L’Europe vient de réécrire l’AI Act à 4h du matin : on a lu les 7 changements pour toi

Le Digital Omnibus de l’AI Act vient de réécrire le calendrier européen de l’intelligence artificielle.

Dans la nuit du 6 au 7 mai 2026, vers 4h30 du matin, le Conseil de l’UE et le Parlement européen ont scellé un accord politique provisoire qui repousse de seize mois les obligations IA haut risque (source : Bird & Bird, communiqué du 8 mai 2026).

L’accord conserve plusieurs échéances dures pour les PME tech françaises et les agences digitales en 2026.

La lecture rapide promet un soulagement collectif.

La lecture précise révèle un calendrier en trois temps qui décide qui peut respirer en 2026 et qui doit déjà travailler sur la conformité AI Act.

Voici les 7 changements actés et le plan d’action 6 à 8 semaines pour les tenir.

La nuit du 7 mai : ce qui s’est joué à 4h30 du matin pour l’AI Act

Du trilogue cassé du 28 avril à l’accord arraché du 7 mai

Le 28 avril 2026, le précédent trilogue (négociation tripartite Conseil, Parlement et Commission) avait calé sur l’évaluation de conformité des produits Annexe I.

Neuf jours plus tard, sous la pression du calendrier original du 2 août 2026, les négociateurs se sont remis à la table et ont scellé, vers 4h30 du matin le 7 mai 2026, un accord provisoire (source : Bird & Bird, 8 mai 2026).

Le contenu acte trois choix politiques majeurs : dates fixes au lieu d’un mécanisme conditionnel, nouvelle interdiction CSAM à l’article 5 et resserrement du watermarking au 2 décembre 2026.

Le compromis suit la position adoptée le 26 mars 2026 par le Parlement européen, par 569 voix pour, 45 contre et 23 abstentions.

Statut juridique exact au 12 mai 2026

L’accord est politique, pas encore juridique.

Le texte doit être adopté formellement par le Conseil et le Parlement, puis passe en révision juridico-linguistique avant publication au JOUE (Journal officiel de l’Union européenne).

Les institutions visent une adoption avant le 2 août 2026 ; si le JOUE ne publie pas avant cette date butoir, le calendrier original de l’AI Act s’applique automatiquement (source : benoitbellaiche.substack.com).

Toute PME tech française qui gèle son audit haut risque sur la foi du report joue un pari calendaire.

La présidence chypriote du Conseil détient le levier jusqu’au 30 juin 2026 et pousse pour boucler l’adoption rapidement.

Pour la dynamique européenne plus large derrière ce vote, lire notre analyse des 22 propositions de Mistral pour la souveraineté IA européenne.

L’accord reste subordonné à une adoption formelle dans les semaines qui viennent.

En l’état, les nouvelles dates d’application (2 décembre 2027 pour l’Annexe III et 2 août 2028 pour l’Annexe I) peuvent servir de base de planification, sous réserve d’une adoption avant le 2 août 2026 (Bird & Bird).

Annexe III et Annexe I : seize mois de sursis pour l’IA haut risque AI Act

Le premier bloc de l’accord est arithmétique et lisible.

Les obligations des systèmes haut risque Annexe III (huit domaines listés : biométrie, infrastructures critiques, éducation, emploi et RH, services essentiels comme crédit ou assurance, application de la loi, contrôle des frontières, justice) passent du 2 août 2026 au 2 décembre 2027.

Soit 16 mois supplémentaires de runway pour les audits CE, la documentation technique, les tests de biais et la supervision humaine documentée (source : Ethicore Tracker, mai 2026).

Les systèmes Annexe I (IA embarquée dans des produits déjà réglementés : dispositifs médicaux, machines, jouets, véhicules) passent du 2 août 2027 au 2 août 2028.

Soit 12 mois supplémentaires pour aligner le marquage CE produit et l’évaluation de conformité IA.

Les sandboxes nationales (bacs à sable réglementaires, environnements de test encadrés par une autorité de surveillance) passent du 2 août 2026 au 2 août 2027, avec création en parallèle d’une sandbox UE centrale gérée par l’AI Office (source : OneTrust, 1er décembre 2025).

Le mécanisme conditionnel initial a été remplacé par des dates fermes non négociables (source : aiacto.eu, 18 mars 2026).

L’effet pratique pour un éditeur SaaS RH de 80 salariés qui propose un module de pré-tri de CV avec scoring IA : il reste typiquement Annexe III, il gagne 16 mois, mais il doit déjà documenter parce que l’audit RGPD article 22 croisé avec les articles 9 à 15 de l’AI Act ne se boucle pas en 8 semaines.

Le piège du « tout est repoussé » : ce qui reste verrouillé au 2 août 2026

C’est le point le plus mal lu de la presse française et anglo-saxonne.

Trois blocs d’obligations ne bougent pas et restent applicables aux dates prévues.

Article 50 transparence : ferme au 2 août 2026

L’article 50 impose quatre obligations distinctes de transparence : divulgation chatbot, marquage lisible par machine des contenus IA générés, étiquetage visible des deepfakes, signalement des textes IA d’intérêt public (source : artificialintelligenceact.eu).

L’accord du 7 mai 2026 ne touche pas à cette date.

Une agence WordPress lyonnaise de 30 salariés qui installe un chatbot Claude pour ses clients e-commerce doit afficher « vous chattez avec une IA » au plus tard le 2 août 2026.

Le manquement expose à une sanction maximale de 7,5 M€ ou 1 % du chiffre d’affaires mondial (source : nerolia-formation.fr, 3 mai 2026).

L’ARCOM et la DGCCRF se partagent le contrôle de l’article 50 sur le territoire français (source : vie-publique.fr, article 77 du règlement).

GPAI articles 53-55 et article 5 historique : déjà actifs

Les obligations sur les GPAI (modèles IA à usage général : GPT-4, Claude, Gemini, Mistral, Llama) s’appliquent depuis le 2 août 2025 : documentation technique, politique droit d’auteur, résumé des données d’entraînement et signalement des incidents graves restent dus.

L’article 5, qui interdit les pratiques inacceptables (notation sociale, manipulation subliminale, exploitation des vulnérabilités, identification biométrique à distance en temps réel à fins répressives), s’applique depuis le 2 février 2025.

Une infraction à l’article 5 reste exposée à 35 M€ ou 7 % du CA mondial.

Si votre équipe marketing génère du créatif synthétique, fait tourner un chatbot IA ou produit du contenu IA pour des consommateurs européens, l’horloge de conformité transparence court désormais jusqu’au 2 décembre 2026 (Ethicore, mai 2026).

Ce que le Digital Omnibus ajoute ou accélère dans l’AI Act

Trois ajouts modifient le quotidien des PME, indépendamment du report haut risque.

Premier ajout : une nouvelle interdiction de l’article 5 vise les outils IA qui génèrent du contenu d’abus sexuel sur mineurs (CSAM) ou de l’imagerie intime non consentie (nudifier).

L’interdiction couvre la mise sur le marché, la commercialisation sans garde-fous techniques et l’usage par les déployeurs ; les entreprises ont jusqu’au 2 décembre 2026 pour aligner leurs systèmes, revendeurs d’outils tiers compris (source : Bird & Bird, 8 mai 2026).

Deuxième ajout : le watermarking de l’article 50(2) s’applique au 2 août 2026 pour les nouveaux systèmes mais bénéficie d’une période transitoire jusqu’au 2 décembre 2026 pour les systèmes IA générative déjà sur le marché.

C’est plus serré que les 2 février 2027 initialement proposés par la Commission, le Parlement ayant coupé la période de grâce de 6 à 3 mois (source : Ethicore Tracker, mai 2026).

Un freelance prompt engineer qui publie une newsletter générée à 80 % par GPT-4 doit viser le marquage machine-readable au plus tard le 2 décembre 2026.

Troisième ajout : la centralisation de la supervision GPAI dans l’AI Office, l’autorité européenne créée par le règlement.

Pour les PME qui consomment des modèles GPAI sans en fournir, c’est un signal indirect : les fournisseurs amont (OpenAI, Anthropic, Google, Mistral) seront audités à Bruxelles, ce qui clarifie les responsabilités contractuelles B2B.

Small mid-cap : la zone d’arbitrage AI Act que personne ne regarde

L’accord crée une nouvelle catégorie d’entreprises absente de la version initiale de l’AI Act.

La small mid-cap regroupe les entreprises de moins de 750 salariés et moins de 150 M€ de CA annuel ou 129 M€ de bilan (source : OneTrust).

Trois allègements sont actés : documentation technique simplifiée sur les systèmes haut risque, accès prioritaire aux sandboxes nationales et à la sandbox UE centrale, et plafonds de sanction proportionnés (le moindre entre montant fixe et pourcentage de CA).

Le périmètre concerne environ 38 000 entreprises dans l’UE, dont plusieurs milliers en France (source : Commission européenne, IP_26_1024).

Pour une agence en croissance entre 250 et 750 salariés, le sujet structurant devient clair : franchir le seuil PME ne fait plus basculer en régime « grande entreprise », l’allègement small mid-cap tient jusqu’à 750 salariés.

Plan d’action 6 à 8 semaines pour une PME tech française face à l’AI Act

L’accord du 7 mai 2026 réécrit le calendrier sans fermer les chantiers, voici un calendrier datable mi-mai à mi-juillet 2026.

Semaines 1-2 : inventaire et classification des systèmes IA

Lister toutes les briques IA touchées : chatbots clients, outils internes, modules SaaS tiers embarqués, contenus marketing générés.

Pour chaque brique, attribuer une étiquette : article 5 (interdit), haut risque Annexe III (RH, scoring, biométrie), article 50 (chatbot, contenu généré), GPAI utilisateur (consommation de GPT-4, Claude, Mistral).

Documenter fournisseur, version, finalité, volume d’usage et statut RGPD croisé.

Semaines 3-4 : mise en conformité article 50 (l’urgence 2 août 2026)

Sur chaque chatbot : ajouter une mention IA persistante, visible au premier message.

Sur chaque contenu marketing IA publié : préparer un processus éditorial humain documenté qui active l’exception article 50(4), ou à défaut un étiquetage explicite « Contenu généré par IA ».

Sur les deepfakes commerciaux : étiquetage visible obligatoire sans exception.

Toute donnée personnelle traitée relève de la CNIL au titre du RGPD croisé avec l’article 50 (source : leto.legal).

Une option technique récente côté fournisseurs est analysée dans notre dossier sur le modèle local d’OpenAI compatible avec le RGPD.

Semaines 5-6 : préparation du watermarking pour le 2 décembre 2026

Cartographier les flux de contenu IA générés en production : images, vidéos, audio, texte automatisé.

Discuter avec les fournisseurs (OpenAI, Anthropic, Google, Mistral) le statut du watermarking et des métadonnées de provenance.

Tester l’intégration de balises C2PA ou de filigranes invisibles dans le pipeline éditorial avant la version finale du Code de pratique attendue en juin 2026.

Semaines 7-8 : haut risque, audit RGPD croisé et désignation responsable

Sur les briques en Annexe III, démarrer la documentation technique : gestion des risques, qualité des données, contrôle humain, journalisation.

Croiser avec le RGPD article 22 (décisions automatisées) et la DPIA si données sensibles.

Nommer un responsable AI Act en interne ou en externe (souvent le DPO élargi).

Identifier l’autorité de contact selon la finalité : CNIL pour biométrie et RH, DGCCRF comme point de contact unique (article 70.2), ARCOM pour contenus médiatiques, ACPR si scoring crédit, HAS/ANSM si dispositif médical.

L’erreur la plus coûteuse en mai 2026 est d’attendre le 2 décembre 2027 pour s’occuper de la conformité, alors que le 2 août 2026 et le 2 décembre 2026 sont les vraies prochaines lignes rouges pour la transparence IA et le watermarking.

Conclusion : la conformité AI Act ne se reporte pas, elle se prépare

Le Digital Omnibus du 7 mai 2026 offre 16 mois de runway sur le haut risque mais ne change rien aux trois lignes rouges qui structurent la conformité IA des PME en 2026.

Les vraies prochaines dates restent le 2 août 2026 pour la transparence, le 2 décembre 2026 pour le watermarking et l’interdiction CSAM, avec vigilance permanente sur l’article 5 et les GPAI déjà actifs.

La small mid-cap ouvre une fenêtre d’arbitrage stratégique pour les agences en croissance entre 250 et 750 salariés.

L’accord reste juridiquement provisoire au 12 mai 2026, ce qui rend le suivi de la publication au JOUE crucial dans les semaines qui viennent.

Pour aller plus loin sur les obligations concrètes par taille d’entreprise, lire notre dossier sur la conformité AI Act des entreprises françaises.

FAQ : 10 questions sur le Digital Omnibus et l’AI Act

L’accord du 7 mai 2026 est-il déjà la loi ?

Non, c’est un accord politique provisoire qui doit être formellement adopté par le Conseil et le Parlement, puis publié au JOUE avant le 2 août 2026 sous peine de retour au calendrier original.

Mes systèmes IA bénéficient-ils du report à décembre 2027 ?

Uniquement s’ils relèvent de l’Annexe III autonome (recrutement, biométrie, crédit, éducation, justice, infrastructures critiques, contrôle des frontières, processus démocratiques) ; l’Annexe I passe au 2 août 2028.

Que reste-t-il applicable au 2 août 2026 malgré l’accord ?

L’article 50 transparence (chatbot, deepfake, contenu IA) reste applicable à cette date, les GPAI articles 53 à 55 sont actifs depuis le 2 août 2025 et l’article 5 interdictions depuis le 2 février 2025.

Mon chatbot doit-il afficher « vous parlez à une IA » à partir de quand ?

Au plus tard le 2 août 2026, avec une sanction maximale de 7,5 M€ ou 1 % du chiffre d’affaires mondial pour les manquements de transparence.

À partir de quelle date marquer le contenu généré par IA que je publie ?

Le watermarking de l’article 50(2) s’applique au 2 août 2026 pour les nouveaux systèmes et au 2 décembre 2026 pour les systèmes IA générative déjà sur le marché (période transitoire raccourcie par le Parlement à 3 mois).

Ma boîte de 80 salariés est-elle PME ou small mid-cap ?

Avec 80 salariés et un CA inférieur à 50 M€, vous êtes une PME au sens européen, avec documentation allégée, sandbox gratuite et plafond de sanction proportionné.

Quelles autorités françaises peuvent me sanctionner ?

La DGCCRF est le point de contact unique (article 70.2), la CNIL traite biométrie et RH, l’ARCOM traite les contenus médiatiques, l’ACPR le scoring financier, la HAS et l’ANSM les dispositifs médicaux.

Concrètement, je fais quoi dans les 8 prochaines semaines ?

Semaines 1-2 inventaire et classification, semaines 3-4 conformité article 50, semaines 5-6 watermarking, semaines 7-8 documentation haut risque et désignation du responsable AI Act (calendrier mi-mai à mi-juillet 2026).

L’AI literacy de l’article 4 reste-t-elle obligatoire ?

Oui, l’article 4 impose la formation des collaborateurs qui utilisent un outil IA en cadre professionnel, et le compromis du 7 mai maintient l’obligation malgré les débats du trilogue.

Que se passe-t-il si le JOUE ne publie pas avant le 2 août 2026 ?

Le calendrier original de l’AI Act s’applique automatiquement avec l’entrée en vigueur des obligations Annexe III dès cette date, ce qui constitue le risque calendaire sous-couvert dans la presse française.