Calendrier de mise en œuvre de la EU AI Act: ce qui est déjà obligatoire et ce qui change avec le « Digital Omnibus »


Veille réglementaire

Analyse pratique du règlement (UE) 2024/1689, de ses obligations échelonnées et des reports approuvés par le Conseil le 29 juin 2026.

Publié en juillet 2026
Source normative : EUR-Lex · PE-CONS 30/26
Mise à jour : l'« Omnibus numérique » a été adopté le 29 juin 2026
Analyse normative EU AI Act

Principales conclusions

  • La loi sur l'IA est en vigueur depuis août 2024, mais sa mise en œuvre se fait par étapes : toutes les dispositions n'entrent pas en vigueur en même temps.
  • Le 2 août 2026 est la date générale d'entrée en vigueur du règlement pour les dispositions qui ne font pas l'objet d'un calendrier spécifique, y compris l'article 50 (transparence et étiquetage des contenus synthétiques).
  • Le « Digital Omnibus » a reporté au 2 décembre 2027 les obligations à haut risque prévues à l'annexe III, accordant ainsi un délai supplémentaire de 16 mois par rapport au calendrier initial.
  • L'interdiction des contenus intimes ou sexuels non consentis et des images pédopornographiques générées par l'IA entrera en vigueur le 2 décembre 2026, nouvelle date introduite par la loi Omnibus.
  • Les entreprises qui utilisent déjà l'IA ont des mesures à prendre avant le 2 août 2026 : inventaire, classification des risques, documentation et politiques de supervision humaine.

Une réglementation en vigueur, mais qui s'applique par étapes

Le règlement (UE) 2024/1689, connu sous le nom d’« AI Act » ou « règlement sur l’intelligence artificielle », a été publié au Journal officiel de l’Union européenne le 12 juillet 2024 et est entré en vigueur le 1er août 2024. Cependant, le fait qu’il soit « en vigueur » ne signifie pas qu’il soit « pleinement applicable dès ce moment-là ».

Contrairement à un règlement ordinaire qui prend effet le lendemain de sa publication, l’AI Act prévoit un régime transitoire délibérément échelonné. Le législateur européen a reconnu que l’adaptation des organisations, l’élaboration de normes techniques harmonisées et la mise en place de l’infrastructure institutionnelle de surveillance nécessitaient du temps. Il en résulte un calendrier de mise en œuvre s’étendant de février 2025 à 2031.

Cette gradation a une conséquence directe pour les entreprises : il n’existe pas de moment unique de « conformité ou non-conformité ». Chaque type d’utilisation de l’IA a son propre calendrier, ses propres obligations et sa propre logique de surveillance. Comprendre cette cartographie est la première tâche de tout responsable juridique, technique ou de direction qui souhaite gérer le risque réglementaire en toute connaissance de cause.

Note sur les sources

Cette analyse se fonde sur le texte consolidé du règlement (UE) 2024/1689 (EUR-Lex, CELEX 02024R1689-20240712) ainsi que sur les modifications adoptées par le Conseil de l’UE dans le cadre du « Digital Omnibus » sur l’IA (PE-CONS 30/26), dont l’adoption définitive a eu lieu le 29 juin 2026. À des fins juridiques officielles, il convient de consulter la version consolidée sur EUR-Lex à la date d'utilisation.

Les dates clés de l'AI Act : de ses origines à 2031

Le tableau ci-dessous présente les dates et les étapes clés du règlement (UE) 2024/1689 dans sa version initiale, avant les modifications apportées par le « Digital Omnibus ». Il indique la base réglementaire et les implications pratiques pour les organisations qui déploient ou utilisent l'IA.

Date Cadre réglementaire Obligation / étape clé Lecture pratique
13 juin 2024 Règlement (UE) n° 2024/1689 Date de l'acte législatif du Parlement européen et du Conseil. Texte de base de l'AI Act. Référence pour toute interprétation juridique.
12 juillet 2024 JOUE L 2024/1689 Publication officielle au Journal officiel de l'Union européenne. Début du délai avant l'entrée en vigueur (20 jours plus tard).
1er août 2024 Art. 113 Entrée en vigueur du règlement. La réglementation est en vigueur et sa mise en œuvre progressive a commencé.
Depuis août 2024, chaque année Art. 112.1 Commission : évaluation annuelle de la nécessité de modifier l'annexe III et la liste des pratiques interdites. Pertinent pour la surveillance institutionnelle et d'éventuelles extensions réglementaires.
février 2025 Art. 113.a ; art. 1 à 5 Application des chapitres I et II : dispositions générales, définitions, culture de l'IA et pratiques interdites. Date clé : formation du personnel (art. 4) et interdiction de certaines pratiques (art. 5). Déjà en vigueur.
2 mai 2025 Art. 56.9 Codes de bonnes pratiques relatifs aux modèles d'IA à usage général : date prévue d'achèvement. Assistance aux fournisseurs de modèles GPAI et conformité volontaire.
2 août 2025 Art. 113, point b) ; art. 70, paragraphes 2 et 6 Application du chapitre III, section 4 ; chapitres V, VII, VIII, XII, article 78. Communication des autorités nationales compétentes. Modèles GPAI, gouvernance institutionnelle, confidentialité. Permet d'identifier les autorités de surveillance et la structure de contrôle.
2 février 2026 Articles 6.5 et 72.3 Commission : lignes directrices relatives à la classification des dispositifs à haut risque et modèle de plan de surveillance post-commercialisation. Fondements d'interprétation. L'article 72, paragraphe 3, a été modifié par la loi « Omnibus ».
2 août 2026 ★ Art. 113, règle générale Date générale d'application du règlement pour les dispositions non soumises à un calendrier spécifique. Comprend l'article 50 (transparence et étiquetage des contenus synthétiques). Les dispositions relatives à la transparence prévues à l'article 50 s'appliquent à compter d'aujourd'hui. La catégorie « haut risque » (annexe III) a été reportée au 2 décembre 2027 par la loi Omnibus.
2 août 2027 Art. 113.c (texte original) ; art. 111.3 Application de l'article 6.1 et des obligations relatives aux systèmes à haut risque mis en place avant le 2 août 2025. (Modifié par la loi Omnibus : annexe III → 2 décembre 2027.) Date reportée. Voir le tableau 2 pour plus de détails sur les reports.
2 août 2028 Art. 112.2 ; art. 112.5 à 7 Premières évaluations de la Commission concernant le GPAI, la transparence, la gouvernance, le Bureau de l'IA et l'efficacité énergétique. Étape clé du processus de révision institutionnelle ; peut donner lieu à des modifications.
2 août 2029 Art. 112.3 Premier rapport général d'évaluation et de révision du règlement. Suivi de la mise en œuvre et proposition éventuelle de modification.
2 août 2030 Art. 111.2 Systèmes d'IA à haut risque destinés à être utilisés par les pouvoirs publics : mesures de conformité obligatoires. Régime transitoire spécifique applicable aux utilisations publiques préexistantes.
31 déc. 2030 Art. 111.1 Systèmes d'IA faisant partie de systèmes informatiques de grande envergure visés à l'annexe X, mis sur le marché avant le 2 août 2025. Date limite pour les grands systèmes informatiques réglementés.
2 août 2031 Art. 112.13 Évaluation de la mise en œuvre du règlement après les premières années d'application. Possibilité d'entamer une révision structurelle du modèle de mise en œuvre.

★ Date de référence de cette analyse. La date générale inclut l'article 50 mais exclut le risque élevé de l'annexe III, reporté par le « Digital Omnibus ».

Les changements apportés par le « Digital Omnibus » : ce qui a changé et pourquoi c'est important

Le 29 juin 2026, le Conseil de l'UE a adopté le « Digital Omnibus » sur l'IA (PE-CONS 30/26), un ensemble de modifications apportées à la loi sur l'IA (AI Act) qui ajuste les délais, introduit de nouvelles interdictions et simplifie certaines exigences. Son entrée en vigueur intervient trois jours après sa publication au Journal officiel de l'Union européenne (JOUE).

Le changement le plus important pour la plupart des entreprises est le report des obligations relatives aux risques élevés de l'annexe III du 2 août 2026 au 2 décembre 2027. Cela accorde 16 mois supplémentaires aux fournisseurs et aux intégrateurs de systèmes opérant dans des domaines tels que la biométrie, les infrastructures critiques, l'emploi, l'éducation, les services essentiels, la migration et l'administration de la justice.

Attention : le report de l'annexe III n'est pas général

Le report au 2 décembre 2027 s'applique à l'annexe III dans son ensemble, mais n'affecte pas l'article 50 (transparence et étiquetage du contenu synthétique), dont la date d'application générale reste fixée au 2 août 2026. L'interdiction des pratiques de manipulation et les obligations en matière d'alphabétisation (art. 4), déjà en vigueur, ne sont pas non plus reportées.

Matière Date de début prévue Nouvelle date / modification Cadre réglementaire Portée pratique
Risque élevé de l'annexe III 2 août 2026 2 déc. 2027 Art. 113.c modifié ; PE-CONS 30/26 Biométrie, infrastructures critiques, emploi, éducation, services essentiels, migration, justice, processus démocratiques.
Risque élevé lié aux produits de l'annexe I 2 août 2027 2 août 2028 Art. 113.c modifié ; PE-CONS 30/26 Systèmes d'IA intégrés aux produits de sécurité (directives sectorielles existantes).
Nouvelles pratiques interdites : contenus intimes/sexuels non consentis et CSAM Non prévu dans le texte initial 2 déc. 2026 Art. 5 modifié ; PE-CONS 30/26 ; PE 16/06/2026 Nouvelle interdiction spécifique concernant la production ou la manipulation de contenus intimes ou sexuels non consentis et de matériel pédopornographique.
Étiquetage du contenu synthétique pour les systèmes déjà commercialisés 2 août 2026 2 déc. 2026 Nouvel art. 111.4 ; art. 50.2 ; PE-CONS 30/26 Les fournisseurs de systèmes, y compris GPAI, qui génèrent du son, des images, des vidéos ou du texte synthétiques et qui étaient déjà présents sur le marché avant le 2 août 2026 bénéficient d'un délai supplémentaire de quatre mois.
« Sandbox » réglementaire national en matière d'IA 2 août 2026 2 août 2027 Art. 57.1 modifié ; Conseil du 29/06/2026 Chaque État membre doit disposer d'au moins un espace d'essai contrôlé ; délai prolongé d'un an.
Plan de surveillance post-commercialisation Obligatoire avant le 2 février 2026 Guide facultatif avant le 2 septembre 2027 Art. 72.3 modifié ; PE-CONS 30/26 Le modèle obligatoire est remplacé par des lignes directrices de la Commission, plus souples pour les prestataires à haut risque.
Machines et chevauchement réglementaire Régime prévu à l'annexe I de la loi AI Act Actes délégués applicables avant le 2 août 2028 PE-CONS 30/26 ; Règlement (UE) 2023/1230 L'interaction entre la loi sur l'IA et le règlement sur les machines est réorganisée afin d'éviter une double charge réglementaire.
« Aucun report général de la mise en œuvre de la réglementation relative à l’IA n’est prévu : celle-ci continue de s’appliquer à compter du 2 février 2025. Le volet relatif aux modèles d’IA à usage général, applicable à compter du 2 août 2025, n’est pas non plus reporté, sans préjudice de régimes transitoires spécifiques.» — Tableau 2 du rapport Actiaris, Gouvernance de l’IA · Juillet 2026

Ce que les organisations doivent contrôler, et à quel moment

L'intérêt du calendrier ne réside pas dans la mémorisation des dates, mais dans l'organisation de la mise en conformité par niveaux. Une organisation qui déploie l'IA a trois tâches distinctes : savoir quelles sont les utilisations de l'IA et qui les utilise ; déterminer si chaque utilisation relève d'une catégorie réglementée ; et conserver des preuves suffisantes pour démontrer qu'elle opère sous supervision humaine, avec des contrôles adéquats et une documentation traçable.

À partir de février 2025 — déjà obligatoire
Alphabétisation en IA et interdiction des pratiques de manipulation
L'article 4 exige que les fournisseurs, les intégrateurs et les opérateurs veillent à ce que leur personnel dispose d'un niveau de compétence adéquat en matière d'IA. L'article 5 interdit aux autorités publiques d'utiliser des techniques de manipulation du comportement humain, d'exploiter les vulnérabilités et de mettre en place des systèmes de notation sociale.
À partir d'août 2025 — déjà obligatoire
Modèles d'IA à usage général (GPAI) : gouvernance et documentation
Les fournisseurs de GPAI doivent respecter les obligations en matière de transparence, de documentation technique et de droits d'auteur. Les modèles ayant un impact systémique (seuil de 10²⁵ FLOP) sont soumis à des exigences supplémentaires en matière d'évaluation des risques et de notification des incidents.
2 août 2026 — application générale
Article 50 : transparence et étiquetage des contenus synthétiques
Les systèmes d'IA qui interagissent avec des personnes physiques doivent indiquer clairement cette caractéristique. Les systèmes qui génèrent du contenu synthétique (image, audio, vidéo, texte) doivent marquer ce contenu de manière détectable par une machine. Cette obligation s'applique dès aujourd'hui aux systèmes mis sur le marché à compter de cette date ; ceux déjà commercialisés ont jusqu'au 2 décembre 2026 pour s'y conformer.
2 décembre 2026
Nouvelle interdiction : contenus intimes/sexuels non consentis et CSAM
Le « Digital Omnibus » entre en vigueur. Tout système d'IA utilisé pour générer ou manipuler ce type de contenu est expressément interdit à compter de cette date.
2 décembre 2027 — reporté par Omnibus
Risque élevé de l'annexe III : obligations complètes
Documentation technique (annexe IV), gestion des risques, qualité des données, journaux d'activité, supervision humaine, précision et cybersécurité, évaluation de la conformité et suivi post-commercialisation. S'applique à la biométrie, à l'emploi, à l'éducation, aux services essentiels, à l'administration de la justice, à la migration et aux infrastructures critiques.

Les quatre obligations structurelles qui ne peuvent faire l'objet d'un report

Au-delà des dates, le règlement définit quatre catégories d'obligations qui, à des degrés divers, s'appliquent déjà ou s'appliqueront sans dérogation à partir d'août 2026 :

Art. 4 · En vigueur depuis février 2025

Alphabétisation en IA

Les opérateurs et les responsables de la mise en œuvre doivent s'assurer que le personnel travaillant avec des systèmes d'IA dispose des compétences requises. Aucun diplôme n'est exigé, mais il faut pouvoir justifier d'une formation et d'un perfectionnement.

Désormais obligatoire
Art. 50 · En vigueur depuis août 2026

Transparence et étiquetage du contenu synthétique

Obligation d'informer l'utilisateur lorsqu'il interagit avec une IA et de signaler de manière techniquement détectable tout contenu généré artificiellement (images, vidéo, audio, texte).

Depuis le 2 août 2026
Art. 14 · Risque élevé · Déc. 2027

Une supervision humaine efficace

Les systèmes à haut risque doivent être conçus de manière à permettre une surveillance par des personnes physiques. L'intervention humaine doit permettre d'interrompre, de modifier ou de rejeter les résultats du système en temps réel.

Reporté à décembre 2027
Art. 9 à 17 · Risque élevé · Déc. 2027

Documentation technique et gestion des risques

Système de gestion des risques, qualité des données, documentation technique de l'annexe IV, journaux d'activité automatiques, transparence, précision, fiabilité et cybersécurité.

Reporté à décembre 2027

Ce que les organisations ne peuvent pas ignorer avant la fin de l'année 2026

Le report de l’annexe III n’élimine pas le risque ; il ne fait que le repousser. Les entreprises qui attendent décembre 2027 pour commencer à mettre en place la traçabilité, la documentation et la supervision humaine arriveront trop tard. L’expérience du RGPD a montré que les organisations qui ont entamé leur mise en conformité deux ou trois ans à l’avance ont été celles qui ont pu démontrer une conformité réelle ; celles qui ont attendu le dernier mois ont opté pour des solutions de façade qui n’ont pas résisté à un audit.

Il y a trois mesures que toute organisation devrait avoir mises en œuvre ou en cours de mise en œuvre avant janvier 2027 :

1 · Inventaire des utilisations de l'IA

Recenser tous les systèmes d'IA déployés ou en service : fournisseur, fonction, données traitées, s'ils prennent ou contribuent à la prise de décisions, s'ils ont un impact sur des personnes physiques. Sans inventaire, aucune classification n'est possible.

2 · Classification des risques réglementaires

Pour chaque système d'inventaire : s'agit-il d'un système à usage général (GPAI) ? Relève-t-il d'une des catégories de l'annexe III ? Génère-t-il du contenu synthétique ? Prend-il des décisions concernant des personnes ? La classification détermine quel régime s'applique et à quelle date.

3 · Documentation relative à la surveillance humaine et à la traçabilité

Pour les utilisations ayant le plus d'impact, commencez à documenter : qui supervise les résultats de l'IA, comment les interventions humaines sont-elles consignées, quelles preuves existe-t-il que le processus fait l'objet d'un contrôle réel ? Cette documentation est utile aussi bien dans le cadre d'un audit mené par l'autorité de régulation que lors d'un litige contractuel ou d'une procédure judiciaire.

Ces trois mesures ne constituent pas des obligations formelles imposées par l'AI Act à tous les systèmes, mais elles constituent le minimum requis pour pouvoir répondre à toute autorité de contrôle ou contrepartie qui exigerait de justifier la gouvernance du système d'IA utilisé.

V-PROOF · Référence

Les preuves cryptographiques en réponse aux obligations prévues à l'article 50

L'obligation de transparence prévue à l'article 50 — à savoir le marquage techniquement détectable du contenu généré par l'IA — exige quelque chose que les systèmes traditionnels de gestion documentaire ne fournissent pas : une preuve vérifiable et indépendante attestant que ce contenu a une origine donnée, qu'il a été révisé par un être humain et que cette preuve n'a pas été altérée.

V-PROOF fonctionne comme une couche de preuve cryptographique sur les résultats générés par l'IA : il génère un hash du document ou du contenu, l'ancre via IPFS et l'enregistre sur Base L2, créant ainsi un sceau on-chain par n'importe quel tiers sans avoir besoin d'identifiants ni dépendre du fournisseur. Cette preuve n’expire pas. Elle ne nécessite pas que l’autorité de régulation fasse confiance au système de l’entreprise ; elle peut la vérifier de manière indépendante.

Outre l'article 50, V-PROOF l'aspect probatoire de l'article 14 (surveillance humaine : enregistrement immuable des interventions et des autorisations critiques) et de l'article 16 (traçabilité et intégrité des données dans les systèmes à haut risque).

Pour en savoir plus, rendez-vous sur vproofprotocol.com →
V-PROOF · Analyse de la couverture

Que couvre V-PROOF le cadre de la EU AI Act?

Atouts, limites, opportunités réglementaires et risques liés à l'adoption

F Points forts · Ce que cela couvre
  • Preuve cryptographique immuable des résultats générés par l'IA — hash + IPFS + Base L2, vérifiable par tout tiers sans identifiants ni dépendance vis-à-vis du fournisseur. Art. 50 · Marquage du contenu généré par l’IA
  • Registre immuable des interventions et des autorisations relatives à la supervision humaine des systèmes d’IA. Art. 14 · Supervision humaine
  • Cachet d'intégrité et de traçabilité des données traitées par des systèmes à haut risque, avec timestamp on-chain. Art. 16 · Obligations des fournisseurs à haut risque
  • Documentation technique vérifiable et piste d'audit des journaux d'événements critiques du système. Art. 12 · Enregistrement des journaux · Art. 13 · Transparence
  • Pas d'infrastructure supplémentaire. Pas de mise en route complexe. Intégration aux systèmes existants. Tous les articles concernés · Mise en œuvre transversale
O Opportunités · Où le marché est-il actif ?
  • L'article 50 est en vigueur depuis le 2 août 2026 : toute organisation produisant du contenu synthétique doit y apposer une balise technique détectable. Article 50 · Entrée en vigueur immédiate
  • Digital Omnibus : 16 mois supplémentaires pour préparer les éléments de preuve relatifs aux risques élevés. Période de mise en œuvre sans pression. Art. 113 modifié · PE-CONS 30/26
  • Secteurs réglementés — santé, finance, ressources humaines, éducation — relevant de l'annexe III et soumis à des obligations de traçabilité démontrable auprès des autorités de contrôle. Annexe III · Systèmes à haut risque
  • Contrats B2B comportant des clauses relatives à la piste d'audit de l'IA : les intégrateurs exigent des preuves de la part de leurs fournisseurs de modèles. Art. 25 · Responsabilités au sein de la chaîne de valeur
D Faiblesses · Hors du champ d'application
  • Elle ne remplace pas l'évaluation de la conformité effectuée par un organisme notifié pour les systèmes à haut risque. Art. 43 · Évaluation de la conformité
  • Il ne couvre ni l'audit de l'architecture technique du modèle, ni la validation des données d'entraînement. Art. 10 · Gouvernance des données
  • Ne s'applique pas aux systèmes qui ne génèrent pas de résultats documentables ou qui fonctionnent sans résultats intermédiaires enregistrables. Systèmes embarqués ou sans sortie structurée
  • Il ne réalise pas l'inventaire initial des systèmes d'IA de l'organisation — c'est l'étape préalable à V-PROOF. Art. 4 · Sensibilisation · Étape zéro de la conformité
A Menaces · Risques de marché
  • Les organisations qui reportent la mise en conformité jusqu’en 2027 en raison du report de l’annexe III, sans tenir compte du fait que l’article 50 est déjà contraignant. Art. 50 vs. art. 113 modifié · Risque de confusion
  • Confusion entre « évaluation de la conformité » et « éléments de preuve » : les entreprises pensent qu’un audit ponctuel leur suffit pour se mettre en conformité vis-à-vis de l’autorité de régulation. Art. 43 vs. art. 12-14-16 · Malentendu structurel
  • Plateformes GRC et de gestion documentaire proposant une « conformité IA » sans garantie cryptographique, créant ainsi un faux sentiment de protection. Marché · Concurrence non équivalente
  • L'incertitude quant à la date de publication du « Digital Omnibus » au JOUE peut entraîner une paralysie dans les décisions d'investissement en matière de conformité. PE-CONS 30/26 · Publication au JOUE en attente
V-PROOF · Étape suivante

Votre organisation sait-elle où elle en est par rapport à la loi sur l'IA (AI Act) ?

Nous identifions votre exposition réglementaire, classons vos systèmes d'IA et générons les preuves cryptographiques exigées par le règlement. Sans inventaire préalable, sans infrastructure supplémentaire.

Parlons-en →

Sources officielles et références

  1. Texte consolidé du règlement (UE) 2024/1689 — EUR-Lex · CELEX 02024R1689-20240712
  2. Publication officielle de l'AI Act au JOUE — EUR-Lex · ELI / JO
  3. Article 113 et calendrier de référence — AI Act Service Desk · Commission européenne
  4. Site officiel consacré à la mise en œuvre de la loi sur l'IA — Commission européenne · Façonner l'avenir numérique de l'Europe
  5. Texte adopté du « Digital Omnibus » sur l'IA — Conseil de l'UE · PE-CONS 30/26
  6. Adoption définitive par le Conseil, le 29 juin 2026 — Conseil de l'UE · communiqué officiel


Précédent
Précédent

Pourquoi votre organisation a besoin de V-PROOF non d'une plateforme extérieure à l'Union européenne

Suivant
Suivant

IPFS et l'informatique quantique : pourquoi les preuves que vous scellez aujourd'hui avec V-PROOF valides en 2035