Le Parlement européen a approuvé le 26 mars 2026 le report des obligations d’IA à haut risque. Les règles sur la biométrie, l’éducation et l’emploi ne s’appliqueront plus au 2 août 2026, mais au 2 décembre 2027. Une décision qui apaise les tensions industrielles tout en renforçant la position européenne face à la dérégulation américaine.
Points clés
✓ Vote du 26 mars : le Digital Omnibus approuvé au Parlement européen
✓ Report Annexe III : du 2 août 2026 au 2 décembre 2027 (biométrie, éducation, emploi)
✓ Report Annexe I : au 2 août 2028 (IA dans produits réglementés)
✓ Vote IMCO/LIBE : 101 pour, 9 contre, 8 abstentions
✓ Nouvelle interdiction : applications « nudifier » explicitement bannies
✓ Trilogue en cours avec le Conseil de l’UE (accord visé en mai 2026)
Un vote majeur, mais stratégique
Le 26 mars 2026 marquera un tournant dans l’histoire de la régulation européenne de l’IA. Les commissions IMCO (Marché Interne) et LIBE (Libertés Civiles) du Parlement européen ont approuvé le Digital Omnibus, ce paquet législatif destiné à assouplir certaines obligations de l’AI Act pour les entreprises européennes.
Le vote des eurodéputés a été sans appel : 101 voix pour, 9 contre, 8 abstentions. Cette majorité écrasante témoigne d’un consensus politique rare autour d’une question sensible. Mais derrière ces chiffres se cache une réalité plus nuancée : ce report n’est pas une capitulation face aux lobbies industriels, c’est un pari politique sur le calendrier européen et un positionnement dans la compétition transatlantique.
Ce que dit concrètement le texte. L’accord du Parlement repousse de 16 mois l’entrée en application des règles IA dites « à haut risque » de l’Annexe III. Ces règles concernent les systèmes d’identification biométrique, les applications en matière d’éducation et d’emploi, et plusieurs autres domaines sensibles. Au lieu du 2 août 2026, elles s’appliqueront au 2 décembre 2027. Pour l’Annexe I (IA intégrée dans des produits réglementés par ailleurs, comme les dispositifs médicaux), le report s’étend jusqu’au 2 août 2028.
En parallèle, le texte introduit une interdiction explicite des applications dites « nudifier » — ces outils qui créent ou modifient des images sexuelles de personnes sans consentement. Une prohibition bienvenue face aux abus croissants de ces technologies.
Décryptage : pourquoi ce report, et pourquoi maintenant ?
Comprendre ce vote impose de zoomer sur le contexte européen et mondial des six derniers mois. Trois facteurs convergents expliquent ce choix politique.
Facteur 1 : la pression industrielle. Depuis l’adoption de l’AI Act en décembre 2023, les entreprises technologiques — notamment les PME — alertent sur l’impossibilité à se conformer aux règles techniques en moins de trois ans. Audit d’impact, documentation, systèmes de monitoring en temps réel : ces obligations demandent des investissements massifs en compliance, en ressources internes, en externes (consultants, juridique). Les entreprises non américaines reprochent à l’Europe une charge réglementaire qui risque de les rendre moins compétitives face aux géants américains, déjà avantagés par les positions de marché acquises.
Le Parlement a entendu ces critiques. Les rapporteurs du dossier (notamment au sein de la commission IMCO) ont mis en avant le besoin de « temps de transition » pour éviter une rupture brutale du marché. En donnant seize mois supplémentaires, le texte laisse respirer les entreprises sans abandonner le cadre réglementaire lui-même.
Facteur 2 : le positionnement face aux États-Unis. Or, le contexte a changé depuis décembre 2024. L’administration Trump affirme que les États-Unis ne doivent pas laisser les États fédérés réguler l’IA — une position diamétralement opposée au modèle européen de contrôle strict. Cette divergence transatlantique crée une dynamique nouvelle : l’Europe doit-elle resserrer ou desserrer ses règles pour rester attractive pour l’innovation ?
Le report ne signifie pas l’abandon du cap réglementaire européen. Au contraire : en permettant aux entreprises de se conformer progressivement, l’Europe renforce sa position comme marché régulé, crédible et cohérent. Ce que nous autres régulateurs appelons la « conformité intelligente ». L’UE maintient son ambition mais accepte des délais réalistes.
Facteur 3 : le calendrier du trilogue. Le vrai travail commence maintenant. Le vote du Parlement n’est que la première étape. Le Conseil de l’UE (représentant les 27 gouvernements) doit encore approuver ce texte, puis une phase de négociation (trilogue) impliquera le Conseil, le Parlement et la Commission. La présidence chypriote du Conseil, actuellement en place, vise un accord final en mai 2026. Ce calendrier serré signifie que le report doit être ratifié rapidement pour entrer en vigueur.
Qui est concrètement concerné par ce report ?
Détaillons les secteurs et acteurs qui bénéficient réellement de ces délais supplémentaires.
1. Les systèmes d’identification biométrique (reconnaissance faciale, iris, etc.) Vous exploitez un système de reconnaissance faciale pour le contrôle d’accès ou l’authentification ? Vous aviez jusqu’au 2 août 2026 pour vous conformer aux règles drastiques de l’Annexe III (audit préalable, consentement explicite, etc.). C’est désormais le 2 décembre 2027. Seize mois supplémentaires pour documenter, tester, limiter les biais, mettre en place l’audit.
2. Les applications en recrutement et gestion des ressources humaines. Un éditeur de logiciel RH qui intègre un module de scoring de candidats fondé sur l’IA ? Cela relève de l’Annexe III (« traitement des candidatures »). La conformité obligatoire passe de août 2026 à décembre 2027. Ces systèmes exigent une documentation détaillée sur les données d’entraînement, les tests de non-discrimination, et une transparence vis-à-vis des utilisateurs finaux. Seize mois, c’est le temps minimal pour refondre une architecture logicielle.
3. Les outils d’IA en éducation. Si vous proposez un système de recommandation pédagogique ou d’évaluation d’étudiants alimenté par l’IA, vous entrez aussi dans cette catégorie. Le report s’applique à vous. Décembre 2027 devient votre date de conformité.
4. Les systèmes d’IA intégrés dans des produits réglementés (Annexe I). Plus long terme : si vous intégrez l’IA dans un équipement médical, une machine de diagnostic ou tout produit assujetti à une norme technique préexistante, vous aviez une conformité impossible en août 2026. C’est maintenant août 2028. Deux ans de plus pour adapter votre chaîne logicielle.
Qui n’est pas concerné (ou peu) ? Les règles d’IA générale (transparence, traçabilité, documentation) restent applicables dès aujourd’hui pour les prestataires de services en IA. Les grandes IA génératives devront respecter les obligations de divulgation et de conformité dès maintenant, pas en 2027 ou 2028. L’interdiction des systèmes de notation sociale de masse reste en vigueur. Les règles élémentaires sur le droit d’opposition et la traçabilité demeurent intouches.
L’analyse contradictoire : compétitivité vs protection
Ce report n’est pas un texte neutre. Il cristallise un conflit d’intérêts fondamental.
L’argument de la compétitivité industrielle. Les partisans du report (majorité du Parlement) affirment que l’Europe doit rester attractive pour l’innovation. Si les règles IA s’appliquent trop vite, les startups et PME européennes quitteront le marché ou renonceront à développer des applications IA. Les géants américains, opérant sur un marché moins régulé (pour l’instant), feront la course en tête. Le report crée une fenêtre de transition réaliste, permettant aux entreprises européennes de gagner du temps pour se conformer sans disparaître.
Cet argument porte. Les données de marché montrent une concentration croissante : 80 % de l’investissement en IA se concentre aux États-Unis et en Chine. L’Europe risque de devenir un « marché de conformité » où les régulations attirent les prestataires juridiques plutôt que les innovateurs. Un report responsable peut relancer la dynamique.
L’argument de la protection citoyenne. Les critiques du report (représentés par les 9 votes contre au Parlement) soutiennent que repousser l’application des règles IA à haut risque prolonge une période de non-conformité. Pendant seize mois de plus, des systèmes biométriques discriminatoires resteront en vigueur. Des recrutements pilotés par des IA baisées continueront. L’interdiction des applications nudifier n’entre en vigueur que tardivement. Chaque jour de report est un jour où les citoyens restent exposés à des risques.
Cet argument aussi porte. Les violations de droits fondamentaux liées à l’IA (discrimination en recrutement, reconnaissance faciale abusive, deepfakes) ne disparaîtront pas pendant la période de transition. Elles se multiplieront même, car les entreprises sauront qu’il leur reste du temps avant la vérification réglementaire.
La vraie tension. En réalité, le report incarne une tension irréductible : faut-il privilégier la vitesse (innovation et compétitivité) ou la sécurité (protection des droits) ? L’Europe a choisi de tempérer. Ce n’est ni une victoire pour les entreprises, ni un revers pour les citoyens. C’est un compromis politique classique : suffisamment de délai pour ne pas tuer l’innovation, suffisamment de rigueur pour ne pas abandonner la protection.
Qu’advient-il maintenant ? La phase du trilogue
Le vote du Parlement du 26 mars ouvre une nouvelle phase : le trilogue. Voici comment cela fonctionne.
Qui négocie ? Trois institutions : le Parlement européen (qui vient de voter), le Conseil de l’UE (représentant les 27 gouvernements) et la Commission européenne (arbitre). Chacune a une position. Le Parlement, que nous venons de voir, est plutôt favorable au report. Le Conseil doit encore s’exprimer formellement, mais la plupart des gouvernements (allemands, français, néerlandais) soutiennent un assouplissement temporaire. La Commission, qui a proposé l’AI Act original, joue les arbitres.
Calendrier. La présidence chypriote du Conseil (en exercice jusqu’en juin 2026) ambitionne un accord final en mai 2026. C’est très serré : environ deux mois pour négocier. Le texte sera vraisemblablement adopté dans sa version actuelle ou avec des ajustements mineurs (éventuellement une réduction du report pour les systèmes les plus critiques, par exemple).
Après l’accord ? Une fois le trilogue conclu, le texte doit être approuvé formellement par le Conseil et le Parlement pour une dernière lecture. Ensuite, il entre en vigueur selon un calendrier légal précis. Le report mentionné (décembre 2027 pour l’Annexe III, août 2028 pour l’Annexe I) s’appliquerait à partir du lendemain de l’entrée en vigueur.
Les trois questions que vous vous posez
1. Ce report s’applique-t-il aussi aux entreprises non européennes opérant en Europe ?
Oui. L’AI Act s’impose à toute entreprise (européenne ou non) proposant un système IA utilisable en Europe. Apple, Google, Meta, OpenAI : ils doivent tous se conformer aux règles IA à haut risque si leurs systèmes entrent dans les catégories réglementées. Le report du 2 août 2026 au 2 décembre 2027 leur bénéficie aussi. C’est une critique des militants de la protection : les géants américains gagnent du temps sans coût de transition, puisqu’ils ont déjà les ressources.
2. Que se passe-t-il si je ne suis pas conforme au 2 décembre 2027 ?
Les autorités nationales chargées de l’application de l’AI Act (en France, la CNIL pour certains aspects) pourront infliger des amendes. Pour les violations graves de l’Annexe III, les amendes peuvent atteindre 40 millions d’euros ou 6 % du chiffre d’affaires annuel (le montant le plus élevé). Aucun doute : cette date est ferme.
3. Le report signifie-t-il que l’AI Act s’affaiblit ?
Non. Le report ne supprime aucune règle. Il repousse simplement le calendrier d’application. Quand vous atteindrez décembre 2027, les exigences seront intactes : audit préalable, documentation détaillée, systèmes de monitoring, transparence envers les utilisateurs. La substance réglementaire ne change pas. Seul le temps alloué s’étend.
Calendrier des échéances (après l’entrée en vigueur du Digital Omnibus)
2026
– Avril-mai 2026 : conclusion du trilogue (accord Conseil-Parlement-Commission)
– Juin 2026 : entrée en vigueur probable du Digital Omnibus
– 2 août 2026 : les règles IA dites « de bas risque » s’appliquent (transparence, traçabilité, documentation générale)
– Fin 2026 : audits préliminaires pour Annexe III recommandés (tests de biais, documentation de conformité)
2027
– 2 décembre 2027 : ÉCHÉANCE MAJEURE – entrée en application de l’Annexe III (biométrie, recrutement, éducation, notation sociale). Tous les systèmes IA à haut risque doivent être conformes.
2028
– 2 août 2028 : entrée en application de l’Annexe I (IA dans produits réglementés : médical, automobile, etc.)
Conclusion : un équilibre précaire
Le vote du 26 mars 2026 incarne la tâche redoutable du régulateur : inventer le possible plutôt que l’idéal. Idéalement, l’Europe voudrais des règles IA strictes appliquées immédiatement, sans compromettre sa compétitivité. Mais ce monde n’existe pas. Le Digital Omnibus accepte donc un report : suffisant pour ne pas tuer l’innovation européenne, suffisant pour maintenir le cap réglementaire.
La décision du Parlement envoie un signal clair au reste du monde : l’Europe entend rester un leader en matière de régulation responsable de l’IA. Pas une régulation paralysante, pas une dérégulation sauvage, mais une régulation intelligente, progressive, orientée vers un équilibre entre les droits et les libertés. Dans une compétition transatlantique qui s’intensifie, ce positionnement pourrait bien être l’atout majeur de l’Europe.
Le travail réel commence maintenant, au sein du trilogue. Les détails du compromis final détermineront si ce report a servi à ajuster un calendrier réaliste ou à faire du lobbying déguisé. En mai 2026, nous saurons.
Pour en savoir plus
Retrouvez nos articles sur l’AI Act et la régulation IA
