Ce que l’accord du 7 mai 2026 modifie réellement — et ce qu’il laisse intact
L’accord provisoire du 7 mai 2026 a été largement commenté comme une « pause » dans l’application de l’AI Act. Cette lecture est inexacte sur le plan technique et risquée sur le plan opérationnel. Analyse.
Périmètre de l’accord : une modification ciblée du règlement (UE) 2024/1689
Le Digital Omnibus on AI n’est pas une refonte de l’AI Act. C’est un amendement ciblé au règlement (UE) 2024/1689, porté dans le cadre du paquet de simplification numérique que la Commission européenne a officiellement adopté le 19 novembre 2025, en réponse aux préoccupations exprimées par les entreprises sur les chevauchements réglementaires et la charge de mise en conformité.
Dans la nuit du 6 au 7 mai 2026, après l’échec d’un premier trilogue le 29 avril, le Parlement européen et le Conseil sont parvenus à un accord provisoire. Le texte doit encore être formellement adopté par les colégislateurs avant publication au Journal officiel de l’UE. Ce point procédural a une conséquence directe : en droit positif, la date du 2 août 2026 demeure aujourd’hui la seule opposable tant que ce processus n’est pas achevé. Les juristes d’entreprise qui calent leurs échéanciers sur décembre 2027 sans réserve prennent un risque procédural réel.
I. Ce que l’accord modifie
1.1 Le report des obligations Annexe I et III
L’accord acte deux nouvelles échéances :
- 2 décembre 2027 pour les systèmes à haut risque autonomes listés à l’Annexe III — biométrie, éducation, emploi, services essentiels, forces de l’ordre, justice, gestion des frontières ;
- 2 août 2028 pour les systèmes d’IA intégrés dans des produits soumis à des règles sectorielles de sécurité, au sens de l’Annexe I.
Le motif du report est déterminant pour son interprétation. Le constat des institutions est sans ambiguïté : les normes harmonisées nécessaires à la mise en conformité des systèmes à haut risque ne seront pas disponibles à temps. Il s’agit donc d’un report conditionné par une indisponibilité normative — non d’une révision à la baisse des exigences substantielles. Cette distinction est essentielle pour la construction des argumentaires de conformité : le report ne peut pas être invoqué comme une remise en cause de l’obligation elle-même.
L’accord souligne explicitement que les travaux de mise en œuvre doivent déjà être en cours. Cette formulation, bien qu’elle n’ait pas de portée normative directe, constitue un élément d’interprétation sur l’intention des colégislateurs : le délai est accordé pour permettre une mise en conformité effective, non pour autoriser l’attentisme.
1.2 Les renforcements ciblés introduits par l’accord, passés sous les radars
Trois apports de l’accord méritent une attention particulière, car ils ont été éclipsés par la communication sur les reports d’échéances.
Le compromis final introduit :
- une interdiction explicite des deepfakes intimes et des contenus d’abus sexuels sur mineurs générés par IA ;
- une centralisation de la supervision des modèles GPAI au niveau européen ;
- une extension des amendes de 3 % du chiffre d’affaires mondial aux manquements à l’article 25.
Ce dernier point élargit matériellement le régime de sanctions : les juristes d’entreprise qui accompagnent des déployeurs intégrant des systèmes d’IA dans leurs processus doivent vérifier l’exposition à ce nouveau seuil.
1.3 L’accélération du watermarking
À rebours de la logique générale de l’accord, la période de transition pour le marquage des contenus générés par l’IA a été raccourcie : l’échéance passe du 2 février 2027 au 2 décembre 2026. Pour les entreprises dont les outils produisent des contenus synthétiques — texte, image, audio, vidéo — l’obligation de détection machine devient prioritaire dans l’échéancier de conformité.
II. Ce que l’accord ne modifie pas
2.1 Le socle déjà en vigueur
Demeurent pleinement applicables :
- les pratiques interdites au titre de l’article 5, opposables depuis le 2 février 2025 ;
- les obligations relatives aux modèles d’IA à usage général au titre des articles 51 à 56, en vigueur depuis le 2 août 2025 ;
- la classification des risques et les critères de qualification de l’Annexe III ;
- les obligations de transparence de base prévues à l’article 50 ;
- le niveau des sanctions, soit jusqu’à 35 millions d’euros ou 7 % du chiffre d’affaires mondial pour les pratiques interdites.
Pour les entreprises intégrant des modèles GPAI dans leurs outils — LLM embarqués dans des workflows internes, assistants de rédaction, outils de traitement documentaire — le régime de l’article 52 est déjà opposable. La documentation de ces intégrations relève de l’urgence, non de la planification à moyen terme.
2.2 Les obligations substantielles Annexe III
Le Digital Omnibus ne simplifie pas les exigences substantielles — il décale leur date d’opposabilité. Ainsi les obligations de documentation technique de l’Annexe IV, de gestion des risques au titre de l’article 9 ou encore de gouvernance des données au titre de l’article 10, existent toujours.
Du point de vue de la construction juridique, cela signifie que les travaux de qualification, de cartographie et de documentation peuvent et doivent être conduits dès maintenant. En cas de contrôle ou de litige, une entreprise incapable de produire un début de dossier de conformité — au motif que l’AI Act aurait été repoussé — se trouvera dans une position critique, y compris avant décembre 2027.
2.3 L’articulation avec le RGPD
Le report du Digital Omnibus ne déplace pas la conformité au RGPD ni les exigences de sécurité de l’information, qui restent le socle technique sur lequel construire la gouvernance des systèmes d’IA. Pour les systèmes d’IA traitant des données à caractère personnel, ce qui couvre la quasi-totalité des systèmes de l’Annexe III, les obligations de l’article 35 du RGPD en matière d’analyse d’impact (AIPD) demeurent pleinement applicables.
III. Le dispositif de contrôle : opérationnel dès maintenant
3.1 La désignation de la CNIL comme autorité nationale compétente
La CNIL a été désignée comme autorité nationale de surveillance de l’AI Act par un amendement à la loi Informatique et Libertés de 1978, validé au Sénat le 17 février 2026. Depuis août 2025, elle dispose d’un double pouvoir de contrôle et de sanction, sur le terrain du RGPD comme sur celui de l’AI Act, pour les systèmes d’IA à haut risque dans des domaines comme la biométrie, les ressources humaines et le scoring.
Le dispositif français repose sur une architecture d’autorités sectorielles : la CNIL comme autorité de référence, aux côtés de la DGCCRF, de l’Arcom, de l’ACPR, de l’AMF, de l’ANSM et de la HAS selon les secteurs concernés. Pour les juristes d’entreprise intervenant dans des secteurs régulés — finance, santé, assurance — la surveillance croisée est donc la règle, non l’exception.
3.2 Une CNIL en posture de sanction affirmée
Le rapport d’activité de la CNIL pour 2025 fait état d’un montant d’amendes en très forte hausse (487 millions d’euros, contre 55 millions en 2024), signe d’une autorité qui assume une posture de sanction plus affirmée. Cette inflexion donne du poids aux priorités annoncées pour 2026 : les axes du plan stratégique ne sont pas des déclarations sans suite, mais des domaines où l’autorité est désormais prête à contrôler et à sanctionner.
La CNIL vérifiera notamment l’application de son guide de recrutement 2023 auprès des grandes entreprises et cabinets de recrutement — information des candidats, base légale des traitements automatisés, durées de conservation des CV — et ce premier terrain servira de vecteur pour son futur rôle de surveillance de marché IA dans le champ du travail, en anticipation directe de l’AI Act.
3.3 L’obligation de littératie IA : premier terrain de sanction nationale
L’article 4 de l’AI Act impose une obligation de littératie à l’IA à tous les déployeurs de systèmes d’IA, sans seuil d’effectif, depuis le 2 février 2025. Les sanctions nationales pour ce manquement s’appliquent à partir du 2 août 2026. L’absence de plan de formation documenté constitue donc un manquement immédiatement opposable à compter de cette date, indépendamment de tout report lié à l’Annexe III.
Points de vigilance
Quatre points appellent une attention particulière
1. Procédural : l’accord du 7 mai 2026 n’est pas encore publié au Journal officiel de l’UE. En droit positif, la date du 2 août 2026 reste la seule opposable. Toute communication interne ou externe présentant décembre 2027 comme une certitude acquise engage la responsabilité de son auteur.
2. Documentaire : les travaux de qualification des systèmes d’IA déployés, de cartographie des traitements associés et de préparation du dossier technique doivent être engagés dès maintenant. L’indisponibilité des normes harmonisées ne constitue pas un obstacle à ces travaux préparatoires.
3. Sectoriel : les entreprises relevant de secteurs régulés — santé, finance, assurance — doivent intégrer la double surveillance CNIL et autorité sectorielle dans leur analyse de risque. La convergence des contrôles RGPD et AI Act sur ces mêmes systèmes est désormais structurelle.
4. Contractuel : les contrats liant déployeurs et fournisseurs de systèmes d’IA doivent être revus à l’aune des nouvelles obligations de l’article 25 et de l’extension du régime de sanctions à 3 % du chiffre d’affaires. La répartition des responsabilités entre fournisseurs et déployeurs au sens de l’AI Act mérite une clause dédiée.
Sources
— Règlement (UE) 2024/1689 (AI Act) : https://eur-lex.europa.eu/legal-content/FR/TXT/HTML/?uri=OJ:L_202401689
— Accord provisoire Conseil/Parlement du 7 mai 2026, procédure 2025/0359(COD) : https://www.consilium.europa.eu/fr/press/press-releases/2026/05/07/artificial-intelligence-council-and-parliament-agree-to-simplify-and-streamline-rules/
— Proposition COM(2025) 836 de la Commission européenne du 19 novembre 2025 : https://eur-lex.europa.eu/legal-content/FR/TXT/HTML/?uri=CELEX:52025PC0836
— Loi DDADUE, amendement désignant la CNIL autorité nationale de surveillance, validé au Sénat le 17 février 2026 : https://www.senat.fr/seances/s202602/s20260217/s20260217019.html
— Rapport d’activité CNIL 2025, publié le 18 mai 2026 : https://www.cnil.fr/fr/rapport-annuel-2025
