AI Act : la deadline d'août 2026 repoussée à décembre 2027 : ce que les DAF doivent faire maintenant

En résumé

Le 7 mai 2026, le Parlement européen et le Conseil de l'UE ont conclu un accord politique provisoire sur le Digital Omnibus qui reporte l'application des obligations "haut risque" de l'AI Act (Règlement UE 2024/1689) du 2 août 2026 au 2 décembre 2027 pour les systèmes autonomes de l'Annexe III (scoring crédit, RH, services essentiels) et au 2 août 2028 pour les systèmes intégrés à des produits régulés (Annexe I). Trois points clés pour les DAF : (1) l'accord doit encore être formellement adopté avant le 2 août 2026, sinon les dates originales s'appliquent par défaut ; (2) les obligations déjà en vigueur (pratiques interdites, AI literacy, GPAI, transparence déployeurs au titre de l'article 50) ne changent pas ; (3) la classification haut risque elle-même n'est pas modifiée. Conséquence opérationnelle : la cartographie, la supervision humaine et l'audit trail restent à construire dès maintenant, en visant décembre 2027 comme date probable et août 2026 comme date de repli.

⚠️ Alerte juridique importante : à lire avant la suite

L'accord du 7 mai 2026 est un accord politique provisoire, pas encore une loi. Tant qu'il n'est pas formellement adopté par le Parlement et le Conseil et publié au Journal officiel de l'UE avant le 2 août 2026, les dates originales du Règlement UE 2024/1689 restent juridiquement contraignantes. Si l'adoption tarde, les obligations haut risque s'appliquent automatiquement à compter du 2 août 2026, avec sanctions à la clé.

Par ailleurs, même si l'Omnibus est formellement adopté, plusieurs obligations restent applicables au 2 août 2026 et ne sont pas reportées : l'Article 50 (transparence déployeurs), les sanctions, la gouvernance, ainsi que les pratiques interdites déjà en vigueur depuis février 2025.

Pour les DAF : la roadmap d'août 2026 reste à exécuter pour le bloc "non reporté", la roadmap de décembre 2027 s'ajoute pour le bloc "haut risque reporté".

Le nouveau calendrier post-Digital Omnibus (mai 2026)

Obligation	Date applicable	Statut juridique
🟢 Pratiques interdites (Art. 5), AI literacy (Art. 4)	2 février 2025	Déjà en vigueur — non concerné par l'Omnibus
🟢 Obligations modèles GPAI (OpenAI, Anthropic, Mistral, Meta)	2 août 2025	Déjà en vigueur — non concerné par l'Omnibus
🟢 Transparence déployeurs (Art. 50), sanctions, gouvernance	2 août 2026	Maintenu — non reporté par l'Omnibus
🟡 Watermarking des contenus IA (Art. 50(2))	2 décembre 2026	Avancé par l'Omnibus (si adopté)
🔴 Systèmes haut risque autonomes (Annexe III)	2 décembre 2027	Reporté de 2026 — sous réserve d'adoption formelle de l'Omnibus avant le 2 août 2026
🔴 Systèmes haut risque intégrés aux produits régulés (Annexe I)	2 août 2028	Reporté de 2027 — sous réserve d'adoption formelle de l'Omnibus

Légende : 🟢 Confirmé et non reporté · 🟡 Modifié par l'Omnibus · 🔴 Reporté, sous réserve d'adoption formelle

Source : Conseil de l'UE, Parlement européen, EU Digital Strategy (accord politique provisoire du 7 mai 2026).

Qu'est-ce que le Digital Omnibus sur l'AI Act ?

Le Digital Omnibus on AI est un paquet législatif proposé par la Commission européenne le 19 novembre 2025 pour amender le calendrier d'application du Règlement UE 2024/1689 (AI Act). Le 7 mai 2026, un accord politique provisoire a été trouvé entre Parlement et Conseil. Il reporte les obligations haut risque mais ne modifie pas le fond du règlement : la classification à 4 niveaux (interdit / haut risque / risque limité / risque minimal), les sanctions, et l'architecture générale restent inchangées.

Le report a été décidé face à un constat pragmatique : les normes harmonisées CEN-CENELEC nécessaires à la mise en conformité ne sont pas prêtes, et les autorités compétentes nationales n'ont pas toutes été désignées.

Attention : l'accord du 7 mai n'est pas encore loi

L'accord du 7 mai 2026 est un accord politique provisoire. Pour qu'il s'applique :

1. Il doit être formellement adopté par le Parlement européen et le Conseil.
2. Il doit être publié au Journal officiel de l'UE.
3. Cette adoption doit intervenir avant le 2 août 2026, faute de quoi les dates originales s'appliquent automatiquement.

Conclusion pratique pour les DAF : ne pas relacher la préparation. La stratégie la plus sûre est de se préparer comme si août 2026 était réel et planifier comme si décembre 2027 était la date probable.

Pourquoi les DAF restent en première ligne malgré le report

La fonction finance est l'un des plus gros consommateurs internes d'IA en entreprise : scoring crédit B2B et B2C, détection de fraude, automatisation des décisions de paiement, agents conversationnels recouvrement, classification automatique des dépenses. Plusieurs de ces usages tombent sous la catégorie « haut risque » de l'Annexe III.

Trois raisons pour lesquelles le report ne dispense pas d'agir :

1. Les obligations transparence (Article 50) restent applicables au 2 août 2026. Cela inclut l'information du client sur les décisions automatisées — directement pertinent pour les relances IA, les refus de crédit, les suspens de livraison.
2. Le watermarking arrive plus tôt que prévu : 2 décembre 2026 pour les contenus générés par IA (au lieu de février 2027 dans la proposition initiale).
3. 21 mois passent vite. Une cartographie + gouvernance + audit trail dure 6 à 9 mois pour une ETI. Attendre 2027 = mise en conformité dans l'urgence avec sanctions automatiques en cas de retard.

Quels usages IA finance tombent en « haut risque » ?

La classification de l'Annexe III est inchangée par le Digital Omnibus. Trois cas fréquents en finance :

• Évaluation de solvabilité / scoring crédit des personnes physiques. Concerne les fintech B2C, mais aussi le scoring B2B couplé à une caution personnelle.
• Gestion et accès aux services essentiels : un système automatisé qui décide d'un plan de paiement, d'un suspens de livraison ou d'une mise en demeure peut tomber sous cette catégorie selon l'interprétation ACPR.
• Aide à la décision RH : tri de CV, évaluation de performance, calcul de prime. Concerne les DAF qui pilotent les outils de paie / bonus IA.

À noter :

• La détection de fraude pure (anti-blanchiment, KYB) n'est pas automatiquement haut risque, mais elle l'est si elle déclenche une exclusion client sans recours humain.
• Le scoring crédit B2B pur (entreprise sans caution personnelle) n'est pas haut risque, mais reste soumis aux obligations de transparence Article 50.

Les quatre obligations à construire dès maintenant

Obligation 1 : Cartographier les usages IA

La première étape est documentaire : produire un registre des systèmes d'IA déployés. Pour chaque usage, indiquer la finalité, le fournisseur, les données traitées, la catégorie de risque (interdit, haut risque, risque limité, risque minimal), et le statut de l'entreprise (fournisseur ou déployeur).

Un DAF d'ETI identifiera typiquement 8 à 15 systèmes IA en finance : scoring crédit, agents de recouvrement, OCR factures, classification dépenses, chatbot RH paye, copilote Excel, copilote courriel, détection fraude AP, prompts ChatGPT pour reporting.

Cette étape ne dépend pas des normes harmonisées : elle peut être lancée maintenant.

Obligation 2 : Organiser la supervision humaine

L'Article 14 de l'AI Act impose une supervision humaine effective sur les systèmes haut risque. Concrètement : pour chaque décision potentiellement impactante (refus de crédit, mise en demeure, suspens de livraison), un humain qualifié doit pouvoir intervenir, comprendre la décision et l'invalider.

Deux modèles coexistent :

• Human in the loop : validation humaine systématique avant action.
• Human on the loop : validation par échantillon a posteriori.

L'ACPR recommande au minimum un modèle « on the loop » avec taux de revue minimum, traçabilité des décisions inversées et formation continue.

Obligation 3 : Documenter l'audit trail technique

L'AI Act exige une documentation technique (annexe IV) couvrant : architecture du système, données d'entraînement (provenance, biais détectés, représentativité), performances mesurées, métriques de robustesse, plan de gestion des risques, journaux de logs.

Pour un DAF « déployeur » (qui utilise un système sans le construire), la documentation incombe au fournisseur, mais le déployeur doit conserver ses propres journaux d'utilisation et son analyse d'impact AI Act (DPIA étendue).

Obligation 4 : Garantir la transparence vis-à-vis des personnes

Article 50 - applicable au 2 août 2026, non reporté par l'Omnibus. Toute personne soumise à une décision automatisée doit en être informée. En pratique :

• Un client qui reçoit une relance automatisée générée par IA doit pouvoir savoir qu'un système d'IA est impliqué.
• Une entreprise qui se voit refuser un délai de paiement par un système automatisé doit pouvoir demander une révision humaine.
• Les contenus générés par IA (rapports, e-mails) doivent être identifiables comme tels (watermarking au 2 décembre 2026).

C'est l'obligation la plus immédiatement opérationnelle pour les DAF, et celle qui n'a pas été reportée.

Quelles sanctions sont applicables ?

Les sanctions de l'AI Act éclipsent celles du RGPD et ne sont pas modifiées par l'Omnibus :

• 35 M€ ou 7 % du CA mondial (le plus élevé) pour usage d'un système prohibé.
• 15 M€ ou 3 % du CA mondial pour manquement aux obligations haut risque.
• 7,5 M€ ou 1 % du CA mondial pour fourniture d'informations inexactes à l'autorité.

Nouveauté Omnibus : les seuils réduits jusqu'ici réservés aux PME sont étendus aux small mid-cap enterprises (SMC) : entreprises de moins de 750 salariés. Documentation simplifiée et sanctions modulées.

Les autorités compétentes en France : CNIL (données), ACPR (finance), DGCCRF (consommation), Arcom (médias).

Roadmap révisée : 90 jours pour poser les fondations, 18 mois pour exécuter

Le report ne change pas la roadmap initiale, il l'étale. Voici la répartition recommandée pour les DAF qui démarrent en mai 2026 :

Phase 1 - Fondations (mai → août 2026, 90 jours)

• J+0 à J+30 : audit interne des usages IA. Listing exhaustif, classification haut risque / risque limité. Identification du rôle (fournisseur ou déployeur). Rapprochement avec l'inventaire RGPD existant.
• J+30 à J+60 : gouvernance. Nommer un référent IA (souvent rattaché au DPO ou à la conformité). Politique d'usage de l'IA à destination des équipes finance. Charte de supervision humaine. Mise à jour des DPIA et signature des accords fournisseurs.
• J+60 à J+90 : opérationnel. Mise en conformité Article 50 (transparence vis-à-vis des clients, applicable au 2 août 2026). Déploiement d'un journal de logs commun. Formation des managers finance.

Phase 2 - Montée en charge (sept. 2026 → déc. 2026)

• Préparation watermarking des contenus générés par IA (échéance 2 décembre 2026).
• Début de la documentation technique des systèmes haut risque (annexe IV).
• Tests de procédures d'intervention humaine.

Phase 3 - Conformité haut risque (2027)

• Finalisation de la documentation annexe IV sur la base des normes harmonisées CEN-CENELEC publiées.
• Évaluation de conformité des systèmes haut risque.
• Enregistrement dans la base de données UE (pour les fournisseurs).
• Échéance finale : 2 décembre 2027 pour les systèmes autonomes Annexe III.

Quatre pièges à éviter

Piège 1 : Croire que le report annule les obligations. L'accord du 7 mai n'est pas encore loi. La transparence (Article 50) et les pratiques interdites (Article 5) restent applicables, et les normes harmonisées seront publiées entre 2026 et 2027.

Piège 2 : Sous-estimer le rôle de « déployeur ». Beaucoup d'entreprises pensent que l'AI Act ne concerne que les fournisseurs (OpenAI, Mistral, Anthropic). Faux. Le déployeur, c'est-à-dire vous, en tant qu'utilisateur de ChatGPT Enterprise ou de Cleavr, a des obligations propres en matière de supervision et de transparence.

Piège 3 : Empiler les frameworks. AI Act, RGPD, DORA (pour les établissements financiers), CSRD, NIS 2. Ne pas créer 5 comités distincts : un comité conformité unique avec sous-pistes IA est plus efficace.

Piège 4 : Confondre « risque limité » et « pas de risque ». Les chatbots clients et les générateurs de contenu sont « risque limité » — mais ils imposent quand même transparence et opt-out.

FAQ — Les questions que se posent les DAF après l'accord du 7 mai

L'AI Act est-il suspendu jusqu'en 2027 ?

Non. Seules les obligations spécifiques aux systèmes haut risque (documentation technique annexe IV, évaluation de conformité, enregistrement) sont reportées du 2 août 2026 au 2 décembre 2027. L'interdiction des pratiques inacceptables (Article 5), l'AI literacy (Article 4), les obligations GPAI et la transparence déployeurs (Article 50) restent en vigueur ou applicables au 2 août 2026.

Le report est-il définitif ?

Non. L'accord du 7 mai 2026 est un accord politique provisoire qui doit encore être formellement adopté et publié au Journal officiel de l'UE avant le 2 août 2026. Si l'adoption tarde, les dates originales s'appliquent.

Quelles sont les nouvelles dates après l'accord du 7 mai 2026 ?

Les systèmes haut risque autonomes de l'Annexe III (scoring crédit, RH, services essentiels, biométrie, etc.) basculent du 2 août 2026 au 2 décembre 2027. Les systèmes intégrés aux produits régulés de l'Annexe I (dispositifs médicaux, machines, jouets) basculent du 2 août 2027 au 2 août 2028. Le watermarking des contenus IA est lui avancé au 2 décembre 2026.

Quelle classification de risque est utilisée par l'AI Act ?

L'AI Act classe les systèmes en 4 niveaux : interdits (notation sociale, identification biométrique temps réel), haut risque (Annexe III : RH, crédit, services essentiels, biométrie, etc.), risque limité (chatbots, générateurs de contenu), risque minimal (filtres anti-spam, jeux). La classification n'est pas modifiée par le Digital Omnibus.

Le scoring B2B pur tombe-t-il en haut risque ?

Non — sauf s'il vise une personne physique (caution personnelle, dirigeant en garantie). L'évaluation purement entreprise reste soumise aux obligations de transparence Article 50.

ChatGPT Enterprise rend-il l'entreprise conforme ?

Non. ChatGPT Enterprise est conforme côté fournisseur. Vous restez déployeur et devez documenter votre usage, vos cas, votre supervision humaine.

Notre code de conduite IA suffit-il ?

Non. Un code de conduite ne remplace pas une analyse de risque par système ni la documentation requise par l'annexe IV.

Faut-il un DPO IA ?

Pas obligatoire mais recommandé. Souvent rattaché au DPO existant ou à la direction conformité.

Quelles sont les autorités compétentes en France ?

Quatre autorités se partagent la supervision : CNIL (données), ACPR (services financiers), DGCCRF (consommation), Arcom (médias).

Et si on est une scale-up < 50 personnes ?

Les obligations s'appliquent quelle que soit la taille. Nouveauté Omnibus : les seuils allégés sont étendus aux entreprises de moins de 750 salariés (catégorie « small mid-cap enterprises » / SMC). Documentation simplifiée et sanctions modulées.

Conclusion : le calendrier change, pas les enjeux

L'AI Act n'est pas un Y2K. C'est un cadre de gouvernance permanent qui restructure la façon dont la fonction finance déploie l'IA. Le report d'août 2026 à décembre 2027 est une respiration opérationnelle, pas un changement de cap. Les entreprises qui sortiront gagnantes ne seront pas celles qui auront attendu la date limite, mais celles qui auront construit une gouvernance IA pilotable dès maintenant : inventaire à jour, classification défendable, supervision humaine documentée, transparence client effective.

Découvrir Cleavr →

Sources officielles et de référence

• Règlement (UE) 2024/1689 — AI Act, texte consolidé
• Conseil de l'UE — Communiqué du 7 mai 2026 sur l'accord provisoire AI Act
• EU Digital Strategy — Navigating the AI Act (FAQ officielle)
• EU Digital Strategy — Cadre réglementaire IA (mis à jour mai 2026)
• Service Public Entreprendre — AI Act : quels changements pour les entreprises
• ACPR — IA et services financiers
• CNIL — IA et conformité

Article mis à jour le 15 mai 2026. Pour toute évolution post-adoption formelle, consulter le Journal officiel de l'UE.