Règlement Omnibus AI Act : état du texte et principales évolutions envisagées
Sur le plan procédural, il convient de rappeler que le texte en discussion est la proposition COM (2025) 836, de la Commission du 19 novembre 2025, dans le cadre de la procédure législative ordinaire. Le Conseil a arrêté sa position le 13 mars 2026, puis le Parlement européen a adopté ses amendements le 26 mars 2026. Les négociations interinstitutionnelles (trilogues) entre le Parlement, le Conseil et la Commission peuvent désormais s’engager. Le Dans l’attente du futur compromis et de son adoption formelle, l’AI Act demeure, à ce stade, applicable dans sa rédaction issue du règlement (UE) 2024/1689.
Un ajustement centré sur l’entrée en application du régime des systèmes à haut risque
Le point principal de la proposition concerne le calendrier d’application des obligations relatives aux systèmes d’IA à haut risque. Dans le droit actuellement en vigueur, l’AI Act s’applique en principe à compter du 2 août 2026, avec certaines exceptions : les dispositions des chapitres I et II, comprenant notamment les interdictions et l’obligation d’AI literacy, s’appliquent depuis le 2 février 2025 ; les règles de gouvernance et celles relatives aux modèles d’IA à usage général s’appliquent depuis le 2 août 2025 ; enfin, l’article 6, paragraphe 1, et les obligations correspondantes pour certains systèmes à haut risque intégrés dans des produits couverts par la législation sectorielle ne s’appliquent qu’à compter du 2 août 2027.
La Commission justifie son initiative par l’état d’avancement des instruments d’accompagnement nécessaires à l’application effective du régime « haut risque ». Elle indique notamment que les normes harmonisées prévues pour préciser les exigences applicables ne seront pas disponibles dans le calendrier initialement envisagé. Les documents institutionnels disponibles mentionnent à cet égard que les travaux de normalisation se poursuivent et que l’absence de ces standards compromet l’entrée en application effective des règles relatives au haut risque à la date prévue.
Dans cette perspective, la Commission propose d’ajuster le calendrier d’application des règles relatives au haut risque pour une durée maximale de seize mois, afin que celles-ci n’entrent en vigueur qu’une fois disponibles les outils de conformité nécessaires, notamment les normes harmonisées.
Le Conseil, dans sa position du 13 mars 2026, conserve cette orientation mais substitue à cette logique complexe un calendrier fixe limitant les incertitudes : le nouveau régime s’appliquerait à compter du 2 décembre 2027 pour les systèmes à haut risque autonomes, et du 2 août 2028 pour les systèmes à haut risque intégrés dans des produits. Le Parlement européen, dans ses amendements du 26 mars 2026, rejoint cette approche en retenant les mêmes dates d’application : le 2 décembre 2027 pour les systèmes à haut risque spécifiquement listés dans le règlement (notamment ceux impliquant la biométrie, les infrastructures critiques, l’éducation, l’emploi, les services essentiels, les forces de l’ordre, la justice et la gestion des frontières), et le 2 août 2028 pour les systèmes couverts par la législation sectorielle européenne en matière de sécurité et de surveillance du marché. Le Conseil ajoute également un report au 2 décembre 2027 de l’échéance de mise en place, par les autorités nationales compétentes, des bacs à sable réglementaires.
Des ajustements ciblés sur la mise en conformité et la gouvernance
Au-delà du calendrier, la proposition de la Commission comporte plusieurs ajustements ciblés. Les communications de la Commission indiquent que ces modifications visent notamment à étendre à certaines Small mid-caps des simplifications initialement pensées pour les PME, en particulier sur la documentation technique, à renforcer les pouvoirs de l’AI Office, à réduire la fragmentation de la gouvernance et à élargir les mesures d’accompagnement de la conformité, notamment via les sandboxes réglementaires et les possibilités de tests en conditions réelles. Le Parlement européen soutient ces extensions aux Small mid-caps afin de faciliter le développement des entreprises européennes lorsqu’elles dépassent le statut de PME.
La Commission présente également une évolution de l’approche retenue pour l’AI literacy. Dans sa présentation institutionnelle, elle indique que la proposition tend à faire peser davantage sur la Commission et les États membres une mission de promotion de l’AI literacy et d’accompagnement continu des entreprises, tout en maintenant les exigences de formation propres aux déployeurs de systèmes à haut risque. Cette évolution doit être lue en articulation avec le texte actuellement en vigueur, dans lequel les obligations d’AI literacy s’appliquent depuis le 2 février 2025.
Les apports spécifiques du Conseil
La position du Conseil ne se limite pas à reprendre la proposition de la Commission. Le communiqué du 13 mars 2026 mentionne d’abord l’ajout d’une nouvelle pratique interdite : les usages de l’IA relatifs à la génération de contenus sexuels ou intimes non consentis, ainsi que de contenus pédopornographiques. Le Parlement européen, dans ses amendements du 26 mars 2026, reprend et précise cette interdiction en visant expressément les systèmes dits de « nudification » qui utilisent l’IA pour créer ou manipuler des images sexuellement explicites ou intimes ressemblant à une personne réelle identifiable sans son consentement. L’interdiction ne s’appliquerait toutefois pas aux systèmes d’IA dotés de mesures de sécurité efficaces empêchant les utilisateurs de créer de telles images. Cette modification, si elle était conservée au terme du processus législatif, élargirait donc le périmètre des pratiques prohibées au titre de l’article 5 de l’AI Act.
Le Conseil réintroduit également certaines garanties que la proposition de la Commission avait allégées. Il rétablit ainsi l’obligation, pour les fournisseurs qui considèrent que leur système bénéficie d’une exemption de la qualification de « haut risque », d’enregistrer néanmoins le système dans la base de données européenne dédiée. Il rétablit aussi l’exigence de « strict necessity » pour le traitement des catégories particulières de données à caractère personnel lorsqu’il s’agit d’assurer la détection et la correction des biais. Sur ce dernier point, le Parlement européen se montre favorable au traitement de données personnelles pour détecter et corriger les biais dans les systèmes d’IA, mais introduit des garanties supplémentaires pour s’assurer que ce traitement n’est utilisé que lorsqu’il est strictement nécessaire.
Le Conseil précise en outre la répartition des compétences de supervision. Il indique que l’AI Office serait compétent pour certains systèmes fondés sur des modèles d’IA à usage général lorsque le modèle et le système sont développés par le même fournisseur, tout en prévoyant des exceptions dans lesquelles les autorités nationales demeurent compétentes, notamment dans les secteurs du maintien de l’ordre, de la gestion des frontières, de la justice et de la finance. Le Conseil ajoute enfin une obligation nouvelle pour la Commission : fournir des orientations destinées à aider les opérateurs économiques concernés par les législations sectorielles d’harmonisation à satisfaire aux exigences de l’AI Act en limitant la charge de conformité.
Le Parlement européen ajoute par ailleurs une disposition relative au marquage (watermarking) des contenus générés par l’IA. Les fournisseurs disposeraient jusqu’au 2 novembre 2026 pour se conformer aux règles relatives au marquage des contenus audio, image, vidéo ou texte créés par l’IA, permettant d’identifier leur origine artificielle. Cette mesure vise à renforcer la transparence et la traçabilité des contenus générés par intelligence artificielle.
Enfin, pour éviter les chevauchements entre les règles sectorielles de sécurité des produits et l’AI Act, le Parlement soutient l’idée que les obligations prévues par le règlement sur l’IA puissent être moins strictes pour les produits déjà soumis à des législations sectorielles (par exemple les dispositifs médicaux, les équipements radioélectriques, la sécurité des jouets, etc.). Il y a là un enjeu de cohérence mais aussi de sécurité juridique.
Une simplification à apprécier à l’aune du droit positif
D’un point de vue juridique, la prudence s’impose à ce stade. Le texte Omnibus relatif à l’IA reste en cours d’examen dans le cadre de la procédure législative ordinaire, et les trilogues entre le Parlement, le Conseil et la Commission vont s’ouvrir. Il ne modifie donc pas encore le règlement (UE) 2024/1689. En conséquence, les entreprises doivent continuer à raisonner d’abord à partir du calendrier et des obligations actuellement prévus par l’AI Act, tout en veillant à l’évolution des négociations interinstitutionnelles.
En l’état, l’intérêt principal de cette séquence législative réside moins dans une remise en cause de la structure de l’AI Act que dans une tentative d’en aménager la mise en œuvre. La simplification recherchée porte principalement sur le calendrier d’application, la proportionnalité de certaines obligations, l’accompagnement des opérateurs et la clarification de la gouvernance. Les positions du Conseil et du Parlement montrent cependant que cette simplification peut s’accompagner, sur certains points, d’un maintien ou d’un renforcement des garanties substantielles, comme l’illustrent les nouvelles interdictions relatives aux contenus intimes non consentis ou les exigences en matière de watermarking.
Dans ces conditions, l’Omnibus AI Act peut être vu, à ce stade, comme un texte d’ajustement technique et institutionnel, destiné à rendre plus opérationnelle l’application du règlement de 2024, sans en modifier les équilibres fondamentaux. La convergence observée entre les positions du Conseil et du Parlement sur les principales dispositions, notamment le calendrier et l’interdiction des systèmes de « nudification », laisse présager des négociations potentiellement rapides.
En pratique : que faire maintenant ?
► Continuer la mise en conformité sans attendre : les obligations déjà en vigueur restent pleinement applicables. Cela inclut les interdictions prévues par l’article 5 (depuis le 2 février 2025), l’obligation d’AI literacy pour tous les opérateurs, ainsi que les règles relatives aux modèles d’IA à usage général applicables depuis le 2 août 2025. La mise en conformité sur ces points ne peut être différée.
► Ce qui peut être reconsidéré : les travaux de mise en conformité relatifs aux systèmes d’IA à haut risque peuvent être planifiés sur un horizon plus long à condition cependant que le report de l’application soit confirmé (2 décembre 2027 pour les systèmes autonomes, 2 août 2028 pour les systèmes intégrés). La documentation technique et les évaluations de conformité pourront être échelonnées en conséquence.
► Zones d’incertitude : le texte final dépendra des trilogues en cours. Les seuils définissant les small mid-caps, le périmètre exact de la compétence de l’AI Office, les modalités du watermarking et l’articulation avec les législations sectorielles restent susceptibles d’évoluer. Une veille active sur les négociations interinstitutionnelles demeure indispensable.
Sources officielles mentionnées dans le projet
– Conseil de l’Union européenne – Simplification
– Parlement européen – Communiqué de presse « Artificial Intelligence Act: delayed application, ban on nudifier apps » (26 mars 2026)
– EUR-Lex – Règlement (UE) 2024/1689 (AI Act)
– EUR-Lex – Procédure 2025/0359/COD
– Commission européenne – Regulatory framework proposal on artificial intelligence