Omnibus numérique : l'IA industrielle (quasi) exemptée de l'AI Act, le cœur du règlement reporté à fin 2027
Après plusieurs trilogues, le Conseil de l'UE et le Parlement européen ont trouvé un accord sur l'omnibus numérique. Le compromis du 11 mai 2026 sort l'IA industrielle du champ d'application direct de l'AI Act, repousse l'application des dispositions sur les systèmes à haut risque à fin 2027, et clarifie la frontière entre le Bureau de l'IA et les autorités nationales. Pour les DPO et responsables conformité IA, le calendrier change — mais l'effort de mise en conformité n'est ni allégé, ni reporté sine die.
Ce qui s'est passé
L'accord politique trouvé entre le Conseil et le Parlement européen referme un dossier ouvert depuis l'automne 2025 : la simplification du paquet numérique européen. C'est l'Allemagne — par la voix de son chancelier Friedrich Merz — qui avait porté la ligne la plus offensive, en s'inscrivant à rebours de la position de négociation du Conseil arrêtée mi-mars. Au Parlement, le PPE et une partie de Renew Europe ont relayé cette demande d'exemption de l'IA industrielle.
Berlin obtient partiellement gain de cause. Mécaniquement, l'AI Act classe ses législations sectorielles d'harmonisation en annexe I, divisée en deux sections : la section A soumet les systèmes couverts à l'essentiel des obligations « haut risque » du règlement, la section B les en exempte. L'omnibus déplace la directive « machines » de 2006 de la section A vers la section B. Conséquence directe : l'IA industrielle rejoint l'aviation civile, les équipements marins ou encore les véhicules agricoles et forestiers — secteurs qui échappent à l'AI Act direct.
Cette exemption n'est pas un blanc-seing. La Commission européenne devra adopter des actes délégués au titre de la directive sur les machines, intégrant des exigences santé et sûreté équivalentes à celles imposées aux systèmes haut risque de l'AI Act. Pour les autres secteurs concernés, elle adoptera des actes d'exécution pour limiter l'application de l'AI Act dans les cas de double emploi.
Pourquoi c'est important : le calendrier de l'AI Act bascule
Le principal effet de l'omnibus n'est pas l'exemption sectorielle, mais le report du cœur du règlement. La Commission proposait un délai de 16 mois maximum pour l'entrée en application des dispositions « haut risque » : les colégislateurs ont retenu cette borne. Concrètement :
- Pour les systèmes d'IA autonomes classés à haut risque (annexe III : biométrie, infrastructures critiques, emploi, justice…), application repoussée à décembre 2027.
- Pour les systèmes embarqués dans des produits en tant que composants de sécurité, application en août 2028.
Ce report s'ajoute à un mouvement déjà documenté par nos articles de veille : l'EDPS a positionné l'AI Act comme la nouvelle « grande idée » européenne, tandis que l'analyse du Digital Omnibus alertait sur le risque d'affaiblir des garanties fondamentales au nom de la simplification. L'accord final atténue plusieurs craintes — notamment celle d'une exception à l'enregistrement des systèmes haut risque — mais il consolide bien un décalage temporel de 16 à 22 mois.
Trois autres précisions méritent d'être relevées :
- Enregistrement maintenu sans exception. La Commission envisageait une dérogation à l'inscription dans la base européenne pour les systèmes dont les fournisseurs estiment qu'ils ne présentent pas de risque important. Le Parlement a refusé : l'enregistrement reste nécessaire pour la surveillance du marché.
- Bureau de l'IA vs autorités nationales. La Commission souhaitait une compétence exclusive du Bureau de l'IA sur les systèmes basés sur des modèles à usage général développés par le même fournisseur. Le Parlement a refusé cette exclusivité : les autorités nationales (police, douanes, autorités financières…) restent compétentes dans certains cas. Pour la France, cela conforte le rôle des régulateurs déjà identifiés — voir notre guide sur les autorités compétentes en France pour l'AI Act.
- Définition du « composant de sécurité ». Le Parlement précise qu'une IA intégrée à un produit couvert par une législation d'harmonisation ne remplit pas mécaniquement une fonction de sûreté. Les fonctionnalités pensées pour l'assistance utilisateur, l'optimisation de performance, l'automatisation ou le contrôle qualité — tant qu'elles ne créent pas directement de risques pour la santé ou la sûreté — ne basculeront pas en « haut risque » par ce seul rattachement.
Ce que ça change pour les organisations
Le décalage du calendrier ne doit pas être lu comme un relâchement. Trois priorités s'imposent aux DPO et responsables conformité IA dès maintenant :
1. Cartographier les systèmes d'IA — y compris ceux désormais « exemptés ». L'exemption de l'IA industrielle se fait avec garde-fous sectoriels équivalents, qui passeront par des actes délégués. Les industriels devront donc continuer à documenter leurs systèmes — simplement sous un autre cadre juridique. La cartographie reste la pierre angulaire de toute démarche, comme nous l'expliquons dans le guide complet de conformité à l'AI Act.
2. Anticiper l'obligation d'enregistrement. L'absence d'exception confirmée par le Parlement signifie que tous les fournisseurs et déployeurs de systèmes haut risque (annexe III) devront passer par la base européenne, sans seuil de risque interne pour s'en exonérer. Préparer dès 2026 les éléments documentaires nécessaires reste pertinent.
3. Maintenir l'articulation RGPD / AI Act. L'accord conserve la possibilité de traiter des données sensibles pour la détection et la correction de biais, mais avec une exigence renforcée de stricte nécessité. Les politiques de gouvernance des données doivent en tenir compte. À noter aussi le report d'un an des bacs à sable réglementaires nationaux (échéance désormais en août 2027), et un délai de grâce ramené de 6 à 3 mois pour l'obligation d'étiquetage des contenus générés par IA.
Ce que Leto pense de cette décision
L'omnibus numérique fait ce qu'il dit : il simplifie à la marge, sans démolir l'édifice. L'exemption de l'IA industrielle, encadrée par des actes délégués équivalents, est davantage un transfert de régime qu'un allègement réel. Le vrai signal, c'est le report de 16 à 22 mois du cœur opérationnel de l'AI Act : il offre du temps aux entreprises pour s'organiser, mais il donne aussi du temps aux autorités pour structurer leur doctrine. Le piège, pour les DPO, serait de prendre ce délai pour une pause. L'EDPB l'a rappelé lors du dixième anniversaire du RGPD : la décennie qui s'ouvre est celle de l'articulation entre régimes et de l'enforcement, pas celle de l'allègement. L'omnibus le confirme — en creux.
Sources :
