
Analyse par niveau
Score d'impact détaillé
| Critère | Poids | Note |
|---|---|---|
| Impact direct | 15 | |
| Systèmes concernés | 15 | |
| Risque pendant la période de report | 15 | |
| Contrôles existants | 12 | |
| Droits des personnes | 10 | |
| Risque d'extension | 20 | |
| Réversibilité | 13 | |
| Total | 100 | 46 |
Réversibilité
3/5 — Le report est borné dans le temps (2027/2028). Mais si les délais glissent à nouveau, la réversibilité diminue. Le RGPD et les directives sectorielles maintiennent un socle. L'accréditation des notified bodies conditionne la suite.
Idées reçues
Non. Le RGPD reste en vigueur. Les interdictions absolues de l'IA Act (notation sociale, biométrie en temps réel, manipulation subliminale) ne sont pas reportées. Et l'Omnibus ajoute une nouvelle interdiction sur les deepfakes sexuels non consentis, immédiatement applicable.
Les systèmes en question opéraient déjà sans cadre IA Act spécifique avant l'entrée en vigueur prévue en 2026. Le report maintient le statu quo ante, pas un recul sur des droits déjà effectifs. La nouveauté aurait été les obligations de l'IA Act ; leur report repousse une avancée, il ne crée pas une régression.
Chronologie
Sources
- Règlement Omnibus IA (UE) 2026/— du Parlement européen et du Conseil du 29 juin 2026 (JOUE du 1er juillet 2026)
- Règlement (UE) 2024/1689 (IA Act) — texte consolidé après Omnibus
- Commission européenne — rapport sur l'état d'accréditation des notified bodies IA, mai 2026
- Parlement européen — résolution du 12 juin 2026 sur le rapport Omnibus IA
- CEPD (Comité européen de la protection des données) — avis 4/2026 sur la compatibilité de l'Omnibus avec le RGPD