La Commission européenne a proposé en novembre 2025 un paquet législatif appelé Omnibus Numérique, dont l'un des volets révise l'AI Act européen adopté en juin 2024. À la date d'avril 2026, les négociations en trilogue entre Commission, Parlement et Conseil sont en cours, avec un vote potentiel du Parlement attendu fin avril ou au début du mois de mai. Pour les entreprises françaises qui déploient des systèmes d'IA, l'enjeu est double : comprendre ce qui est déjà en vigueur, et anticiper ce qui change selon l'issue du vote.
Cet article fait le point à date sur l'état des négociations, les modifications proposées qui concernent directement les déployeurs d'IA en entreprise, et les actions à engager sans attendre la conclusion du trilogue. Pour le guide complet sur les obligations AI Act en 2026, voir notre article pilier sur les obligations de l'AI Act en entreprise.
L'Omnibus Numérique s'inscrit dans le cadre d'une initiative plus large de simplification réglementaire portée par la Commission von der Leyen dans le cadre du Competitiveness Compass. L'objectif affiché est de réduire la charge administrative pesant sur les entreprises européennes, particulièrement les PME, sans remettre en cause les objectifs politiques des textes existants. Plusieurs réglementations sont visées : RGPD, Digital Services Act, Digital Markets Act, AI Act.
Sur le volet AI Act spécifiquement, trois modifications principales sont en négociation.
Premièrement, un potentiel report de l'application des obligations pour les systèmes IA dits à haut risque, prévues initialement pour entrée en vigueur le 2 août 2026. Les propositions en discussion évoquent un décalage qui pourrait aller jusqu'au 2 décembre 2027, soit environ 16 mois de plus. Ce report concernerait les obligations portant sur la documentation technique, les systèmes de gestion des risques, la surveillance humaine et les dépôts auprès des autorités nationales.
Deuxièmement, une simplification des obligations documentaires pour les systèmes d'IA dits à risque limité, notamment les chatbots et les générateurs de contenu. Les obligations de transparence (indiquer à l'utilisateur qu'il interagit avec une IA, étiqueter les contenus générés) seraient maintenues, mais avec des formats plus souples.
Troisièmement, une clarification du périmètre des modèles à usage général (General Purpose AI, ou GPAI), dont les fournisseurs sont soumis à des obligations spécifiques entrées en vigueur le 2 août 2025. La définition et les seuils de puissance de calcul qui déclenchent les obligations renforcées seraient ajustés pour éviter des effets de bord non souhaités.
Quel que soit le résultat du trilogue, certaines obligations sont déjà effectives et ne seront pas remises en cause par l'Omnibus.
Les pratiques d'IA interdites, listées à l'article 5 de l'AI Act, sont en vigueur depuis le 2 février 2025. Elles incluent notamment les systèmes de notation sociale, la manipulation des comportements par des techniques subliminales, l'exploitation des vulnérabilités de groupes protégés, et certains usages de la reconnaissance biométrique à distance en temps réel. Aucune des propositions Omnibus ne revient sur ces interdictions.
L'obligation d'AI literacy, prévue à l'article 4 de l'AI Act, est également en vigueur depuis le 2 février 2025. Elle impose à tout fournisseur ou déployeur d'un système d'IA, quel que soit son niveau de risque, de s'assurer que les personnes impliquées (salariés, sous-traitants, utilisateurs professionnels) disposent d'un niveau suffisant de compréhension et de culture IA. Cette obligation s'applique immédiatement à toutes les organisations qui utilisent ChatGPT, Copilot, Claude ou d'autres outils d'IA générative en production, y compris les PME et les TPE.
Les obligations des fournisseurs de GPAI (OpenAI, Anthropic, Google, Mistral, Meta, xAI, Microsoft Azure AI) sont en vigueur depuis le 2 août 2025. Les entreprises déployeuses en bénéficient indirectement à travers la documentation et les engagements contractuels fournis par ces acteurs, mais les obligations principales reposent sur les fournisseurs eux-mêmes.
La gouvernance européenne de l'AI Act, avec le Comité européen de l'intelligence artificielle (EAIB) et les autorités nationales compétentes, est en place. En France, la CNIL a été désignée pour coordonner l'application avec d'autres autorités sectorielles (ARCEP, ANSSI, DGCCRF selon les cas).
Pour la majorité des entreprises françaises, la question opérationnelle clé n'est pas le futur calendrier des obligations à haut risque, mais la conformité à l'article 4 qui est déjà applicable.
L'article 4 impose aux entreprises déployeuses d'IA de former leurs collaborateurs et prestataires pour qu'ils disposent d'un niveau de compréhension adapté aux systèmes utilisés, au contexte d'usage et aux personnes concernées. La formulation laisse une marge d'appréciation, mais les principes d'action sont clairs : il faut une démarche formelle, documentée, adaptée aux populations, et actualisée régulièrement.
Plusieurs éléments font consensus dans l'interprétation. Premièrement, l'obligation s'applique quel que soit le risque des systèmes d'IA utilisés, y compris pour les usages dits à risque minimal comme un assistant générique de type ChatGPT. Deuxièmement, elle pèse sur l'entreprise même si les salariés utilisent l'IA de leur propre initiative (cas du Shadow AI). Troisièmement, l'absence de programme structuré peut être sanctionnée, indépendamment de la survenue d'un incident.
Pour une organisation qui n'a pas encore engagé de démarche, le minimum opérationnel tient en quatre éléments. Un état des lieux des usages IA réels, formalisé par un document interne. Un programme de formation AI literacy couvrant l'ensemble des collaborateurs, avec un approfondissement pour les populations plus exposées (RH, juridique, finance, R&D). Une documentation des actions menées (contenus, émargements, attestations) qui puisse être présentée en cas de contrôle. Une révision annuelle, pour intégrer les évolutions technologiques et réglementaires.
C'est l'hypothèse la plus discutée à la date de publication. Pour les entreprises déployant des systèmes à haut risque (RH automatisé, scoring client, éducation, santé, services publics, infrastructures critiques), cela donnerait 16 mois de plus pour se mettre en conformité avec la documentation technique, la gestion des risques, le marquage CE et les dépôts de conformité. Un soulagement réel pour les projets déjà engagés mais non finalisés.
Pour les entreprises qui n'utilisent que des systèmes à risque limité ou minimal (bureautique, marketing, communication, support client simple), le report ne change rien : les obligations applicables à ces systèmes sont déjà en vigueur (transparence, AI literacy, non-discrimination).
En cas de rejet ou de négociation prolongée, le calendrier initial de l'AI Act s'applique : les obligations à haut risque entrent en vigueur le 2 août 2026. Les entreprises concernées devraient alors accélérer leur mise en conformité pour tenir l'échéance initiale. Ce scénario est jugé peu probable par les analystes au moment de la rédaction de l'article, mais il reste dans le champ des possibles.
Une troisième hypothèse est un accord sur une version intermédiaire de l'Omnibus : report partiel, simplifications documentaires sans décalage d'échéance, clarifications sur le GPAI sans modification du calendrier des hautes risques. Dans ce cas, les entreprises devront analyser le texte final article par article pour identifier les impacts.
La règle à retenir est simple : aucune des évolutions envisagées ne dispense de l'action immédiate sur les obligations déjà en vigueur. Quatre chantiers doivent être engagés maintenant, indépendamment de l'issue du trilogue.
Premier chantier : cartographier les systèmes d'IA utilisés dans l'organisation. Cette cartographie inclut les outils d'IA générative officiellement déployés, les fonctionnalités IA embarquées dans les SaaS existants (CRM, SIRH, ERP, plateformes marketing), les systèmes développés en interne, et les usages informels (Shadow AI). La cartographie conditionne toutes les autres actions : sans visibilité, aucune politique ne peut être pertinente.
Deuxième chantier : déployer un programme de formation AI literacy conforme à l'article 4. Ce programme doit couvrir l'ensemble des collaborateurs concernés par l'usage de l'IA, de manière proportionnée au niveau de risque et de complexité des systèmes utilisés. Pour la majorité des entreprises, une session d'une demi-journée à une journée par profil métier, avec un approfondissement pour les populations exposées, constitue un point de départ solide.
Troisième chantier : formaliser une gouvernance IA interne. Désigner un référent (souvent le DPO, le RSSI ou un responsable dédié), rédiger une charte d'usage claire, mettre en place un processus de validation pour les nouveaux outils, prévoir un mécanisme de signalement des incidents. Une gouvernance légère mais réelle protège mieux l'entreprise qu'une gouvernance ambitieuse restée au stade du document.
Quatrième chantier : pour les organisations déployant ou envisageant des systèmes à haut risque (RH, scoring, santé, éducation, justice, infrastructures critiques), commencer dès maintenant la démarche de conformité même si les échéances pourraient être reportées. Les travaux de documentation technique, d'analyse de risques et de dépôt prennent entre 6 et 18 mois selon la complexité du système. Repousser le démarrage au dernier moment ne laissera pas de marge de manœuvre.
Les sources fiables pour suivre l'avancement du trilogue Omnibus sont les communications officielles du Parlement européen et du Conseil de l'Union européenne, les publications de la CNIL pour les implications françaises, et les veilles des grands cabinets de conseil juridique spécialisés. Les réseaux sociaux et certains médias spécialisés offrent une bonne réactivité mais méritent d'être recoupés avec les sources primaires avant toute prise de décision.
Almera suit l'évolution de l'AI Act dans le cadre de ses parcours de formation et de conseil. Nos formations AI literacy sont adaptées en continu pour refléter l'état réglementaire à jour, et nos interventions en accompagnement stratégique intègrent systématiquement une analyse d'impact réglementaire pour les organisations concernées.
Pour discuter de votre situation spécifique au regard de l'AI Act, réserver un échange de 30 minutes avec Almera. Pour le détail des obligations en vigueur, voir notre guide complet sur les obligations AI Act pour les entreprises. Pour la formation AI literacy, voir notre offre de formation IA en entreprise.
