Le calendrier des échéances de l'IA Act : trois vagues jusqu'en 2028

Une date avait ancré toutes les discussions sur l'IA Act : le 2 août 2026. Depuis que l'AI Omnibus a reporté le régime à haut risque au 2 décembre 2027 et le régime des produits intégrés au 2 août 2028, cette date unique ne correspond plus à la réalité. L'acte comporte désormais trois échéances indépendantes sur trois trajectoires indépendantes, chacune avec son propre champ d'application, son exposition aux sanctions et ses travaux préparatoires. Cet article présente le calendrier actuel : quelles obligations s'appliquent réellement à chaque date, quels produits SaaS relèvent de quelle trajectoire, et le travail minimal que chaque trajectoire exige avant son échéance respective.

Vague 1 : article 50, transparence des fournisseurs de GPAI et gouvernance (2 août 2026)

Trois blocs d'obligations commencent à s'appliquer le 2 août 2026.

Transparence au titre de l'article 50. Toute interface SaaS sur laquelle une personne physique interagit avec un système d'IA doit divulguer ce fait. Tout contenu généré par l'IA (texte, image, audio, vidéo) doit porter une marque de provenance lisible par machine. Toute fonctionnalité de reconnaissance des émotions ou de catégorisation biométrique doit en informer l'utilisateur. Tout hypertrucage (deepfake) doit être étiqueté. Il s'agit de la vague qui concerne presque tous les produits SaaS intégrant de l'IA à destination de l'UE, quel que soit le secteur ou le profil de risque. Tranche de sanction : 15 millions EUR ou 3 % en vertu de l'article 99, paragraphe 4.

Obligations des fournisseurs de GPAI au titre du chapitre V. Les fournisseurs de modèles d'IA à usage général (general-purpose AI models) ayant mis un modèle sur le marché de l'UE après le 2 août 2025 doivent respecter les obligations de transparence de l'article 53 (résumé des données d'entraînement, politique en matière de droits d'auteur, documentation technique). Les fournisseurs de modèles GPAI présentant un risque systémique (calcul d'entraînement supérieur à 10²⁵ FLOP) doivent en outre se conformer à l'article 55. Ces obligations s'imposent aux fournisseurs de modèles de pointe (frontier-model providers), et non aux produits SaaS qui utilisent ces modèles via une API. Un produit SaaS qui affine (fine-tune) un GPAI au point d'une modification substantielle au sens de l'article 25 peut devenir fournisseur à part entière.

Cadre de gouvernance au titre du chapitre VII. Le comité européen de l'intelligence artificielle (AI Board), le Bureau de l'IA (AI Office), les autorités nationales compétentes et le groupe scientifique deviennent opérationnels. Les autorités nationales de surveillance du marché, désignées par les États membres avant le 2 août 2025, assument la responsabilité de l'application. Du point de vue de l'application, le 2 août 2026 est le jour où la machinerie institutionnelle entre en fonctionnement. Tranche de sanction pour les violations liées à la gouvernance : 15 millions EUR ou 3 % en vertu de l'article 99, paragraphe 4.

Vague 2 : obligations à haut risque de l'annexe III (2 décembre 2027)

L'annexe III répertorie huit catégories d'utilisation de l'IA à haut risque : la biométrie, les infrastructures critiques, l'éducation, l'emploi, les services essentiels (dont la notation de crédit et la tarification des assurances), les services répressifs, la migration et le contrôle aux frontières, la justice et les processus démocratiques. Les produits SaaS dans les secteurs réglementés (RH tech, edtech, fintech de notation de crédit, healthtech de triage, legaltech) comportent généralement au moins une fonctionnalité relevant de l'annexe III.

L'AI Omnibus, dont l'accord politique a été trouvé le 7 mai 2026 et l'adoption arrêtée le 19 novembre 2025, a reporté la date d'application de l'annexe III du 2 août 2026 au 2 décembre 2027. La substance du régime à haut risque n'a pas changé. La classification au titre de l'article 6, paragraphe 2, s'applique toujours. Les articles 9 à 15 (gestion des risques, gouvernance des données, documentation technique, journalisation, transparence à l'égard des déployeurs, contrôle humain, exactitude et robustesse) s'appliquent toujours. L'évaluation de la conformité prévue à l'article 43 s'applique toujours. L'enregistrement dans la base de données de l'UE sur l'IA prévu à l'article 49 s'applique toujours. Les dix-huit mois qui nous séparent de décembre 2027 constituent le délai minimum réaliste pour un produit SaaS n'ayant pas encore entamé ces travaux. Tranche de sanction : 15 millions EUR ou 3 % en vertu de l'article 99, paragraphe 4. Analyse complète : voir le volet annexe III.

Vague 3 : obligations relatives aux produits intégrés de l'annexe I (2 août 2028)

L'article 6, paragraphe 1, classe un système d'IA comme étant à haut risque lorsqu'il est destiné à être utilisé comme composant de sécurité d'un produit, ou constitue lui-même un produit, couvert par la législation d'harmonisation de l'Union figurant à l'annexe I, ET que le produit est soumis à une évaluation de la conformité par un tiers. L'annexe I couvre le règlement Machines, le règlement relatif aux dispositifs médicaux, le règlement relatif aux dispositifs médicaux de diagnostic in vitro, la directive Jouets, les ascenseurs, les équipements hertziens, les équipements sous pression, les téléphériques, les équipements de protection individuelle, les appareils à gaz, les embarcations de plaisance, l'aviation civile, les véhicules à moteur, les véhicules agricoles et forestiers, les véhicules à deux et trois roues, et les équipements marins.

L'AI Omnibus a reporté la date d'application de l'annexe I du 2 août 2027 au 2 août 2028 afin de tenir compte des capacités des organismes notifiés et de la publication des normes harmonisées. Les mêmes obligations prévues aux articles 9 à 15 s'appliquent, intégrées à la procédure d'évaluation de la conformité propre au secteur concerné. Les produits SaaS intégrés dans du matériel réglementé (aide à la décision pour les dispositifs médicaux, systèmes de vision pour les machines, IA automobile) relèvent de cette vague. Les produits SaaS en logiciel pur qui ne constituent pas un composant de sécurité d'un produit réglementé n'en relèvent pas. Tranche de sanction : 15 millions EUR ou 3 % en vertu de l'article 99, paragraphe 4. Analyse complète : voir le volet annexe I.

Dates déjà dépassées et ce qu'elles impliquent à présent

Trois dates ont déjà produit leurs effets.

1er août 2024. Le règlement (UE) 2024/1689 est entré en vigueur. Aucune obligation opérationnelle n'a été déclenchée à cette date.

2 février 2025. Les pratiques interdites par l'article 5 sont devenues exécutoires. Si votre produit effectue une notation sociale de personnes physiques, du grattage de visages non ciblé, une IA manipulatrice exploitant des vulnérabilités, une identification biométrique à distance en temps réel dans des espaces publics par les services répressifs, une catégorisation biométrique fondée sur des caractéristiques sensibles, une prédiction des délits, une reconnaissance des émotions sur le lieu de travail ou dans l'éducation, ou l'une des autres pratiques interdites par l'article 5, vous êtes en situation de non-conformité depuis cette date. Tranche de sanction : 35 millions EUR ou 7 % en vertu de l'article 99, paragraphe 3. L'AI Omnibus n'a pas modifié les dates de l'article 5. L'AI Omnibus a ajouté une nouvelle interdiction : l'IA générant des contenus sexuellement explicites non consentis ou des matériaux d'abus sexuel sur mineurs.

2 août 2025. Les obligations des fournisseurs de GPAI au titre du chapitre V, le cadre de gouvernance au titre du chapitre VII, le cadre de notification au titre du chapitre III, section 4, le régime de sanctions pour les GPAI au titre du chapitre XII, et l'article 78 (confidentialité) sont tous devenus applicables. Les fournisseurs de modèles de pointe se conforment à ces dispositions depuis cette date. Les déployeurs de produits SaaS ne sont pas liés par ces dispositions ; ils sont liés par les obligations aval de l'article 50 qui s'appliquent à compter du 2 août 2026.

Ce que cela signifie en pratique. Si vous êtes un produit SaaS et n'avez pas réalisé d'audit au titre de l'article 5, faites-le maintenant. Si vous utilisez un GPAI via une API, vérifiez que les informations divulguées par le fournisseur en amont au titre de l'article 53 sont publiées et référencez-les dans votre fiche modèle (model card). Ces deux points constituent des mesures d'ordre pratique résolues lors de la prise en charge initiale.

Comment mener les trois vagues en parallèle

La plupart des produits SaaS audités seront concernés par au moins deux vagues. Un produit fintech typique de notation de crédit est touché par la vague 1 (transparence de l'article 50 pour toute interface IA orientée utilisateur) et la vague 2 (obligations de notation de crédit de l'annexe III). Un SaaS pour dispositif médical est touché par la vague 1, la vague 2 (si son IA est utilisée dans un contexte healthtech en dehors du règlement MDR) et la vague 3 (lorsque l'IA est un composant de sécurité du dispositif médical au sens du MDR). Les vagues sont indépendantes ; les travaux sont cumulatifs.

Les trois vagues sont traitées comme des missions distinctes, séquencées par échéance.

Mission vague 1 : conformité à l'article 50. Cinq jours ouvrables, 997 EUR. Couvre la classification de l'article 50 fonctionnalité par fonctionnalité, le code de divulgation (bandeau de chat, marquage du contenu, étiquetage des hypertrucages, avis de reconnaissance des émotions), l'accessibilité au titre de l'article 50, paragraphe 5, et une déclaration publiée au titre de l'article 50. Livrable : lettre d'assurance signée et pack de mise en œuvre. À commander avant fin juin 2026 pour conserver une marge de mise en œuvre avant le 2 août.

Mission vague 2 : programme de préparation à l'annexe III. Dix-huit mois, facturation par jalons. Couvre la classification au titre de l'article 6 (fonctionnalité par fonctionnalité), le système de gestion des risques de l'article 9, la gouvernance des données de l'article 10, la documentation technique de l'article 11 au titre de l'annexe IV, la journalisation de l'article 12, les instructions d'utilisation de l'article 13, le contrôle humain de l'article 14, l'exactitude et la robustesse de l'article 15, l'évaluation de la conformité de l'article 43, l'enregistrement dans la base de données de l'UE de l'article 49. À démarrer maintenant ; à achever avant le 2 décembre 2027.

Mission vague 3 : conformité aux produits intégrés de l'annexe I. Deux ans, intégré au cycle d'évaluation de la conformité du règlement sectoriel. Couvre les mêmes articles 9 à 15, mis en regard du règlement d'harmonisation de l'Union sous-jacent. Faire appel à un organisme notifié désigné MDR, Machines ou RED qui est également désigné au titre de l'IA Act. Planifier de maintenant jusqu'au 2 août 2028.

Pour les fondateurs gérant les trois vagues en parallèle : un responsable de revue est affecté par vague et un chef de programme assure la coordination transversale. La plupart des produits SaaS sont concernés par une ou deux vagues, pas trois. Le triage via /audit détermine lesquelles.

Frequently asked questions

Pourquoi les dates ont-elles changé ?

L'AI Omnibus est un ensemble législatif d'amendements à plusieurs réglementations numériques de l'UE, dont l'IA Act. La Commission l'a proposé sous la forme du paquet numérique de simplification, le Parlement européen et le Conseil ont trouvé un accord politique le 7 mai 2026, et le paquet a été adopté le 19 novembre 2025. Les amendements ont reporté la date d'application du régime à haut risque de l'annexe III du 2 août 2026 au 2 décembre 2027, et la date d'application du régime des produits intégrés de l'annexe I du 2 août 2027 au 2 août 2028. Justification officielle : les capacités des organismes notifiés et la publication des normes harmonisées n'étaient pas en bonne voie pour respecter les dates initiales. L'article 50, l'article 5, le régime des fournisseurs de GPAI et le cadre de gouvernance n'ont pas été reportés.

Y a-t-il des dates antérieures que je devrais également suivre ?

Deux. Les pratiques interdites par l'article 5 sont exécutoires depuis le 2 février 2025. Si vous n'avez pas audité votre produit pour évaluer l'exposition à l'article 5, faites-le avant tout autre chose ; la tranche de sanction est la plus élevée de l'acte, à savoir 35 millions EUR ou 7 %. Les obligations des fournisseurs de GPAI au titre du chapitre V sont exécutoires pour les fournisseurs de modèles en amont depuis le 2 août 2025. En tant que déployeur de produit SaaS, vous n'êtes pas directement lié, mais votre fiche modèle (model card) devrait référencer les informations divulguées par le fournisseur en amont au titre de l'article 53.

Mon produit SaaS est concerné par plusieurs vagues. Comment planifier ?

Séquencez par échéance. Livrez la conformité à l'article 50 (vague 1) avant le 2 août 2026. Démarrez le programme annexe III (vague 2) immédiatement ; il représente dix-huit mois de travail et l'échéance est décembre 2027. Si vous relevez également de la vague 3 (matériel intégré via l'annexe I), faites appel à l'organisme notifié spécifique au secteur dès maintenant ; les capacités des organismes notifiés sont limitées jusqu'en 2027. Les vagues partagent le socle commun des articles 9 à 15, de sorte que les travaux de l'annexe III et de l'annexe I se recoupent techniquement ; seuls la voie d'évaluation de la conformité et l'intégration avec le règlement sectoriel sous-jacent diffèrent.

Les sanctions diffèrent-elles d'une vague à l'autre ?

La tranche prévue à l'article 99, paragraphe 4, pouvant aller jusqu'à 15 millions EUR ou 3 % du chiffre d'affaires annuel mondial couvre les violations de l'article 50, la non-conformité à l'annexe III et la non-conformité à l'annexe I. Les violations des pratiques interdites par l'article 5 relèvent d'une tranche plus élevée au titre de l'article 99, paragraphe 3 : jusqu'à 35 millions EUR ou 7 %. La fourniture d'informations incorrectes ou trompeuses aux autorités relève d'une tranche inférieure au titre de l'article 99, paragraphe 5 : jusqu'à 7,5 millions EUR ou 1 %. Les PME bénéficient du principe de proportionnalité au titre de l'article 99, paragraphe 6, mais les plafonds demeurent inchangés.

Existe-t-il une vague qui ne concerne pas les produits SaaS en logiciel pur ?

La vague 3 (produits intégrés de l'annexe I) ne s'applique généralement pas aux produits SaaS en logiciel pur qui ne sont pas intégrés dans un produit matériel réglementé. Si votre client est un fabricant de dispositifs médicaux intégrant votre IA comme composant, ou un fournisseur de machines faisant de même, vous pouvez hériter des obligations de fournisseur au titre de l'article 25. Dans ces scénarios, vous relevez de la vague 3 par héritage. Les produits SaaS purement logiciels à destination d'autres SaaS ou de consommateurs, sans lien avec le matériel, n'en relèvent généralement pas.

Sources

Last updated: 2026-06-09