Le 13 mars 2026, le Conseil de l’Union européenne a adopté sa position de négociation sur l’Omnibus VII, un paquet législatif qui modifie en profondeur le règlement sur l’intelligence artificielle (AI Act). Report des échéances pour les systèmes à haut risque, nouvelles interdictions ciblant les contenus intimes non consentis générés par IA, simplification des obligations de conformité : ce texte redessine le calendrier et le périmètre de la régulation européenne de l’IA. Décryptage d’un virage pragmatique qui divise les parties prenantes.

Points clés

  • Report des échéances : application des règles pour les systèmes IA à haut risque autonomes repoussée au 2 décembre 2027 (contre août 2026 initialement) ; pour les systèmes embarqués dans des produits, au 2 août 2028.
  • Nouvelle interdiction : génération de contenus sexuels et intimes non consentis par IA (deepfakes NCII) et de matériel d’abus sexuel sur mineurs (CSAM).
  • Obligation de registre maintenue : les fournisseurs doivent enregistrer dans la base de données européenne même les systèmes qu’ils estiment exemptés de la classification à haut risque.
  • Trilogue ouvert : la position du Conseil constitue un mandat pour négocier avec le Parlement européen et la Commission.
  • Contexte : fait partie de l’« agenda de simplification » de l’UE visant à réduire la charge réglementaire de 25 % pour les entreprises.

Qu’est-ce que l’Omnibus VII ?

L’Omnibus VII est un paquet législatif inséré dans le programme de simplification réglementaire de la Commission européenne. Son objectif affiché : réduire la complexité du cadre juridique numérique européen en harmonisant et simplifiant plusieurs textes, dont le règlement sur l’intelligence artificielle (AI Act, Règlement UE 2024/1689), le RGPD dans certaines de ses interactions avec l’IA, et les directives sur la cybersécurité.

Concrètement, la proposition modifie l’AI Act sur trois axes principaux : le calendrier d’application, le périmètre des interdictions, et les mécanismes de conformité. Comme l’explique Dragoș Tudorache, eurodéputé roumain et co-rapporteur originel de l’AI Act, « l’Omnibus VII n’est pas une réécriture de l’AI Act — c’est un recalibrage pragmatique qui tient compte des retours du terrain. Les entreprises européennes nous disaient qu’elles ne pourraient pas être prêtes à temps. Nous les avons écoutées ».

Un calendrier repoussé de 12 à 24 mois

Le changement le plus significatif concerne les systèmes IA à haut risque — ceux utilisés dans le recrutement, l’éducation, les forces de l’ordre, les infrastructures critiques ou les services financiers. L’AI Act initial prévoyait une entrée en application de ces obligations en août 2026. La position du Conseil repousse cette échéance selon une distinction technique importante :

  • Systèmes IA à haut risque autonomes (logiciels déployés indépendamment) : nouvelle échéance au 2 décembre 2027, soit un report de 16 mois.
  • Systèmes IA à haut risque embarqués dans des produits (robots industriels, dispositifs médicaux, véhicules autonomes) : nouvelle échéance au 2 août 2028, soit un report de 24 mois.

Ce report reflète une réalité industrielle documentée. Selon une enquête de DigitalEurope publiée en février 2026, 67 % des entreprises européennes développant des systèmes IA à haut risque estimaient ne pas pouvoir se conformer aux obligations initiales dans les délais prévus. Les principales difficultés citées : le manque de standards harmonisés (les normes techniques ISO/IEC sont encore en cours de finalisation), l’incertitude sur la classification précise de certains systèmes, et le coût des audits de conformité estimé entre 200 000 et 500 000 euros par système selon le cabinet Deloitte.

Thierry Breton, ancien commissaire européen au Marché intérieur et architecte de l’AI Act, a réagi avec réserve : « Reporter les échéances est compréhensible sur le plan pratique, mais cela envoie un signal ambigu. L’Europe ne peut pas être à la fois le continent qui régule l’IA le premier et celui qui repousse indéfiniment l’application de ses propres règles ».

Nouvelles interdictions : deepfakes intimes et CSAM

Si l’Omnibus VII assouplit le calendrier, il durcit en revanche le périmètre des pratiques interdites. Le Conseil ajoute à la liste des usages prohibés de l’IA :

  • La génération de contenus sexuels et intimes non consentis (Non-Consensual Intimate Images, NCII) via des systèmes d’IA, y compris les deepfakes pornographiques.
  • La création de matériel d’abus sexuel sur mineurs (CSAM) par des modèles génératifs, même lorsqu’aucune victime réelle n’est impliquée.

Ces interdictions répondent à une urgence documentée. Selon un rapport de l’Internet Watch Foundation (IWF) publié en janvier 2026, le volume de CSAM généré par IA a augmenté de 380 % en un an. L’European Federation of Journalists (EFJ) et la GESAC (groupement européen des sociétés d’auteurs et compositeurs) avaient plaidé pour ces interdictions lors des auditions parlementaires de décembre 2025.

Alexandra Geese, eurodéputée allemande (Verts/ALE) et rapporteure sur les droits numériques, salue cette avancée : « Les deepfakes intimes sont une forme de violence numérique qui touche disproportionnellement les femmes. L’IA a industrialisé cette violence — il était urgent que la régulation suive ».

Le registre des systèmes à haut risque : une obligation réaffirmée

Point de friction notable : le Conseil réintroduit l’obligation d’enregistrement dans la base de données européenne pour les fournisseurs de systèmes IA, même lorsqu’ils considèrent que leur système est exempté de la classification à haut risque. Cette disposition avait été assouplie dans une version antérieure du texte, mais le Conseil a jugé nécessaire de la restaurer pour garantir la traçabilité et la transparence.

En pratique, un développeur d’IA qui estime que son outil de recrutement ne relève pas de la catégorie « haut risque » devra tout de même l’enregistrer dans la base de données de l’EUIPO (Office de l’Union européenne pour la propriété intellectuelle) et documenter les raisons de cette exemption. Cette obligation crée un mécanisme de contrôle a posteriori : les autorités nationales pourront vérifier si les auto-évaluations des fournisseurs sont justifiées.

Les voix critiques : trop de compromis ?

L’Omnibus VII ne fait pas l’unanimité. Du côté de la société civile, l’organisation AlgorithmWatch estime que les reports d’échéances « récompensent les entreprises qui n’ont pas anticipé la conformité et pénalisent celles qui ont investi dans la mise en conformité anticipée ». Access Now, ONG spécialisée dans les droits numériques, regrette l’absence de renforcement des obligations de transparence pour les modèles de fondation (foundation models), un sujet qui avait déjà fait l’objet de vifs débats lors de l’adoption de l’AI Act en 2024.

Du côté industriel, les réactions sont plus favorables mais nuancées. DigitalEurope, le lobby européen du numérique, salue « une approche réaliste » mais demande que les standards harmonisés soient publiés au moins 18 mois avant les nouvelles échéances. Le CCIA Europe (Computer & Communications Industry Association) souligne que « la simplification ne doit pas être un prétexte pour retarder la protection des citoyens ».

Prochaines étapes : le trilogue

La position adoptée par le Conseil constitue un mandat de négociation — pas un texte final. Le trilogue (négociations entre le Conseil, le Parlement européen et la Commission) doit maintenant s’ouvrir. Le Parlement a lui-même voté des amendements à l’AI Act dans le cadre de l’Omnibus, avec des positions parfois divergentes de celles du Conseil — notamment sur la portée des exemptions pour les PME et sur les obligations des modèles de fondation.

La présidence polonaise du Conseil, qui pilote les négociations jusqu’en juin 2026, ambitionne un accord avant la fin de son mandat. Un calendrier ambitieux, mais pas irréaliste si les trois institutions font preuve de pragmatisme — ce que l’esprit même de l’Omnibus VII semble encourager.

Sources : Conseil de l’UE (communiqué du 13 mars 2026), Parlement européen (communiqué du 18 mars 2026), IAPP, Freeths LLP, Cooley, Moodys Regulatory News, DigitalEurope (enquête février 2026).