AI Act de l'UE : l'application aux modèles GPAI à partir du 2 août 2026 et ce que le Digital Omnibus a reporté
En août débute l'application active des obligations GPAI. Un tour d'horizon sobre de ce qui s'applique désormais, de ce que le Digital Omnibus de mai 2026 a reporté et des échéances qui demeurent.
L’AI Act de l’UE s’applique depuis août 2024, mais nombre de ses obligations entrent en vigueur par étapes. Une date se détache : le 2 août 2026 commence l’application active à l’égard des fournisseurs de modèles d’IA à usage général (GPAI) par le Bureau européen de l’IA, et les régimes nationaux de sanctions prennent effet en parallèle. En Allemagne s’y ajoute la loi sur les mesures et l’innovation en matière d’IA (KI-MIG). Quiconque utilise ou met à disposition de l’IA devrait connaître l’échéance, mais aussi les reports les plus récents.
Ce qui commence le 2 août 2026
Les obligations relatives aux modèles GPAI sont applicables depuis août 2025. Ce qui s’ajoute en août 2026, c’est l’application : un an après l’entrée en application, le Bureau de l’IA reçoit les pouvoirs de la mettre réellement en œuvre. Cela comprend les demandes d’informations, l’accès aux modèles et, en dernier recours, le rappel d’un modèle. Une obligation sur le papier devient ainsi une obligation opposable.
Pour la plupart des entreprises, le rôle pertinent n’est pas celui de fournisseur de GPAI, mais celui de déployeur ou de fournisseur de systèmes en aval. Elles aussi devraient savoir quelles obligations de transparence et de documentation prennent effet et à quel moment.
Ce que le Digital Omnibus de mai 2026 a reporté
Le 7 mai 2026, l’UE a, avec ce que l’on appelle le Digital Omnibus, étalé dans le temps certaines obligations partielles. Cela ne change rien à l’échéance d’août pour l’application aux GPAI, mais reporte d’autres briques :
- Systèmes à haut risque relevant de l’annexe III : reportés au 2 décembre 2027.
- Systèmes à haut risque relevant de l’annexe I : reportés au 2 août 2028.
- Obligations de transparence au titre de l’article 50 (par exemple le marquage des contenus générés par IA) : reportées au 2 décembre 2026.
- Bacs à sable réglementaires pour l’IA : reportés au 2 août 2027.
Cet étalement n’est pas un blanc-seing. Il dégage du temps pour les exigences plus lourdes liées au haut risque, mais laisse intactes l’application aux GPAI et les sanctions nationales prévues pour août.
Ce que cela signifie en pratique
Trois tâches sont utiles indépendamment de la date exacte. Premièrement, un état des lieux : quels systèmes d’IA l’entreprise utilise-t-elle ou met-elle à disposition, et dans quelle classe de risque tombent-ils ? Sans cette clarté, aucune échéance ne peut se planifier utilement. Deuxièmement, la transparence : à partir de décembre 2026, l’article 50 exige que certaines interactions avec l’IA et certains contenus générés par IA soient rendus reconnaissables. Troisièmement, la documentation, car l’application à partir d’août repose sur le fait que les obligations ne sont pas seulement remplies, mais aussi prouvées.
Ce dernier point relie l’AI Act aux autres régimes de conformité. Que ce soit NIS2, DORA ou l’AI Act, l’exigence récurrente est une trace traçable et auditable de ce qu’un système fait et de qui en répond. Une plateforme qui produit de toute façon cette trace comme sous-produit de l’exploitation facilite la préparation, quel que soit le régime. La tâche elle-même reste pourtant la même : d’abord savoir ce que l’on exploite, puis prouver que cela respecte les règles.
Le 2 août 2026 n’est pas une échéance abstraite. C’est le moment où les obligations GPAI acquièrent des dents. Ce que le Digital Omnibus a reporté concerne le volet du haut risque, pas ce noyau.