Le 7 mai 2026, le Conseil de l’Union européenne et le Parlement européen ont conclu un accord sur le paquet Digital Omnibus AI, constituant le premier amendement substantiel à l’AI Act depuis son entrée en vigueur en 2024. Il ne s’agit pas d’une refonte complète. Les échéances sont décalées, les contraintes allégées pour les petites entreprises, et les frontières entre catégories de risque sont recalibrées. Pour les entreprises opérant en France et dans l’Union européenne, les implications concrètes se précisent encore, et beaucoup d’équipes conformité n’ont pas terminé de les analyser.
Un chiffre de départ: selon des données publiées en mai 2026, 79 % des PME italiennes utilisent déjà des outils d’intelligence artificielle. Moins de 4 sur 10 disposent d’une politique interne formalisée sur l’usage de l’IA. Cet écart entre adoption de fait et gouvernance formelle est précisément le territoire que le Digital Omnibus cherche à encadrer, avec moins de rigidité que le cadre initial de l’AI Act.
Quels systèmes IA entrent dans les nouvelles obligations
L’AI Act de l’Union européenne classe les systèmes d’IA en quatre catégories de risque. Le Digital Omnibus ne modifie pas cette architecture: les changements portent principalement sur les échéances et les seuils d’application au sein de chaque catégorie.
Répartition des systèmes IA par catégorie de risque selon l’AI Act, application Digital Omnibus 2026
Source: Bureau européen de l’IA, analyse SpazioCrypto, mai 2026
Concrètement, la grande majorité des systèmes IA utilisés quotidiennement par les PME françaises et européennes, chatbots internes, outils de rédaction assistée, analyses de données, moteurs de recommandation produit, assistants virtuels, relève de la catégorie «risque minimal». Les obligations prévues par l’AI Act d’origine étaient déjà légères pour ces systèmes. Le Digital Omnibus les maintient telles quelles: aucune inscription obligatoire, aucune évaluation formelle de conformité, uniquement des bonnes pratiques recommandées.
La position officielle de la Commission européenne sur le Digital Omnibus est mise à jour sur son profil X: EU_Commission sur X.
Ce qui change concrètement: échéances et PME
Trois modifications opérationnelles concrètes ressortent de l’accord du 7 mai.
Première modification: les échéances pour les systèmes IA à risque élevé dans les secteurs non critiques sont repoussées. L’obligation d’inscription dans la base de données européenne et l’évaluation de conformité pour certaines catégories de systèmes sont décalées. Les entreprises opérant dans les secteurs moins régulés, marketing, RH non décisionnel, optimisation logistique, disposent de davantage de temps pour se mettre en conformité.
Deuxième modification: les PME de moins de 250 salariés et dont le chiffre d’affaires est inférieur à 50 millions d’euros bénéficient d’exigences allégées en matière de documentation technique obligatoire pour les systèmes IA déployés en interne. La Commission a tenu compte des pressions du secteur industriel européen, qui avait signalé des charges disproportionnées pesant sur les petites structures. En France, les entreprises soumises au RGPD et suivies par la CNIL trouveront une certaine cohérence entre ces allégements et les dérogations existantes pour les TPE et PME.
Troisième modification: les systèmes d’IA générative, dont les modèles de langage utilisés pour rédiger des textes, générer du code ou répondre à des questions, qui ne sont pas qualifiés de «modèles à fort impact» (seuil: 10²&sup5; FLOP de calcul à l’entraînement) sortent des obligations les plus lourdes applicables aux «modèles d’IA à usage général.» En pratique, Claude Sonnet, GPT-4o et Gemini Flash, lorsqu’ils sont utilisés par une PME pour automatiser des emails ou de la documentation, ne nécessitent pas de certification de conformité spécifique. Les modèles tels que GPT-5 ou Claude Opus franchissent ce seuil. Pour les équipes gérant des automatisations IA en entreprise, cette distinction a une portée opérationnelle réelle.
Ce que cela signifie pour les entreprises sans politique IA
La réponse courte: peu de choses changent immédiatement, mais beaucoup évoluent dans les 18 prochains mois. Le Digital Omnibus a décalé les échéances, sans supprimer les obligations. Les entreprises qui ne disposent toujours pas d’une politique interne sur l’IA, soit plus de 60 % des PME européennes selon les données de mai 2026, gagnent du temps. Pas une dispense définitive.
Trois actions pratiques à structurer dès maintenant: (1) recenser tous les systèmes IA déployés en entreprise et identifier leur catégorie de risque selon l’AI Act; (2) vérifier si les outils IA utilisés sont qualifiés de «modèles à fort impact» au-delà du seuil des 10²&sup5; FLOP; (3) rédiger une politique interne d’usage même pour les systèmes à risque minimal, car les marchés publics dans plusieurs États membres l’exigeront à partir de 2027.
Le texte consolidé de l’AI Act (Règlement UE 2024/1689) est publié sur EUR-Lex et constitue la référence juridique primaire.
Les modifications du Digital Omnibus entreront dans le texte officiel via un règlement délégué, dont la publication est attendue avant septembre 2026. Pour les responsables conformité et les directeurs techniques, suivre ce règlement délégué est plus utile que de scruter les déclarations politiques. En France, l’AMF surveille déjà les usages de l’IA dans les services financiers régulés, et la CNIL a publié des recommandations sur l’IA générative en 2023, qui demeurent pertinentes en complément du cadre européen. Les autorités nationales compétentes publieront leurs lignes directrices d’application dans les mois à venir.
Une question encore absente du débat français: combien d’entreprises qui déclarent utiliser l’IA ont vérifié que leurs outils respectent les obligations de transparence envers les utilisateurs finaux, l’une des exigences maintenues à l’identique dans le Digital Omnibus? Google, Microsoft et Anthropic ont déjà aligné leurs produits entreprise sur cette exigence. Pour les entreprises utilisant des outils de niche ou des solutions développées en interne, cette vérification reste largement à effectuer. C’est le prochain écart de conformité à combler avant septembre 2026, en particulier pour les acteurs français soumis à la supervision conjointe CNIL et AMF.
