AI Act : le règlement omnibus numérique sur l’IA reporte et simplifie les obligations de conformité
Ce qu’il faut retenir
Le règlement dit “omnibus numérique sur l’IA”, adopté le 8 juillet 2026, vise à simplifier et rationaliser certaines règles relatives à l’intelligence artificielle. Ce texte n’abroge pas l’AI Act. Il en ajuste certains mécanismes, afin de faciliter sa mise en œuvre.
Le règlement dit “omnibus numérique sur l’IA”, qui vise à simplifier et rationaliser certaines règles relatives à l’intelligence artificielle a été adopté le 8 juillet 2026. (1) Ce texte s’inscrit dans un mouvement plus large de simplification du cadre réglementaire européen applicable aux entreprises.
Le règlement omnibus numérique sur l’IA n’abroge pas le règlement européen sur l’intelligence artificielle (“règlement sur l’intelligence artificielle”, “RIA” ou “AI Act”), adopté il y a à peine 2 ans. (2) Il en ajuste certains mécanismes, afin de faciliter sa mise en œuvre.
Ce règlement a pour but de préserver les objectifs de l’AI Act, tout en évitant que sa mise en œuvre ne devienne excessivement complexe, coûteuse ou incertaine pour les opérateurs économiques. Il doit donc être lu comme une révision opérationnelle de l’AI Act en ce qu’il reporte certaines échéances, clarifie plusieurs notions clés et introduit de nouvelles mesures ciblées.
1. Les principales mesures adoptées par le règlement omnibus numérique sur l’IA
La plupart des mesures adoptées consistent à modifier ou ajuster des dispositions existantes de l’AI Act concernant principalement les systèmes d’IA à haut risque. Le règlement omnibus introduit également plusieurs mesures nouvelles, notamment l’interdiction de certains contenus intimes ou sexuels générés ou manipulés par IA.
1.1 Les modifications apportées à l’AI Act
1.1.1 Le report du calendrier d’application concernant les systèmes d’IA à haut risque : les dispositions relatives aux systèmes à haut risque devaient initialement entrer en application les 2 août 2026 et 2 août 2027. Toutefois, les entreprises ne pouvaient raisonnablement se conformer à leurs obligations légales dans la mesure où les autorités avaient pris du retard dans l’élaboration du cadre technique.
Le règlement omnibus numérique sur l’IA modifie la date d’entrée en application des obligations de conformité :
- Pour les systèmes d’IA classés à haut risque en vertu de l’annexe III de l’AI Act : entrée en application repoussée du 2 août 2026 au 2 décembre 2027.
Sont notamment concernés les systèmes utilisés dans les domaines de la biométrie, des infrastructures critiques, de l’éducation, de l’emploi, de l’accès à certains services essentiels, de la répression (si autorisé), de la migration ou encore de l’administration de la justice.
- Pour les systèmes d’IA classés à haut risque en vertu de l’annexe I de l’AI Act : entrée en application repoussée du 2 août 2027 au 2 août 2028.
Sont concernés par l’annexe I les systèmes d’IA utilisés comme composants de sécurité de produits ou constituant eux-mêmes des produits relevant des législations sectorielles listées à l’annexe I, tels que les dispositifs médicaux, les équipements radioélectriques, les ascenseurs ou les jouets par exemple.
Ces reports de calendrier doivent ainsi permettre aux entreprises de disposer de délais supplémentaires pour organiser leur démarche de mise en conformité à l’AI Act.
1.1.2 La réduction des doublons avec les législations sectorielles : l’un des objectifs de la réglementation omnibus est de réduire les chevauchements entre l’AI Act et certaines législations sectorielles européennes.
Un nouveau paragraphe 13 est ajouté à l’article 2 de l’AI Act. Il permet de limiter l’application de certaines exigences ou obligations des articles 9 à 15 et 17 à 25 lorsque les systèmes d’IA à haut risque relèvent déjà d’une législation d’harmonisation de l’Union figurant à l’annexe I, section A, et lorsque cette législation assure un niveau de protection équivalent ou supérieur.
Cette mesure concerne en particulier les secteurs industriels et réglementés, dans lesquels un produit intégrant de l’IA peut déjà être soumis à des obligations de sécurité, de conformité ou de certification. Elle vise à éviter les doubles évaluations, les exigences redondantes et les interprétations divergentes, sans réduire le niveau global de protection prévu par l’AI Act.
1.1.3 La clarification de la notion de « composant de sécurité » : la notion de composant de sécurité, définie à l’article 3, point 14) de l’AI Act) est clarifiée. Cette notion est déterminante car elle peut conduire à qualifier un système d’IA de système d’IA à haut risque. Le règlement omnibus précise qu’un composant remplit une fonction de sécurité lorsque sa destination est de prévenir ou d’atténuer les risques pour la santé et la sécurité des personnes ou des biens.
Le règlement précise également que les systèmes utilisés uniquement pour des aspects non liés à la sécurité, tels que par exemple l’assistance aux utilisateurs, l’optimisation des performances, ou l’automatisation, ne sont pas considérés comme des composants de sécurité, sauf si leur défaillance ou leur dysfonctionnement met en danger la santé et la sécurité.
Cette clarification devrait éviter une qualification trop large de certains systèmes comme systèmes à haut risque lorsqu’ils n’ont pas de fonction de sécurité à proprement parler.
1.1.4 Les mesures de proportionnalité pour les PME, les start-ups et les petites entreprises à moyenne capitalisation : le règlement omnibus intègre plusieurs mesures destinées à adapter la conformité IA aux PME, aux start-ups (“jeunes pousses”) et aux petites entreprises à moyenne capitalisation tels qu’une documentation technique simplifiée, la proportionnalité du système de gestion de la qualité et la prise en compte de la viabilité économique dans le régime des sanctions. (3)
1.1.5 Le renforcement des bacs à sable réglementaires et des essais en conditions réelles : les bacs à sable réglementaires de l’IA (art. 57 AI Act) sont des environnements contrôlés permettant de développer, tester et valider des systèmes d’IA innovants sous la supervision des autorités compétentes, avant leur mise sur le marché ou leur mise en service.
Le règlement omnibus IA renforce ces mécanismes d’expérimentation. Il permet notamment au Bureau de l’IA de mettre en place un bac à sable réglementaire au niveau de l’Union pour certains systèmes relevant de sa compétence, avec un accès prioritaire pour les PME, les start-ups et les petites entreprises à moyenne capitalisation. Il introduit également un nouvel article 60 bis, qui encadre les essais en conditions réelles de certains systèmes d’IA à haut risque couverts par des législations d’harmonisation de l’Union.
Pour les entreprises innovantes, ces dispositifs peuvent faciliter les échanges avec les autorités compétentes et préparer la conformité avant la mise sur le marché ou la mise en service.
1.2 Les nouvelles mesures introduites par le règlement omnibus IA
1.2.1 L’interdiction de certains contenus intimes ou sexuels générés ou manipulés par IA : à compter du 2 décembre 2026, les systèmes d’IA qui génèrent ou manipulent des contenus intimes ou sexuels d’une personne identifiable, sans son consentement seront interdits, au titre de l’article 5 de l’AI Act, relatif aux pratiques interdites en matière d’IA. Le texte vise également les contenus liés aux abus sexuels sur des enfants.
Cette interdiction concerne notamment les systèmes dits de “nudification”, les deepfakes sexuels et les outils permettant de supprimer artificiellement les vêtements d’une personne sur une image.
1.2.2 Une nouvelle base juridique pour traiter certaines données sensibles afin de détecter et corriger les biais : le règlement omnibus insère un nouvel article 4 bis dans l’AI Act, afin d’encadrer le traitement de catégories particulières de données à caractère personnel pour détecter et corriger les biais des systèmes d’IA à haut risque.
Cette possibilité est strictement limitée. Le traitement doit être nécessaire, aucun objectif équivalent ne doit pouvoir être atteint avec d’autres données, et des garanties renforcées doivent être mises en place, notamment en matière de sécurité, de protection de la vie privée, de contrôle des accès, de documentation, de confidentialité et de suppression des données.
Il ne s’agit pas d’une autorisation générale de traiter des données sensibles dans les projets d’IA, mais d’une base juridique ciblée et encadrée, qui devra être articulée avec les exigences du RGPD.
2. Les autres mesures adoptées
Le règlement omnibus sur l’IA contient également plusieurs mesures plus techniques, destinées à rationaliser l’application de l’AI Act et à clarifier certaines obligations.
2.1 Les mesures de rationalisation destinées à éviter les doublons réglementaires
2.1.1 La simplification en matière d’analyse d’impact : l’AI Act prévoit la réalisation d’une analyse d’impact des systèmes d’IA à haut risque sur les droits fondamentaux (art. 27). Cette disposition est modifiée pour éviter les doublons avec l’analyse d’impact prévue au RGPD (art. 35) notamment.
Lorsque certains éléments sont déjà couverts par une analyse d’impact RGPD, le déployeur pourra renvoyer aux sections pertinentes de cette analyse dans son analyse d’impact sur les droits fondamentaux.
2.1.2 La procédure unique pour certains organismes notifiés : le règlement modifie les articles 28 et 29 afin de faciliter la désignation des organismes notifiés lorsque ceux-ci sont déjà désignés au titre d’une législation sectorielle. Ainsi, le texte prévoit une demande unique et une procédure d’évaluation unifiée, afin d’accélérer et de rationaliser les démarches.
2.1.3 L’articulation de l’AI Act avec le règlement sur la cyberrésilience : les systèmes d’IA à haut risque qui relèvent du règlement sur la cyberrésilience et satisfont aux conditions prévues dans ce règlement sont réputés conformes aux exigences de cybersécurité de l’article 15 du règlement sur l’IA. (4)
Cette mesure permet d’éviter une double démonstration de conformité lorsque les exigences de cybersécurité sont déjà couvertes par le règlement sur la cyberrésilience.
2.2 Les mesures techniques de clarification, de coordination et de transition
2.2.1 La reformulation de l’obligation de maîtrise de l’IA : le règlement omnibus IA remplace l’article 4 de l’AI Act, relatif à la maîtrise de l’IA. La nouvelle rédaction conserve l’obligation, pour les fournisseurs et déployeurs, de prendre des mesures en faveur de la maîtrise de l’IA. Le texte précise toutefois que cette obligation ne les contraint pas de garantir un niveau spécifique de maîtrise de l’IA par chaque individu.
2.2.2 La clarification des relations entre fournisseur initial, nouveau fournisseur et tiers intégrés : l’article 25 est modifié afin de préciser les obligations de coopération lorsqu’un système d’IA est modifié, intégré ou réutilisé d’une manière conduisant à identifier un nouveau fournisseur. Le fournisseur initial devra coopérer avec les nouveaux fournisseurs, mettre à disposition certaines informations, fournir un accès technique et apporter une assistance raisonnablement attendue pour permettre le respect des obligations du règlement IA.
Cette mesure est importante dans les chaînes contractuelles complexes, obligeant les différents intervenants à clarifier contractuellement leurs rôles respectifs.
2.2.3 L’ajout d’une annexe XIV : une nouvelle annexe XIV est ajoutée à l’AI Act. Elle vise à structurer les codes, catégories et types de systèmes d’IA pour la notification des organismes d’évaluation de conformité.
2.2.4 Le renforcement du rôle du Bureau de l’IA : le texte clarifie les compétences du Bureau de l’IA, notamment pour la surveillance et le contrôle de certains systèmes fondés sur des modèles d’IA à usage général (GPAI) lorsque le modèle et le système sont développés par le même fournisseur ou par des fournisseurs appartenant au même groupe d’entreprises.
Le Bureau de l’IA dispose également de pouvoirs de surveillance, de contrôle, de demande d’informations et d’inspection pour les systèmes relevant de sa compétence.
2.2.5 Les mesures transitoires pour les systèmes déjà mis sur le marché : l’article 111 de l’AI Act est modifié afin d’adapter les règles transitoires au nouveau calendrier d’application.
Pour les systèmes d’IA à haut risque déjà mis sur le marché ou mis en service avant le nouveau calendrier, les obligations prévues au chapitre III ne s’appliqueront, en principe, qu’en cas de modification importante de leur conception. Les systèmes destinés à être utilisés par des autorités publiques devront toutefois être mis en conformité au plus tard le 2 août 2030.
Le texte fixe également une échéance spécifique pour les systèmes d’IA générative mis sur le marché avant le 2 août 2026, lorsqu’ils génèrent des contenus de synthèse audio, image, vidéo ou texte : leurs fournisseurs devront se conformer aux obligations de transparence prévues à l’article 50, par. 2, au plus tard le 2 décembre 2026.
3. Recommandations pratiques liées au règlement omnibus IA
Le règlement omnibus IA combine deux types de mesures : d’une part, des ajustements du règlement IA existant, d’autre part, quelques mesures nouvelles, en particulier sur les contenus intimes ou sexuels générés par IA et le traitement de certaines données sensibles pour détecter et corriger les biais.
Pour les professionnels de l’IA, ce texte constitue à la fois une opportunité de préparer plus efficacement leur conformité dans des délais allongés et un rappel de la vigilance attendue sur certains usages de l’IA désormais expressément encadrés.
En pratique, les professionnels concernés devraient concentrer leurs efforts sur quatre priorités :
i. Actualiser la cartographie et le calendrier IA : les entreprises doivent identifier les systèmes concernés par le règlement omnibus IA, distinguer les systèmes relevant de l’annexe III et de l’annexe I, et intégrer les nouvelles échéances de conformité : 2 décembre 2027 pour les premiers, 2 août 2028 pour les seconds.
ii. Requalifier les systèmes à risque à la lumière des nouvelles clarifications : la clarification de la notion de composant de sécurité et l’articulation avec les législations sectorielles imposent de revoir les analyses de qualification. L’objectif est de distinguer entre les systèmes réellement soumis au régime “haut risque” et ceux pouvant bénéficier d’une rationalisation des obligations.
iii. Adapter la documentation et les contrats de la chaîne de valeur IA : les différents acteurs de l’IA doivent clarifier leurs rôles respectifs, notamment les obligations de coopération, l’accès aux informations techniques et les responsabilités en cas de modification du système.
iv. Traiter immédiatement les nouveaux risques : les systèmes générant ou manipulant des contenus intimes ou sexuels non consentis, les contenus de synthèse et les traitements de données sensibles destinés à détecter ou corriger des biais doivent être revus en priorité.
Le règlement omnibus numérique sur l’IA ne constitue pas un recul de l’AI Act mais une révision opérationnelle, destinée à éviter une mise en œuvre trop rapide, trop lourde ou insuffisamment coordonnée entre les autorités compétentes.
Les principales obligations applicables aux systèmes d’IA à haut risque sont reportées, mais la conformité IA reste un chantier prioritaire. Les entreprises concernées doivent profiter de ces délais supplémentaires pour cartographier leurs systèmes, sécuriser leurs contrats, organiser leur gouvernance, documenter leurs choix techniques et anticiper les obligations à venir.
(1) Règlement du 8 juillet 2026 modifiant les règlements (UE) 2024/1689, (UE) 2018/1139 et (UE) 2023/1230 en ce qui concerne la simplification de la mise en oeuvre des règles harmonisées concernant l’intelligence artificielle (“Train de mesures omnibus numérique sur l’IA”).
En plus de l’AI Act, ce règlement omnibus numérique sur l’IA modifie deux autres règlements: le règlement de 2018 sur l’aviation civile et instituant une Agence de l’Union européenne pour la sécurité aérienne, et le règlement de 2023 sur les machines relatif à la santé et la sécurité des machines. Dans le présent article, nous ne traitons que des dispositions relatives à l’IA.
A noter que le règlement omnibus numérique sur l’IA n’avait pas encore été publié au JOUE à la date du présent article.
(2) Règlement (UE) 2024/1689 du 13 juin 2024 établissant des règles harmonisées concernant l’intelligence artificielle (“Règlement sur l’intelligence artificielle”)
(3) Selon la recommandation (UE) 2025/1099 de la Commission du 21 mai 2025 relative à la définition des petites entreprises à moyenne capitalisation (small mid-cap enterprises), les “petites entreprises à moyenne capitalisation” sont les entreprises qui ne sont pas des PME, qui emploient moins de 750 personnes et dont le chiffre d’affaires annuel n’excède pas 150 millions d’euros ou dont le total du bilan annuel n’excède pas 129 millions d’euros.
(4) Règlement (UE) 2024/2847 du 23 octobre 2024 concernant les exigences de cybersécurité horizontales pour les produits comportant des éléments numériques (règlement sur la cyberrésilience ou Cyberresilience Act - CRA)
Bénédicte DELEPORTE
Avocat
Deleporte Wentz Avocat
www.dwavocat.com
Juillet 2026