AI Act : ce qui change vraiment le 2 août 2026 (et ce qui a été repoussé)

Le 2 août 2026 était présenté comme le grand rendez-vous de l'AI Act, celui où les systèmes d'IA à haut risque devaient basculer dans un régime d'obligations strictes. La réalité de l'été 2026 est plus nuancée : une partie de ces obligations a été repoussée, mais d'autres s'activent bel et bien, dont les pouvoirs de sanction. Démêlons ce qui change vraiment, qui est concerné, et surtout ce qu'une entreprise doit faire maintenant.
Un calendrier qui avance par paliers
L'AI Act (règlement UE 2024/1689) n'est pas entré en vigueur d'un bloc. Il se déploie progressivement depuis le 1er août 2024 :
- Depuis le 2 février 2025 : les pratiques jugées inacceptables (notation sociale, manipulation comportementale, certaines surveillances biométriques) sont interdites. Et, point capital sur lequel nous reviendrons, l'obligation de « littératie IA » (article 4) impose depuis cette date de former le personnel exposé à ces outils.
- Depuis le 2 août 2025 : les obligations pour les modèles d'IA à usage général (les grands modèles comme ceux de ChatGPT, Claude ou Mistral) s'appliquent.
- Le 2 août 2026 : c'est le jalon qui nous occupe, et il mérite une lecture précise.
Ce que le 2 août 2026 déclenche réellement
Même avec les reports récents, cette date reste structurante, car elle active plusieurs leviers :
- Les pouvoirs de sanction de la Commission deviennent pleinement activables. C'est le point à ne pas sous-estimer.
- Les obligations de transparence (article 50) : les contenus générés par IA devront être marqués comme tels. Selon le compromis en cours, la mise en conformité effective pour les fournisseurs déjà sur le marché est attendue autour de décembre 2026.
- La gouvernance se met en place : désignation des autorités nationales compétentes (en France, la CNIL, l'Arcom et la DGCCRF sont en première ligne).
Le rebondissement : le haut risque repoussé à décembre 2027
C'est ici que la rigueur s'impose, car beaucoup de contenus affichent encore une information dépassée. Dans la nuit du 6 au 7 mai 2026, le Conseil et le Parlement européens sont parvenus à un accord politique provisoire, le « Digital Omnibus », qui reporte les obligations des systèmes d'IA à haut risque de l'annexe III du 2 août 2026 au 2 décembre 2027 (celles de l'annexe I, produits déjà réglementés, basculant à août 2028). La raison est concrète : les normes techniques harmonisées, indispensables pour guider la mise en conformité, ne seront pas prêtes à temps.
Mais attention, et c'est la nuance essentielle : tant que ce texte n'est pas formellement adopté et publié au Journal officiel de l'Union, le 2 août 2026 demeure, en droit, la date opposable. L'Europe avance sur une ligne de crête, et présenter le report comme acquis serait imprudent. Le bon réflexe n'est pas d'attendre, mais de mettre à profit ce sursis probable pour se préparer sereinement.
Qui est concerné ? Bien plus d'entreprises qu'on ne croit
Un système d'IA est classé « à haut risque » s'il est utilisé dans l'un des huit domaines sensibles de l'annexe III : l'emploi et les ressources humaines (tri de CV, évaluation des candidats ou des performances), les services essentiels (scoring de crédit, assurance, prestations sociales), l'éducation, la biométrie, les infrastructures critiques, l'application de la loi, le contrôle des frontières et la justice.
Point crucial : l'AI Act distingue le fournisseur (qui conçoit le système) du déployeur (qui l'utilise). Une PME qui recourt à un logiciel de recrutement doté d'IA est un déployeur, et reste co-responsable de la surveillance humaine et de la documentation d'usage, même si l'essentiel de la charge de conformité pèse sur le fournisseur. Autrement dit, on peut être concerné sans développer soi-même la moindre IA.
Des sanctions à la hauteur du RGPD
Les montants donnent le ton. Les sanctions sont graduées selon la gravité : jusqu'à 35 millions d'euros ou 7 % du chiffre d'affaires mondial pour l'usage de pratiques interdites, 15 millions ou 3 % pour un système à haut risque non conforme, et 7,5 millions ou 1 % pour un manquement à la transparence. Pour les PME, c'est le montant le plus faible qui s'applique. Ces niveaux placent l'AI Act dans la même cour que le RGPD, et les pouvoirs de sanction s'activent, eux, dès le 2 août 2026.
Or la préparation est à la traîne : selon plusieurs études de 2026, près de la moitié des entreprises concernées ne seraient pas prêtes. Le répit offert par le report ne doit donc pas être confondu avec un désarmement.
Que faire dès maintenant, sans attendre 2027
Plusieurs chantiers ne dépendent pas des normes à venir et peuvent (doivent) être engagés immédiatement :
- Cartographier et classifier ses systèmes d'IA au regard de l'annexe III. Cet inventaire prend plusieurs mois dans les organisations complexes : c'est le point de départ.
- Mettre en place une gouvernance de l'IA (comité, politique d'usage responsable, processus de validation des nouveaux cas d'usage), en s'appuyant dès à présent sur le référentiel ISO/IEC 42001.
- Sécuriser les contrats entre fournisseurs et déployeurs (transmission de la documentation technique, information sur les modifications, répartition des responsabilités).
- Anticiper le marquage des contenus générés par IA, dont l'échéance arrive vite.
Ce sujet rejoint directement celui de l'IA fantôme (« shadow AI ») en entreprise : sans gouvernance ni cartographie, impossible de savoir quels outils d'IA circulent réellement, ni de les mettre en conformité. Les deux chantiers se mènent ensemble.
La formation : une obligation déjà en vigueur
Voici le point que beaucoup d'entreprises ignorent, et il est au cœur de notre métier. Contrairement aux obligations sur le haut risque, l'obligation de littératie IA de l'article 4 n'a pas été repoussée : elle s'applique depuis février 2025. Toute organisation dont le personnel utilise des systèmes d'IA doit s'assurer qu'il dispose d'un niveau de compréhension suffisant de ces outils, de leurs risques et de leurs limites. Former ses équipes n'est donc pas une bonne pratique optionnelle : c'est une exigence légale, déjà effective.
Chez KLE Formations, cette culture de l'IA responsable irrigue nos futurs parcours en intelligence artificielle (bientôt disponibles), et notre parcours en cybersécurité (déjà accessible et finançable via CPF, France Travail, OPCO ou Transitions Pro) couvre la gouvernance et la protection des données indissociables de toute conformité IA. Pour comprendre les métiers que cette réglementation fait émerger, lisez notre article sur l'AI Act et les métiers de l'IA ; pour financer votre montée en compétences, notre guide des dispositifs de financement.
Le 2 août 2026 ne sera peut-être pas le mur que certains redoutaient. Mais il rappelle une évidence : dans un cadre réglementaire mouvant, l'avantage revient aux organisations qui auront cartographié, gouverné et surtout formé, sans attendre la dernière échéance.
Sources : règlement UE 2024/1689 (AI Act) et calendrier officiel de la Commission européenne ; accord provisoire « Digital Omnibus » Conseil/Parlement du 7 mai 2026 (report de l'annexe III au 2 décembre 2027), relayé par IT Social, Management Qualité, Données Personnelles et WEnvision ; analyses aiacto, Studeria et Leto (obligations, sanctions, actions à mener). Statuts et échéances à jour au début juillet 2026 ; le calendrier reste susceptible d'évoluer jusqu'à la publication officielle du Digital Omnibus, vérifier l'état du texte avant toute décision.
