Ce qui change pour les fondateurs de SaaS le 2 août 2026 : le bilan d'application du cabinet

Le 2 août 2026 est la date à laquelle les obligations de transparence de l'Article 50, le régime des fournisseurs de GPAI au titre du Chapitre V, et le cadre de gouvernance au titre du Chapitre VII commencent à s'appliquer dans l'ensemble de l'UE. Ce n'est pas, après l'AI Omnibus, la date d'application du régime à haut risque au titre de l'Annexe III (l'AI Omnibus l'a reportée au 2 décembre 2027), ni la date d'application des obligations relatives aux produits intégrés au titre de l'Annexe I (2 août 2028). Cet article constitue le bilan d'application du cabinet pour le 2 août 2026 spécifiquement : ce qui se déclenche ce jour-là, ce qui ne se déclenche pas, l'exposition aux sanctions, et ce que nos auditeurs voient les fondateurs de SaaS manquer dans la période préparatoire.

Ce qui commence effectivement à s'appliquer le 2 août 2026

Trois blocs d'obligations commencent à s'appliquer le 2 août 2026.

Transparence au titre de l'Article 50. Toute interface SaaS sur laquelle une personne physique interagit avec un système d'IA doit le divulguer. Tout contenu généré par IA (texte, image, audio, vidéo) doit comporter une marque de provenance lisible par machine et, lorsqu'il est déployé dans des contextes d'intérêt public, un label visible. Toute fonctionnalité de reconnaissance des émotions ou de catégorisation biométrique doit en informer l'utilisateur. Tout hypertrucage (deepfake) doit être étiqueté. L'Article 50 lie les fournisseurs et les déployeurs dans des paragraphes distincts ; la plupart des SaaS occupent les deux rôles selon la fonctionnalité. Fourchette de sanction : 15 millions d'euros ou 3 % du chiffre d'affaires annuel mondial au titre de l'Article 99, paragraphe 4.

Obligations des fournisseurs de GPAI au titre du Chapitre V. Les fournisseurs de modèles d'IA à usage général ayant mis un modèle sur le marché de l'UE après le 2 août 2025 doivent se conformer aux obligations de transparence de l'Article 53 (résumé des données d'entraînement, politique en matière de droits d'auteur, documentation technique). Les fournisseurs de modèles GPAI présentant un risque systémique (puissance de calcul d'entraînement supérieure à 10²⁵ FLOP) doivent en outre se conformer à l'Article 55. Ces obligations lient OpenAI, Anthropic, Google, Mistral, Meta. Elles ne lient pas un SaaS qui utilise ces modèles via une API. Un SaaS qui affine (fine-tune) un GPAI au point de le modifier substantiellement au sens de l'Article 25 peut devenir fournisseur à part entière.

Cadre de gouvernance au titre du Chapitre VII. Le Comité IA, le Bureau IA, les autorités nationales compétentes et le groupe scientifique deviennent opérationnels. Les autorités nationales de surveillance du marché, désignées par les États membres avant le 2 août 2025, prennent en charge la responsabilité d'application. La Commission peut commencer à publier des orientations, des actes délégués et des programmes de travail relatifs aux normes harmonisées. Du point de vue de l'application, le 2 août 2026 est le jour où la machinerie institutionnelle commence à fonctionner.

Ce qui ne commence PAS à s'appliquer le 2 août 2026

Trois blocs que les personnes confondent souvent avec cette date ne se déclenchent pas, en réalité, à cette date.

Obligations à haut risque de l'Annexe III. Les huit catégories de l'Annexe III (biométrie, infrastructure critique, éducation, emploi, services essentiels, maintien de l'ordre, migration, justice) étaient initialement prévues pour le 2 août 2026 en vertu de l'Article 113 original. L'AI Omnibus les a reportées au 2 décembre 2027. Les Articles 9 à 15 continuent de s'appliquer. L'évaluation de la conformité au titre de l'Article 43 continue de s'appliquer. L'enregistrement dans la base de données de l'UE au titre de l'Article 49 continue de s'appliquer. Seule la date a changé.

Obligations relatives aux produits intégrés de l'Annexe I. L'IA utilisée comme composant de sécurité dans des produits couverts par la législation d'harmonisation de l'Union figurant à l'Annexe I (Règlement Machines, RDM, RDIV, jouets, ascenseurs, RED, marine, aviation civile, véhicules à moteur, véhicules agricoles et forestiers) était initialement prévue pour le 2 août 2027. L'AI Omnibus l'a reportée au 2 août 2028 afin de s'aligner sur la capacité des organismes notifiés et la publication des normes harmonisées. L'Article 6, paragraphe 1, est la voie de classification applicable.

Pratiques interdites de l'Article 5. Celles-ci sont entrées en vigueur le 2 février 2025, dix-huit mois plus tôt. Si votre produit effectue du profilage social, du scraping de visages non ciblé, de l'IA manipulatrice exploitant des vulnérabilités, de l'identification biométrique à distance en temps réel dans des espaces publics par des services répressifs, de la police prédictive, de la catégorisation biométrique sur la base de caractéristiques sensibles, de la reconnaissance des émotions sur le lieu de travail ou dans les établissements d'enseignement, ou l'une quelconque des autres interdictions de l'Article 5, vous êtes déjà en situation de non-conformité. L'AI Omnibus n'a pas modifié les dates de l'Article 5 ; il a ajouté une nouvelle interdiction (contenu IA sexuellement explicite non consenti).

Les obligations des fournisseurs de GPAI au titre de l'Article 53 sont entrées en vigueur le 2 août 2025 pour les fournisseurs de modèles en amont. En tant que déployeur SaaS utilisant leurs API, ces obligations ne vous incombent pas directement. Vos obligations en aval au titre de l'Article 50 vous incombent, elles.

Quatre constats que nos auditeurs voient manquer le délai le plus souvent

Dans les audits réalisés par le cabinet, quatre schémas réapparaissent systématiquement dans la période préparatoire au 2 août 2026.

1. Divulgation du chatbot manquante ou masquée. Le manquement à l'Article 50, paragraphe 1, le plus fréquent : une interface de chat manifestement IA, mais qui n'annonce pas sa nature au début de chaque conversation. Nos auditeurs y remédient grâce à un extrait de code de bannière de chat à intégrer (React, HTML natif, Vue 3) portant le libellé dans les 24 langues de l'UE. Cinq minutes de copier-coller, conforme.

2. Contenu généré par IA non marqué. L'Article 50, paragraphe 2, exige une marque de provenance lisible par machine, et pas seulement un badge visible. Nos auditeurs techniques intègrent les C2PA Content Credentials au moment de la génération. C'est la seule implémentation actuellement disponible qui satisfait à la norme « efficace, interopérable, solide et fiable » fixée par le Règlement.

**3. Hypertrucage (deepfake) ou clonage de voix laissé ambigu.** L'Article 50, paragraphe 4, est explicite : les médias de synthèse représentant des personnes réelles doivent être étiquetés comme générés ou manipulés artificiellement. Nos auditeurs déploient des composants en superposition qui s'intègrent au moteur de rendu multimédia existant du client sans modifier le lecteur.

4. Politique d'utilisation publique de l'IA absente. Ce n'est pas une obligation stricte de l'Article 50 en soi, mais c'est le signal de confiance le plus utile qu'un SaaS puisse publier. Notre cabinet rédige la politique dans le cadre de l'audit, aux couleurs du client, prête à être publiée à l'adresse /ai-use.

Exposition aux sanctions à la même date

Les sanctions de l'Article 99 entrent en vigueur au même rythme que les obligations qu'elles sanctionnent. Trois niveaux à surveiller pour les SaaS.

35 millions d'euros ou 7 % du chiffre d'affaires annuel mondial pour les violations des pratiques interdites de l'Article 5 au titre de l'Article 99, paragraphe 3. Déjà applicable depuis le 2 février 2025. Les PME bénéficient du principe de proportionnalité au titre de l'Article 99, paragraphe 6, mais le plafond est inchangé.

15 millions d'euros ou 3 % du chiffre d'affaires annuel mondial pour non-conformité aux obligations à haut risque des Articles 6 à 49, et pour les violations de l'Article 50, au titre de l'Article 99, paragraphe 4. Se déclenche le 2 août 2026 pour l'Article 50. Se déclenche le 2 décembre 2027 pour l'Annexe III. Se déclenche le 2 août 2028 pour les produits intégrés de l'Annexe I.

7,5 millions d'euros ou 1 % du chiffre d'affaires annuel mondial pour la fourniture d'informations inexactes ou trompeuses aux autorités au titre de l'Article 99, paragraphe 5. Se déclenche au même rythme que la violation de l'obligation de fond concernée.

Notre calculateur de sanctions à l'adresse /tools/penalty-calculator fournit une estimation ajustée pour les PME sur la base de la tranche de chiffre d'affaires du client. Nous ne pensons pas que les petits SaaS seront exposés aux amendes du niveau le plus élevé dès le premier jour d'application. Nous pensons en revanche que les autorités de surveillance du marché interviendront sur les violations visibles pour établir une jurisprudence : les chatbots qui dissimulent leur nature d'IA, et les services de hypertrucage qui diffusent des contenus non étiquetés.

Ce que le cabinet recommande de faire maintenant

Trois étapes concrètes, dans l'ordre, spécifiquement pour la vague liée à l'Article 50.

Étape 1 : triage. Exécutez l'audit Article 50 à l'adresse /tools/article-50-audit. Fonctionnalité par fonctionnalité : quels paragraphes de l'Article 50 s'appliquent (divulgation du chatbot, marquage des contenus de synthèse, notification relative aux émotions ou à la biométrie, étiquetage des hypertrucages). Deux minutes, arbre de décision.

Étape 2 : commandez l'audit. Si vous êtes dans le périmètre de l'Article 50 (la grande majorité des SaaS), commandez un audit Disclos. 997 €, cinq jours ouvrés, livrable signé par notre auditeur principal. L'audit couvre la mise en œuvre de l'Article 50 sur toutes les fonctionnalités dans le périmètre, ainsi que la piste de journalisation des divulgations.

Étape 3 : mettez en œuvre avant le 30 juillet 2026. Trois jours de marge avant l'échéance. Le contrôle de suivi de nos auditeurs intervient trente jours après la livraison, ce qui vous laisse plusieurs semaines pour déployer chaque correctif avant la date.

Si vous commandez un audit fin juillet 2026, le livrable vous parviendra après le 2 août 2026. À ce moment-là, le risque d'application sera réel. La vague Annexe III du 2 décembre 2027 est un programme distinct de dix-huit mois ; consultez notre pilier Annexe III pour la feuille de route.

Frequently asked questions

Le Bureau IA de l'UE engagera-t-il activement des poursuites contre les fondateurs de SaaS le 2 août 2026 ?

Les poursuites actives requièrent que les autorités de surveillance du marché dans chaque État membre soient dotées en personnel et en ressources. Nos analystes en politique suivent l'état de préparation État par État. La France (CNIL), l'Italie (Garante), l'Espagne (AESIA), l'Allemagne (BSI + Bundesländer) sont les quatre premiers candidats les plus probables à agir. L'application dès le premier jour sera probablement déclenchée par des plaintes de personnes physiques plutôt que par des audits de balayage actifs. Les violations visibles (chatbots dissimulant leur nature d'IA, hypertrucages non étiquetés) sont les cibles les plus probables.

Mon SaaS constitué aux États-Unis doit-il faire quoi que ce soit ?

Si une personne située dans l'Union européenne peut utiliser votre produit, oui. L'Article 2, paragraphe 1, point a), confère au Règlement une portée extraterritoriale, indépendamment du lieu d'établissement du fournisseur. Nos pages par pays détaillent ce à quoi ressemble l'application dans chaque État membre.

Que faire si je ne suis pas sûr que mes fonctionnalités relèvent de l'IA ?

L'Article 3, paragraphe 1, définit le système d'IA de manière large : tout système basé sur une machine qui génère des sorties (prédictions, recommandations, décisions, contenus) pour un ensemble d'objectifs. Appeler un point de terminaison d'inférence et présenter le résultat à un utilisateur constitue un déploiement d'IA au sens du Règlement, même si vous n'avez jamais entraîné un modèle vous-même. L'intake standard de nos auditeurs comprend une classification fonctionnalité par fonctionnalité. Si vous êtes dans le doute, l'audit dissipe ce doute.

Puis-je m'appuyer sur OpenAI / Anthropic / Mistral pour être conforme à ma place ?

Non. Leurs obligations au titre de l'Article 53 sont des obligations de fournisseur de GPAI, et non vos obligations de déployeur au titre de l'Article 50. Le Règlement est explicite sur ce point. Leur conformité ne vous est pas transférable. Référencez leurs divulgations au titre de l'Article 53 dans votre fiche modèle (model card), mais publiez vos propres divulgations au titre de l'Article 50 sur votre produit.

À partir de quand est-il trop tard pour commander un audit ?

Le cabinet réalise un maximum de cinq audits par semaine. En juin 2026, les demandes atteindront la capacité maximale. À partir de mi-juillet 2026, nous nous attendons à ce que le formulaire soit complet dans les heures suivant son ouverture. Commandez avant fin juin pour une livraison avant l'échéance avec trois semaines de marge pour la mise en œuvre.

Sources

Last updated: 2026-06-09