Le report a tout déplacé, sauf cela

Le 29 juin 2026, le Conseil de l'UE a validé le Digital Omnibus sur l'IA, et la couverture qui a suivi portait un seul mot, soulagement. Les obligations les plus exigeantes pour les systèmes à haut risque, celles que beaucoup d'entreprises couraient à respecter pour août, ont glissé au 2 décembre 2027 et au 2 août 2028. Ce que presque aucun titre n'a dit, c'est qu'une seconde horloge continuait de tourner. Les règles applicables aux modèles d'IA à usage général, les systèmes de frontière d'OpenAI, Google, Anthropic, Mistral et de leurs concurrents, ont conservé leur calendrier initial.

Ces règles sur les modèles sont entrées en vigueur le 2 août 2025, et les fournisseurs ont eu un an pour se conformer pendant que le Bureau de l'IA travaillait avec eux de manière informelle. Cette courtoisie prend fin le 2 août 2026. À partir de cette date, la Commission européenne peut faire respecter les obligations des fournisseurs d'IA à usage général, avec des amendes, et le Digital Omnibus a confirmé que ce seuil reste inchangé. Le report que tous ont salué et l'application que personne n'a mentionnée sont deux voies distinctes du même règlement.

Ce que le Bureau de l'IA pourra imposer

À partir du 2 août, le Bureau de l'IA peut faire plus qu'envoyer des courriers. Il peut demander la documentation technique qu'un fournisseur doit conserver au titre de l'article 53, exiger l'accès à un modèle, ordonner des mesures d'atténuation, exiger le retrait d'un modèle du marché et infliger des amendes allant jusqu'à 15 millions d'euros ou 3 pour cent du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu. Pour un fournisseur dont les modèles présentent un risque systémique, entraînés au-delà du seuil de dix puissance vingt-cinq FLOP, les obligations sont plus lourdes encore, signalement des incidents, tests adverses et un canal direct avec le Bureau.

Le propos n'est pas que les amendes pleuvront le 2 août. Une application de ce type s'ouvre par des demandes d'informations, non par des sanctions, et le Bureau a signalé qu'il travaillerait d'abord via le Code de bonnes pratiques. Le propos est que la relation passe d'une coopération volontaire à une relation supervisée avec des dents, et un régulateur qui peut imposer la documentation et ordonner un retrait façonne le comportement d'un laboratoire bien avant d'infliger la moindre amende.

Pourquoi une règle visant les laboratoires atteint vos contrats

Vous êtes presque certainement un déployeur, non un fournisseur, donc aucune nouvelle obligation ne vous atteint ce mois-ci. L'erreur serait d'y lire aucun changement. Les modèles sous vos produits reposent désormais chez des fournisseurs qui doivent à l'UE une preuve documentée de leurs données d'entraînement, de leur conformité au droit d'auteur et de leurs mesures contre le risque systémique, et cette preuve est précisément l'assurance que vos propres auditeurs et clients ne cessent de réclamer. Ce qu'un fournisseur doit produire pour Bruxelles, vous pouvez raisonnablement l'exiger dans un contrat.

Deux gestes pratiques en découlent. Demandez à vos fournisseurs de modèles, laboratoires américains compris, s'ils rempliront les obligations relatives à l'IA à usage général, car un fournisseur qui met un modèle sur le marché de l'UE est concerné qu'il siège à San Francisco ou dans un centre de données près de Paris, et une entreprise britannique qui vend dans l'Union l'est aussi. Traitez ensuite leur documentation comme un contrôle fournisseur, non comme une abstraction juridique, car le levier que le règlement sur l'IA remet à la Commission le 2 août est un levier que vous pouvez emprunter.