Le 2 août 2026 revient dans toutes les conversations sur l’intelligence artificielle en entreprise. Présentée tantôt comme un couperet, tantôt comme une échéance vidée de sa substance par le report européen, cette date concentre une confusion réelle. Que se passe-t-il exactement le 2 août 2026 ? Quelles obligations s’appliquent vraiment, lesquelles ont été repoussées, et que doit faire une entreprise française aujourd’hui ? Ce décryptage fait le tri.
L’AI Act en bref : un calendrier échelonné, pas un big bang
L’AI Act (règlement UE 2024/1689) est la première régulation mondiale encadrant l’intelligence artificielle. Entré en vigueur le 1er août 2024, il ne s’applique pas d’un seul coup. Son déploiement est échelonné sur plusieurs années, avec des dates clés qui rythment la mise en conformité.
Les jalons déjà franchis :
- 2 février 2025 : entrée en vigueur des interdictions visant les pratiques à « risque inacceptable » (notation sociale généralisée, manipulation comportementale subliminale, certains usages de l’identification biométrique en temps réel dans l’espace public).
- 2 août 2025 : application des obligations pour les modèles d’IA à usage général (GPAI), c’est-à-dire les grands modèles de langage comme GPT, Claude, Mistral ou Gemini (transparence sur les données d’entraînement, respect du droit d’auteur, évaluation des risques systémiques).
C’est dans ce calendrier que s’inscrit le 2 août 2026, mais sa portée a été modifiée en cours de route.
Ce qui a changé : le Digital Omnibus et le report à 2027
Le point qui sème le plus de confusion tient à un texte adopté en cours de route : le Digital Omnibus on AI. Proposé par la Commission européenne le 19 novembre 2025, il a fait l’objet d’un accord politique provisoire entre le Conseil et le Parlement le 7 mai 2026.
Son effet principal : repousser du 2 août 2026 au 2 décembre 2027 l’application des obligations les plus lourdes, celles qui concernent les systèmes d’IA à haut risque listés à l’annexe III du règlement. Sont visés les usages dans les ressources humaines, le crédit, la santé, l’éducation, la justice et la biométrie.
Pourquoi ce report ? Parce que les outils de soutien à la conformité n’étaient pas prêts. Les organismes de standardisation européens (CEN et CENELEC) ont manqué l’échéance de finalisation des normes techniques essentielles (gestion des risques, qualité des données, supervision humaine). Sans ces normes, les entreprises ne pouvaient pas s’appuyer sur la « présomption de conformité » prévue par le texte. À cela s’ajoutait le retard des lignes directrices de la Commission sur la classification des systèmes à haut risque (article 6), plaçant les organisations dans une incertitude juridique majeure.
Attention : la publication officielle au Journal officiel de l’UE était encore attendue au moment de la rédaction. Tant que le texte n’est pas formellement adopté par le Parlement et le Conseil, ce sont les dispositions initiales de l’AI Act qui font foi. C’est précisément ce qui crée la tension actuelle : une course administrative entre la date butoir d’origine et la formalisation du report.
Ce qui s’applique réellement le 2 août 2026
Le report du haut risque ne vide pas la date de sa substance. Plusieurs blocs d’obligations restent attachés au 2 août 2026.
1. Les obligations de transparence (article 50)
C’est le point le plus sous-estimé. Les exigences de transparence de l’article 50 sont maintenues au 2 août 2026. Elles s’appliquent quel que soit le niveau de risque du système. Concrètement :
- Un utilisateur qui interagit avec un chatbot doit être informé qu’il dialogue avec une IA et non avec un humain.
- Les contenus générés ou manipulés par IA (textes, images, audio, vidéo, deepfakes) doivent être identifiés comme tels.
Une PME qui exploite un chatbot de service client ou qui publie des visuels générés par IA est donc directement concernée dès cette date.
2. L’application générale du règlement et sa gouvernance
Le 2 août 2026 marque aussi l’entrée en vigueur du cadre de gouvernance : désignation des autorités nationales compétentes, mise en place des mécanismes de surveillance du marché, et applicabilité du régime de sanctions. Autrement dit, l’architecture de contrôle devient pleinement opérationnelle.
Ce qui est repoussé (et ne s’applique donc pas le 2 août 2026)
Pour éviter toute erreur d’interprétation, voici le calendrier révisé des obligations « haut risque » :
- 2 décembre 2027 : systèmes à haut risque de l’annexe III (RH, crédit, santé, éducation, justice, biométrie). C’est le report central du Digital Omnibus.
- 2 août 2028 : systèmes d’IA intégrés comme composants de sécurité dans des produits déjà soumis à une évaluation de conformité CE tierce (dispositifs médicaux, machines, jouets, véhicules).
- 31 décembre 2030 : délai supplémentaire pour la mise en conformité des systèmes à haut risque déjà déployés avant la date d’application.
Un point important demeure malgré ces reports : l’enregistrement dans la base de données de l’UE reste obligatoire, sans exception, y compris pour les systèmes quasi-exemptés du régime haut risque.
Qui est concerné ? (Spoiler : probablement vous)
L’erreur la plus répandue consiste à croire que l’AI Act ne vise que les géants de la tech ou les éditeurs de modèles. Le critère déterminant n’est pas la taille de l’entreprise, mais la nature et le niveau de risque du système d’IA utilisé.
Une PME devient « déployeur » au sens du règlement dès lors qu’elle utilise, par exemple, un logiciel RH avec scoring automatique (tri de CV, évaluation de performance), un outil de scoring de crédit ou d’analyse financière, un chatbot de relation client ou une solution d’IA générative, un système de surveillance du travail des salariés, ou toute solution SaaS mentionnant « IA », « machine learning » ou « prédictif » dans sa documentation.
Et la responsabilité ne s’arrête pas au périmètre interne : si vous intégrez un système d’IA fourni par un tiers, vous restez co-responsable de sa conformité. Les obligations s’étendent à toute la chaîne de valeur (fournisseurs, déployeurs, distributeurs et importateurs), chacun selon son rôle.
Le contrôle en France : trois autorités à connaître
En France, la surveillance de l’AI Act est répartie entre trois autorités désignées :
- La CNIL : pour les données personnelles et la biométrie. Elle a indiqué vouloir intensifier ses contrôles sur les systèmes RH dès l’automne 2026.
- La DGCCRF : pour les pratiques commerciales.
- L’Arcom : pour les contenus générés par IA.
À noter : l’AI Act et le RGPD s’appliquent simultanément. L’AI Act encadre la mise sur le marché et l’usage des systèmes d’IA, le RGPD encadre le traitement des données personnelles. Un système d’IA qui traite des données personnelles doit être conforme aux deux textes, et la CNIL contrôle les deux dimensions.
Les sanctions : un risque calibré sur le chiffre d’affaires
Le régime de sanctions de l’AI Act est gradué selon le niveau de risque :
- Jusqu’à 35 M€ ou 7 % du chiffre d’affaires mondial pour l’usage de systèmes d’IA interdits.
- Jusqu’à 15 M€ ou 3 % du CA mondial pour la non-conformité des systèmes à haut risque.
- Jusqu’à 7,5 M€ ou 1 % du CA mondial pour les manquements aux obligations de transparence.
Pour les PME et les startups, le montant retenu est le plus faible entre le seuil absolu et le pourcentage du chiffre d’affaires. C’est un allègement réel, mais qui ne dispense pas de la mise en conformité.
Que faire maintenant ? La feuille de route en 4 étapes
Le report à 2027 du haut risque ne signifie pas « rien à faire jusque-là ». Au contraire : il offre une fenêtre pour préparer proprement sa conformité plutôt que d’agir dans l’urgence.
Étape 1 : dresser l’inventaire de vos systèmes d’IA
On ne peut pas se mettre en conformité avec ce que l’on n’a pas identifié. Listez tous les outils d’IA utilisés dans l’organisation. Pour chacun, notez le fournisseur, la fonction exacte de l’IA, les données traitées et les personnes concernées.
Étape 2 : classifier chaque système par niveau de risque
Répartissez vos systèmes entre les quatre catégories du règlement : risque inacceptable (interdit), haut risque (obligations strictes), risque limité (transparence) et risque minimal (pas d’obligation spécifique).
Étape 3 : interroger vos fournisseurs
En tant que déployeur, vous avez le droit et l’obligation de vérifier que vos outils sont conformes. Le système est-il classé à haut risque ? Existe-t-il une documentation technique conforme à l’annexe IV ? Comment les données d’entraînement sont-elles documentées ? Quels mécanismes de supervision humaine sont prévus ? Le fournisseur est-il enregistré dans la base de données de l’UE ? Un fournisseur incapable de répondre est un risque de conformité pour vous.
Étape 4 : activer la transparence et désigner un référent
Mettez en place dès maintenant les mentions de transparence exigées par l’article 50. Le Cigref et la CNIL recommandent par ailleurs de désigner un responsable de la conformité IA pour piloter la démarche dans la durée.
FAQ : AI Act et échéance du 2 août 2026
Le 2 août 2026 est-il toujours une date importante malgré le report ?
Oui. Les obligations de transparence (article 50) et l’application générale du règlement restent attachées à cette date. Seules les obligations « haut risque » de l’annexe III ont été repoussées au 2 décembre 2027.
Mon entreprise utilise un chatbot. Suis-je concerné dès août 2026 ?
Oui. Les obligations de transparence s’appliquent quel que soit le niveau de risque. Vous devez informer vos utilisateurs qu’ils interagissent avec une IA.
Le report concerne-t-il toutes les obligations ?
Non. Le report du Digital Omnibus vise spécifiquement les systèmes à haut risque de l’annexe III. La transparence et la gouvernance générale ne sont pas concernées.
Une PME est-elle vraiment visée par l’AI Act ?
Oui, si elle utilise un système d’IA entrant dans le champ du règlement. Le critère est le niveau de risque, pas la taille de l’entreprise. Les PME bénéficient toutefois de mesures d’allègement.
L’AI Act remplace-t-il le RGPD ?
Non. Les deux textes s’appliquent en parallèle. Un système d’IA traitant des données personnelles doit respecter les deux, et la CNIL contrôle les deux dimensions.
En résumé
Le 2 août 2026 n’est pas l’échéance-couperet que certains redoutaient, mais ce n’est pas non plus une date vide. Les obligations de transparence et le cadre de gouvernance entrent bien en vigueur, tandis que le gros morceau (le haut risque) bascule au 2 décembre 2027. Pour les entreprises françaises, la bonne lecture n’est ni la panique ni l’attentisme : c’est la préparation méthodique.
Cet article a une vocation informative et ne constitue pas un avis juridique. Pour une analyse adaptée à votre situation, consultez un professionnel du droit.