EU AI Act / règlement européen sur l'IA : ce qui change encore le 2 août 2026 — et comment répondre à une demande de conformité

Réponse rapide : le 2 août 2026 reste une date de conformité majeure du règlement IA, mais son effet exact dépend désormais de l'Omnibus numérique sur l'IA. Selon le règlement IA initial (règlement (UE) 2024/1689), c'était la date à laquelle la plupart des dispositions restantes devenaient applicables, y compris les obligations relatives aux systèmes d'IA à haut risque et le cadre des sanctions. Toutefois, un accord politique provisoire de l'UE conclu le 7 mai 2026 reporterait les obligations à haut risque pour les systèmes autonomes de l'annexe III au 2 décembre 2027, et pour l'IA intégrée dans des produits réglementés au 2 août 2028. Plusieurs obligations de transparence et règles d'application font néanmoins du 2 août 2026 une date importante pour de nombreuses organisations.

Le règlement IA est la première loi complète au monde sur l'intelligence artificielle et entre en application progressivement sur plusieurs années, et non d'un coup. Le jalon du 2 août 2026 a longtemps été décrit comme la date de conformité la plus importante pour la plupart des entreprises. L'Omnibus numérique ne supprime pas cette date, mais il modifie ce qui survient ce jour-là.

Si vous concevez, déployez, vendez ou même achetez des systèmes d'IA touchant des personnes dans l'UE, cela vous concerne toujours. Tout comme la réalité que des plaintes, des demandes d'autorités et des questions de diligence raisonnable menée par des partenaires sur la conformité IA arrivent déjà — et exigent une réponse claire, documentée et formelle.

Ce guide est une information générale, pas un conseil juridique. Le règlement IA est complexe et certaines parties sont en cours de modification via l'Omnibus numérique, qui au moment de la rédaction était un accord provisoire non encore formellement adopté. Vérifiez toujours le texte en vigueur du règlement (UE) 2024/1689 et sollicitez un conseil juridique qualifié pour votre situation.

Le 2 août 2026 reste une date importante du règlement IA, mais tout ce qui était prévu pour ce jour n'arrivera pas forcément en même temps. Voici ce qui demeure.

L'essentiel du règlement devient applicable. L'article 113 du règlement (UE) 2024/1689 prévoit que le règlement s'applique à partir du 2 août 2026, sous réserve d'exceptions antérieures et postérieures. Cette date d'application générale n'est pas supprimée par l'Omnibus numérique.

De nombreuses obligations de transparence restent sur la trajectoire 2026. Une série d'obligations de transparence au titre de l'article 50 — par exemple les obligations des déployeurs de divulguer certains usages de l'IA — restent applicables à partir du 2 août 2026. Une exception importante : l'obligation des fournisseurs au titre de l'article 50, paragraphe 2, de marquer les contenus générés par IA ou synthétiques a été reportée (voir la chronologie ci-dessous).

Les pouvoirs d'application relatifs aux GPAI débutent. Les pouvoirs de surveillance et d'application de la Commission européenne sur les fournisseurs de modèles d'IA à usage général (GPAI) entrent en vigueur le 2 août 2026. Les obligations GPAI elles-mêmes s'appliquent depuis le 2 août 2025.

Le cadre des sanctions s'applique aux règles déjà en vigueur. Les amendes pour les pratiques interdites et les manquements GPAI sont actives. Ce qui bouge, c'est l'application des obligations à haut risque — et donc la portée pratique des sanctions qui y sont spécifiquement liées.

Le 7 mai 2026, le Conseil de l'UE et le Parlement européen ont conclu un accord politique provisoire sur l'Omnibus numérique sur l'IA — le premier ensemble de modifications ciblées du règlement IA depuis son adoption. Il a été motivé par le retard des normes et outils de conformité nécessaires aux systèmes à haut risque. Ces modifications ne produiront leurs effets juridiques qu'après adoption formelle et publication au Journal officiel, qui doivent encore intervenir avant qu'elles ne deviennent contraignantes.

Les principaux changements :

• Obligations à haut risque reportées. Les systèmes autonomes à haut risque de l'annexe III passeraient du 2 août 2026 au 2 décembre 2027. L'IA à haut risque intégrée dans des produits réglementés (annexe I) passerait au 2 août 2028.
• Délai de marquage raccourci, puis reporté. L'obligation des fournisseurs au titre de l'article 50, paragraphe 2, de marquer les contenus générés par IA et synthétiques s'appliquerait à partir du 2 décembre 2026 (un délai de trois mois plutôt que les six initialement envisagés). Les autres obligations de transparence de l'article 50, y compris celles des déployeurs, s'appliqueraient toujours à partir du 2 août 2026.
• Une nouvelle pratique interdite. L'accord ajoute aux interdictions de l'article 5 l'interdiction des images intimes non consenties générées par IA (les « nudifiers ») et de la génération de matériel relatif à des abus sexuels sur mineurs.

Deux réserves. D'abord, ces dates sont conditionnelles : jusqu'à l'adoption formelle et la publication, le calendrier initial pourrait encore s'appliquer si la procédure n'est pas achevée à temps. Ensuite, l'architecture de base du règlement — les niveaux de risque, le régime d'évaluation de la conformité, le volet GPAI et le rôle du Bureau de l'IA — ne change pas. Le report offre du temps de préparation ; il ne supprime pas les obligations.

Le règlement est entré en vigueur le 1er août 2024 et s'applique progressivement comme suit. Les dates 2027-2028 ci-dessous reflètent l'accord provisoire sur l'Omnibus numérique et sont conditionnées à une adoption formelle.

• 2 février 2025 — les pratiques d'IA interdites sont devenues exécutoires et les obligations de compétence en matière d'IA ont commencé.
• 2 août 2025 — les obligations relatives aux modèles GPAI sont devenues applicables. Les structures de gouvernance, dont le Bureau de l'IA, sont devenues opérationnelles, et les États membres devaient avoir mis en place leurs règles de sanctions.
• 2 août 2026 — date d'application principale selon le règlement initial (article 113). Les obligations de transparence de l'article 50 restent importantes, les pouvoirs d'application GPAI débutent et le cadre des sanctions est actif pour les règles déjà en vigueur. Les obligations à haut risque étaient initialement prévues pour cette date, mais l'Omnibus numérique les déplacerait.
• 2 décembre 2026 — nouvelle date proposée pour l'obligation des fournisseurs au titre de l'article 50, paragraphe 2, de marquer les contenus générés par IA et synthétiques, si l'Omnibus numérique est adopté.
• 2 décembre 2027 — nouvelle date d'application proposée pour les systèmes autonomes à haut risque de l'annexe III, si l'Omnibus numérique est adopté.
• 2 août 2028 — nouvelle date d'application proposée pour les systèmes à haut risque intégrés dans des produits réglementés (annexe I), si l'Omnibus numérique est adopté.

Le règlement attribue les obligations selon votre rôle dans la chaîne de valeur de l'IA. Les principaux rôles sont :

• Fournisseur — l'organisation qui développe un système d'IA, ou le fait développer, et le met sur le marché ou en service sous son propre nom. Les fournisseurs portent les obligations les plus lourdes.
• Déployeur — l'organisation qui utilise un système d'IA sous sa propre autorité dans un contexte professionnel. Les déployeurs ont leurs propres obligations, notamment en matière de surveillance humaine et d'usage conforme aux instructions.
• Importateur et distributeur — les organisations qui font entrer des systèmes d'IA de pays tiers sur le marché ou les mettent à disposition, avec des obligations de vérification et de tenue de registres.

Surtout, le règlement a une portée extraterritoriale, et l'Omnibus numérique n'y change rien. Si votre système d'IA, ou ses résultats, est utilisé dans l'Union européenne, le règlement peut s'appliquer à vous quel que soit le siège de votre entreprise. Un fournisseur aux États-Unis, au Royaume-Uni ou ailleurs n'échappe pas au champ d'application au seul motif qu'il n'a pas d'établissement dans l'UE. Ce qui compte, c'est de savoir si le système touche des personnes dans l'UE.

La catégorie à haut risque est celle dont l'Omnibus numérique déplacerait l'échéance, d'où l'intérêt d'être précis.

En gros, deux voies mènent à la classification à haut risque. La première est l'IA utilisée comme composant de sécurité d'un produit déjà réglementé par le droit de l'UE sur la sécurité des produits (annexe I) — voie désormais prévue pour le 2 août 2028. La seconde est la liste des usages autonomes à haut risque de l'annexe III — désormais prévue pour le 2 décembre 2027 — qui couvre notamment :

• l'emploi, le recrutement et la gestion des travailleurs (par exemple les outils de tri de CV ou de recrutement),
• l'accès aux services essentiels privés et publics, y compris la solvabilité et le scoring de crédit,
• la biométrie et la catégorisation biométrique,
• l'éducation et la formation professionnelle (par exemple la notation d'examens ou les décisions d'admission),
• les infrastructures critiques, les forces de l'ordre, la migration et l'administration de la justice.

Le report reflète le fait que les normes harmonisées et les outils de soutien nécessaires pour se conformer à ces exigences sont encore en cours de finalisation. C'est du temps de préparation, pas un sursis : les obligations de fond restent inchangées.

Le règlement utilise une structure de sanctions à plusieurs niveaux, et les montants sont délibérément élevés.

Le niveau le plus sévère s'applique aux violations des règles relatives aux pratiques interdites : des amendes pouvant atteindre 35 millions d'euros ou 7 % du chiffre d'affaires annuel mondial total, le montant le plus élevé étant retenu.

Un deuxième niveau couvre de nombreuses autres violations — y compris les obligations des fournisseurs, déployeurs, importateurs, distributeurs et organismes notifiés, ainsi que les obligations de transparence de l'article 50 : des amendes pouvant atteindre 15 millions d'euros ou 3 % du chiffre d'affaires annuel mondial total, le montant le plus élevé étant retenu.

La fourniture aux autorités d'informations inexactes, incomplètes ou trompeuses relève de son propre niveau, inférieur. À mesure que les obligations à haut risque passent à 2027-2028, les sanctions qui leur sont spécifiquement liées se déplacent avec les obligations de fond, mais les sanctions relatives aux pratiques interdites et aux GPAI sont déjà actives.

Enfin, le règlement IA ne remplace pas le RGPD. Lorsqu'un système d'IA traite des données à caractère personnel, les deux régimes s'appliquent simultanément, et les autorités de protection des données conservent leur compétence sur les aspects relatifs aux données personnelles.

Malgré le report, les demandes formelles se multiplient. Vous pouvez en recevoir d'une autorité nationale de surveillance du marché, du Bureau de l'IA de l'UE (pour les questions GPAI), d'un client ou d'un fournisseur en aval menant une diligence, ou dans le cadre d'une plainte déposée contre vous. Une réponse faible ou tardive peut transformer une demande de routine en enquête.

Une lettre de réponse solide est structurée, factuelle et facile à vérifier. Utilisez cette structure :

1. Identifier précisément la demande

Indiquez clairement à quoi vous répondez : date de la demande, expéditeur, éventuel numéro de référence et exactement ce qui est demandé. Cela montre une lecture attentive et crée une trace claire.

2. Indiquer votre rôle au titre du règlement

Précisez si vous répondez en tant que fournisseur, déployeur, importateur ou distributeur du système en cause, et identifiez précisément le système. Vos obligations découlent de ce rôle.

3. Répondre aux questions précises, point par point

Traitez chaque question soulevée, dans l'ordre, avec des faits. Lorsque le règlement exige une documentation — documentation technique, registres de gestion des risques, mesures de gouvernance des données, dispositifs de surveillance humaine — décrivez ce dont vous disposez et renvoyez aux documents joints.

4. Être franc sur les lacunes et la remédiation

Si quelque chose n'est pas encore en place, ne le cachez pas. Indiquez ce qui manque, ce que vous faites et pour quand. Les autorités réagissent bien mieux à un plan de remédiation documenté qu'au silence ou au déni.

5. Conclure par un contact clair et une étape suivante

Nommez un contact responsable, confirmez votre disponibilité à fournir d'autres informations et proposez une étape suivante ou un calendrier concret. Listez vos pièces jointes.

DocuGov.ai génère des lettres de conformité et de réponse au règlement IA adaptées à la juridiction et fondées sur cette structure — transformant une demande d'autorité stressante en un document clair et professionnel en quelques minutes. Commencez depuis notre page lettres de conformité au règlement IA.

Le règlement ne concerne pas uniquement les obligations des entreprises. Il renforce aussi la position des personnes touchées par les systèmes d'IA, et ces droits méritent d'être connus.

Si vous pensez qu'un système recourt à une pratique interdite — par exemple la notation sociale, certaines formes de surveillance des émotions ou biométrique, ou la nouvelle interdiction des images intimes non consenties générées par IA — vous pouvez le signaler. Voir notre guide pour déposer une plainte concernant une pratique d'IA interdite.

Par ailleurs, au titre du RGPD, vous disposez de droits lorsqu'une décision vous concernant est prise par la seule automatisation. Vous pouvez vous opposer à une telle décision et exiger une intervention humaine avec une opposition au titre de l'article 22 du RGPD, et demander une explication utile sur la manière dont un algorithme a pris une décision vous concernant avec une demande d'explication.

Ces lettres fonctionnent mieux lorsqu'elles sont précises : identifiez la décision, le système (s'il est connu), la date et exactement ce que vous demandez à l'organisation.

Prendre le report pour une suppression. L'Omnibus numérique fait gagner du temps ; il ne supprime pas les obligations à haut risque. Les dates ont été reportées au 2 décembre 2027 et au 2 août 2028 — elles n'ont pas disparu.

Supposer que l'on est hors champ parce qu'on est hors de l'UE. La portée extraterritoriale signifie que le critère est de savoir si le système touche l'UE, pas où vous êtes établi.

S'appuyer sur les nouvelles dates avant qu'elles ne soient en vigueur. L'Omnibus était un accord provisoire au moment de la rédaction. Jusqu'à son adoption formelle et sa publication, prévoyez la possibilité que le calendrier initial s'applique encore.

Confondre les règles GPAI et les règles à haut risque. Les obligations relatives aux modèles GPAI s'appliquent depuis août 2025 ; le régime à haut risque est une couche distincte avec ses propres dates (désormais reportées).

Ignorer une demande d'autorité ou y répondre de façon informelle. Un courriel sans structure ni documents appelle des relances. Une réponse formelle et documentée clôt le dossier.

Oublier le RGPD. Si des données personnelles sont en jeu, vous gérez deux régimes à la fois, pas un seul.

• 2 août 2026 reste la date d'application principale du règlement (article 113), avec les obligations de transparence de l'article 50, les pouvoirs d'application GPAI et un cadre de sanctions actif.
• L'Omnibus numérique sur l'IA (accord provisoire du 7 mai 2026) reporterait les obligations à haut risque : 2 décembre 2027 pour les systèmes autonomes de l'annexe III, 2 août 2028 pour l'IA intégrée dans des produits réglementés.
• L'obligation de marquage des fournisseurs au titre de l'article 50, paragraphe 2, passerait au 2 décembre 2026 ; les autres obligations de l'article 50 restent au 2 août 2026.
• Les nouvelles dates sont conditionnées à l'adoption formelle et à la publication de l'Omnibus.
• Le règlement s'applique quel que soit le siège de votre entreprise si le système d'IA est utilisé dans l'UE.
• Les amendes atteignent 35 millions d'euros ou 7 % du chiffre d'affaires mondial pour les violations les plus graves, et 15 millions d'euros ou 3 % pour beaucoup d'autres.
• En cas de demande de conformité, répondez formellement, point par point, avec documentation. DocuGov.ai peut générer cette lettre pour vous.