Digital Omnibus AI Act : les trois durcissements du compromis final que les DPO doivent retenir
L'accord politique trouvé le 7 mai 2026 entre le Conseil, le Parlement et la Commission européenne sur le Digital Omnibus AI Act vient d'être détaillé par Covington : derrière les reports calendaires déjà connus, le compromis final introduit trois nouveautés majeures que les DPO et RSSI doivent intégrer dès maintenant — une interdiction explicite des deepfakes intimes et du CSAM générés par IA, une centralisation de la supervision des modèles GPAI au niveau européen, et une extension des amendes de 3 % du chiffre d'affaires mondial aux manquements de l'article 25.
Ce qui s'est passé
Les négociateurs européens ont validé le 7 mai 2026 les amendements au Règlement IA, premier ajustement substantiel depuis son adoption en juin 2024. Le texte combine assouplissements calendaires, simplifications sectorielles et trois durcissements ciblés que le communiqué initial du 11 mai n'avait pas mis en avant. Une analyse de l'omnibus numérique couvrait déjà la bascule de la Machinery Regulation vers la Section B de l'Annexe I et le report à décembre 2027 des obligations Annexe III. Le détail du compromis final révèle désormais l'architecture complète.
L'adoption formelle est attendue en juin, la publication au Journal officiel en juillet, pour une entrée en vigueur avant le jalon clé du 2 août 2026.
Trois nouveautés que les DPO doivent retenir
1. Deux nouvelles pratiques d'IA interdites à compter du 2 décembre 2026. L'article 5 du Règlement IA est amendé pour bannir la mise sur le marché, la mise en service ou l'usage de systèmes d'IA générant ou manipulant des représentations intimes réalistes d'une personne identifiable sans son consentement explicite, ainsi que des contenus relevant du CSAM au sens de la directive 2011/93/UE. L'interdiction s'applique aux fournisseurs lorsque la génération de ces contenus constitue la finalité prévue du système ou un résultat raisonnablement prévisible sans mesures techniques adéquates ; pour les déployeurs, elle ne vise que les usages intentionnels, y compris par contournement des protections. La génération accidentelle est expressément exclue.
2. Supervision centralisée des GPAI. Le Bureau de l'IA récupère une compétence exclusive sur deux catégories de systèmes : ceux fondés sur un modèle GPAI développé par le même fournisseur (ou la même entreprise) que le système, et ceux intégrés dans une très grande plateforme (VLOP) ou un très grand moteur de recherche (VLOSE) au sens du DSA. Pour ces derniers, les obligations d'évaluation des risques du DSA (articles 34, 35 et 37) deviennent le point d'entrée, le Bureau de l'IA conservant un pouvoir d'enquête ex post. Cette centralisation s'accompagne d'évaluations pré-marché conduites par la Commission pour les systèmes à haut risque soumis à conformité tierce.
3. Amendes 3 % CA mondial étendues à l'article 25. L'article 99(4), qui plafonne la première strate d'amendes à 15 M€ ou 3 % du chiffre d'affaires annuel mondial, intègre désormais les manquements aux obligations de partage d'informations en aval de la chaîne de valeur (article 25(2) et (4)). Concrètement : un fournisseur initial qui ne transmet pas la documentation technique nécessaire, n'informe pas sur les limites connues du système, ou ne donne pas un accès technique ciblé à un acteur en aval requalifié fournisseur s'expose à la même sanction qu'un manquement aux obligations principales des articles 16, 26 ou 50.
Pourquoi c'est important
Le Digital Omnibus avait été présenté comme un texte de simplification administrative. Le compromis final montre que la Commission a refusé de céder sur trois lignes de défense : la protection contre les usages dévoyés de l'IA générative, la centralisation du contrôle des modèles les plus puissants, et la responsabilité tout au long de la chaîne d'approvisionnement IA.
Pour les organisations, cela rebat plusieurs cartes. D'abord, les obligations de transparence de l'article 50 ne sont pas reportées et continuent de s'appliquer au 2 août 2026 avec la période de grâce détaillée par la Commission le 12 mai. Ensuite, un nouvel article 4a autorise — sous conditions strictes — le traitement de données sensibles pour la détection et la correction de biais : les fournisseurs de systèmes à haut risque peuvent utiliser ces données uniquement lorsqu'aucune alternative (données synthétiques, anonymisées) n'est viable, et sous pseudonymisation, contrôles d'accès stricts et documentation détaillée. C'est une voie étroite mais opérationnelle pour le bias testing — un sujet jusqu'ici largement non résolu.
Ce que ça change pour les organisations
Trois actions concrètes à engager avant l'été 2026. Premièrement, cartographier les systèmes générant ou manipulant du contenu réaliste de personnes identifiables : avant le 2 décembre 2026, tout fournisseur dont le système peut produire des deepfakes intimes ou du CSAM sans garde-fous robustes est exposé. Les mesures techniques attendues (filtres entraînés, blocklists, modération en sortie) doivent être documentées dans la fiche technique. Deuxièmement, auditer les contrats fournisseurs et clients pour intégrer les nouvelles obligations de l'article 25 : documentation suffisante, information sur les limites connues, accès technique ciblé. Les contrats existants n'y suffiront pas et l'exposition financière (3 % CA mondial) justifie une revue ciblée. Troisièmement, pour les organisations qui intègrent des modèles GPAI dans des produits propriétaires, anticiper la bascule de l'autorité de contrôle : la CNIL et les autorités nationales gardent une compétence générale, mais le Bureau de l'IA devient l'interlocuteur direct pour les configurations « même fournisseur » et les intégrations VLOP/VLOSE. Le guide complet AI Act permet de structurer cette cartographie.
Ce que Leto pense de cette décision
Sur le papier, l'Omnibus desserre les contraintes. En pratique, il les déplace : les obligations « directement applicables » sont reportées, mais les obligations de gouvernance contractuelle (article 25) et les interdictions absolues (article 5) sont durcies. Les organisations qui ont profité du calendrier pour ralentir leur préparation se retrouveront fragilisées sur ces nouveaux axes, beaucoup plus difficiles à corriger en urgence qu'un dossier d'AIPD. La leçon : utiliser le temps gagné pour structurer la chaîne de valeur, pas pour la repousser.
