Accueil Services Tarifs Madagascar Le Groupe Articles Nous contacter
Analyse réglementaire 7 juin 2026 · 11 min de lecture

Compte à rebours AI Act : ce que le 2 août 2026 change pour toute entreprise qui automatise

Le 7 mai 2026, le Conseil de l'UE et le Parlement européen ont conclu un accord politique pour reporter une partie des obligations AI Act de seize mois. Le 2 août 2026 reste pourtant un jalon majeur pour toute scale-up européenne. Décryptage de ce qui s'applique réellement, de ce qui glisse à 2027, et de la chaîne humaine que toute entreprise doit désormais documenter, qu'elle internalise ou externalise ses opérations.

L'horloge tourne, le calendrier a bougé

Pendant deux ans, le 2 août 2026 était LA date à cocher pour la conformité IA. Le 7 mai 2026, accord politique sur le Digital Omnibus on AI : les systèmes haut risque de l'annexe III glissent au 2 décembre 2027, l'annexe I au 2 août 2028[1][2][3]. Motif : normes harmonisées pas prêtes, autorités nationales pas toutes désignées[4]. Mais ne lisez pas ce report comme une suspension. Trois choses restent vraies au 2 août 2026 et touchent toute organisation européenne déployant de l'IA.

Ce qui s'applique vraiment au 2 août 2026

Le compte à rebours n'est pas annulé. Il est trié. Voici ce qui bouge et ce qui ne bouge pas.

Article 50 · Transparence

Les obligations de transparence pour chatbots, deepfakes, synthèse vocale et contenu généré par IA deviennent pleinement opposables. Toute interaction utilisateur avec un système d'IA doit être signalée comme telle.

GPAI · Modèles déjà sur le marché

Les modèles de fondation déployés avant le 2 août 2025 (OpenAI, Anthropic, Google, Mistral, Meta) doivent désormais être en conformité totale avec les obligations GPAI : documentation technique, résumé des données d'entraînement, droits d'auteur, gestion des risques systémiques.

AI Office · Supervision

L'AI Office de la Commission, opérationnel depuis février 2026, exerce la supervision directe des fournisseurs de modèles à risque systémique. Les autorités nationales (CNIL, DGCCRF, Arcom en France) accompagnent la mise en œuvre.

Sanctions GPAI · Article 99(4)

Les amendes pour manquement aux obligations GPAI deviennent applicables : jusqu'à 15 millions d'euros ou 3 % du chiffre d'affaires mondial, le montant le plus élevé étant retenu.

Annexe III · Systèmes haut risque autonomes

Recrutement automatisé, scoring de crédit, biométrie d'identification, éducation, gestion de l'accès à des services essentiels : application reportée au 2 décembre 2027.

Annexe I · Systèmes haut risque intégrés

IA embarquée dans des produits réglementés (dispositifs médicaux, jouets, ascenseurs, véhicules) : application reportée au 2 août 2028.

Watermarking de contenu IA

Obligation de marquage technique des contenus générés par IA (Article 50 paragraphe 2) : application reportée au 2 décembre 2026, quatre mois de plus pour finaliser les standards.

Composants de sécurité

Clarification introduite par l'Omnibus : les systèmes d'IA qui se contentent d'assister un utilisateur ou d'optimiser une performance ne tombent plus automatiquement dans la classification haut risque.

Reporter ne veut pas dire dispenser. Seize mois passent vite quand il faut documenter un cycle de vie complet d'un système d'IA. Les chantiers de cartographie, évaluation des risques, Human-in-the-loop et journalisation doivent démarrer maintenant.

L'architecture des quatre niveaux de risque

Classification à quatre étages qui détermine vos obligations[5] :

01
Niveau 1 · Interdit

Pratiques inacceptables (Article 5)

Notation sociale, manipulation subliminale, exploitation de vulnérabilités, identification biométrique en temps réel à des fins répressives. L'Omnibus a ajouté l'interdiction sans transition des applications de nudification et du matériel d'abus sexuel sur mineur généré par IA[6].

Applicable depuis le 2 février 2025 · Sanction jusqu'à 35 M€ ou 7 % CA
02
Niveau 2 · Haut risque

Systèmes Annexe III et Annexe I

Recrutement, scoring crédit, biométrie d'identification, infrastructures critiques, éducation, justice, processus démocratiques. Documentation technique, marquage CE, inscription dans la base européenne, gouvernance des données, surveillance humaine, robustesse, journalisation. Application reportée au 2 décembre 2027 (Annexe III) ou 2 août 2028 (Annexe I).

Sanction jusqu'à 15 M€ ou 3 % CA mondial
03
Niveau 3 · Risque limité

Obligations de transparence (Article 50)

Chatbots, reconnaissance d'émotions, catégorisation biométrique, deepfakes, contenu généré par IA. L'utilisateur doit être informé qu'il interagit avec une IA ou qu'un contenu est synthétique. Pleinement applicable au 2 août 2026. Le watermarking technique des contenus glisse à décembre 2026.

Sanction jusqu'à 15 M€ ou 3 % CA mondial

Un quatrième niveau, dit risque minimal, couvre la majorité des usages quotidiens (filtres anti-spam, optimisation de recherche). Libre d'obligations contraignantes.

L'Article 50 : la transparence qui devient opposable

Le vrai changement du 2 août 2026 pour la plupart des entreprises se cache à l'Article 50. Obligation de transparence applicable à tous les opérateurs d'IA, quel que soit le niveau de risque.

Article 50, Règlement UE 2024/1689 : les fournisseurs et déployeurs garantissent que les systèmes d'IA destinés à interagir avec des personnes physiques sont conçus de telle sorte que les personnes concernées soient informées qu'elles interagissent avec un système d'IA, sauf si cela est évident pour une personne raisonnablement avertie[7].

Quatre situations visées :

  • Chatbots et agents conversationnels : signaler qu'il s'agit d'une IA, sauf contexte évident.
  • Reconnaissance d'émotions et catégorisation biométrique : information préalable obligatoire.
  • Deepfakes : tout contenu image, audio ou vidéo généré par IA doit être étiqueté.
  • Contenu textuel généré par IA publié pour informer le public : divulgation comme synthétique, sauf examen éditorial humain avec responsabilité assumée.

Cette dernière exception est le pilier opérationnel qui rend l'externalisation de la chaîne de relecture humaine structurellement nécessaire pour toute scale-up européenne s'appuyant sur des outils IA.

Article 22 RGPD : la chaîne humaine n'est plus optionnelle

L'AI Act s'ajoute au RGPD. L'Article 22 RGPD redevient central en 2026[8].

Article 22(1) RGPD : la personne concernée a le droit de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques la concernant ou l'affectant de manière significative.

L'arrêt SCHUFA (CJUE C-634/21, 2023)[9] a élargi : la simple production d'un score utilisé pour décider constitue une décision automatisée. Le CEPD (WP251) exige une intervention humaine significative, pas une signature symbolique.

Trois cas où la chaîne humaine est non négociable :

Cas 01

Recrutement automatisé

Logiciel de présélection avec score de compatibilité. Écarter un candidat exclusivement sur ce score déclenche l'article 22. Revue humaine traçable obligatoire, droit à l'intervention humaine, à l'expression et à la contestation[10].

Chambre Contentieuse belge · Décisions 06/2026 et 07/2026
Cas 02

Modération automatique de contenu

Suspension de compte sur signal algorithmique. Article 22 RGPD et DSA cumulés. Le 28 mai 2026, la Commission européenne a infligé 200 millions d'euros à Temu pour défaut d'évaluation des risques systémiques.

DSA + Article 22 RGPD applicables cumulativement
Cas 03

Scoring de crédit et fraude

Refus de paiement fractionné sur score algorithmique. Tout blocage de transaction sans contestation possible tombe dans l'article 22. SCHUFA a confirmé que la simple génération du score suffit.

Arrêt SCHUFA · CJUE C-634/21

Ces situations exigent une équipe humaine qualifiée et permanente. Terrain de jeu naturel du BPO francophone offshore.

Les sanctions, plus dissuasives que le RGPD

L'Article 99 définit trois paliers de sanctions, calibrés pour faire mal[11].

Article 99, Règlement UE 2024/1689 : le montant effectivement appliqué est le plus élevé entre le pourcentage du chiffre d'affaires mondial annuel et le plafond fixe en euros. Pour les PME et start-ups, l'article 99(5) inverse la règle : c'est le montant le plus bas qui s'applique.

01
Informations inexactes
Article 99(5) · Communication trompeuse aux autorités
7,5 M€ou 1,5 % du CA mondial
02
Manquements haut risque et GPAI
Article 99(4) · Annexe III, Article 50, fournisseurs GPAI
15 M€ou 3 % du CA mondial
03
Pratiques interdites
Article 99(3) · Notation sociale, manipulation, biométrie
35 M€ou 7 % du CA mondial

Pour comparaison : le RGPD plafonne à 20 M€ ou 4 % du CA mondial. L'AI Act va donc plus loin sur les infractions les plus graves. Une entreprise à 1 milliard d'euros de CA encourt jusqu'à 70 millions sous AI Act pour une pratique interdite, contre 40 millions sous RGPD.

Les sanctions sont prononcées par les autorités nationales compétentes. Qui supervise quoi en France ?

Traitements de données personnelles liés aux systèmes d'IA. Articulation avec le RGPD, Article 22, droits des personnes concernées par des décisions automatisées.
Marquage CE des systèmes d'IA haut risque et loyauté commerciale dans les usages IA destinés aux consommateurs.
Contenus audiovisuels et deepfakes. Étiquetage des contenus générés par IA et application coordonnée avec le DSA pour les très grandes plateformes[12].

Les cinq chantiers à mener avant décembre 2027

Le report de l'annexe III est une fenêtre, pas une dispense. Les entreprises qui attendent les normes harmonisées pour démarrer leur mise en conformité se retrouveront en décembre 2027 avec un retard structurel. Cinq chantiers à lancer maintenant.

Chantier 01 · Action : Cartographier
Inventorier tous les systèmes d'IA en usage

Recensez tous les systèmes d'IA, formels et informels. Identifiez le shadow IA, ces outils grand public (ChatGPT gratuit, assistants SaaS) qui prennent ou aident à des décisions sans visibilité direction. Le règlement ne distingue pas l'usage formel de l'informel.

Chantier 02 · Action : Qualifier
Classer chaque système par niveau de risque

Déterminez pour chaque système son niveau (interdit, haut, limité, minimal). Qualifiez le rôle juridique de l'organisation : fournisseur, déployeur, importateur ou distributeur. Les obligations varient selon le statut (articles 25 et suivants).

Chantier 03 · Action : Documenter
Constituer le dossier technique et le registre

Constituez la documentation annexe IV pour les systèmes haut risque. Organisez la gouvernance des données et préparez l'inscription dans la base européenne sur tout le cycle de vie.

Chantier 04 · Action : Humaniser
Structurer la chaîne Human-in-the-loop

Structurez une chaîne de revue humaine effective et traçable (article 22 RGPD). Formez des opérateurs qualifiés, capables de modifier réellement les sorties algorithmiques.

Chantier 05 · Action : Tracer
Mettre en conformité transparence et journalisation

Conformez-vous à l'Article 50 dès le 2 août 2026 : étiquetage des chatbots, contenus IA, deepfakes. Préparez le watermarking technique pour décembre 2026. Conservez les logs sur la durée requise.

Pourquoi le BPO offshore devient le bras opérationnel

La conformité IA est une charge opérationnelle récurrente : modération, revue de décisions automatisées, contrôle qualité, journalisation. Vite plusieurs ETP pour une scale-up européenne. L'externalisation BPO francophone offshore à Madagascar résout le double problème du coût employeur et de la rareté du talent qualifié.

Trois activités externalisables stratégiques au 2 août 2026 :

  • Modération de contenu Human-in-the-loop : décision algorithmique + revue humaine traçable. Croise DSA et Article 22 RGPD pour plateformes, marketplaces, presse en ligne.
  • Annotation et red teaming pour modèles d'IA : fine-tuning supervisé, RLHF, obligations GPAI. Marché annotation : 1,19 Md$ en 2025 → 9,94 Md$ en 2034[13].
  • Secrétariat juridique et revue documentaire : dossiers de conformité, veille réglementaire, revue humaine des décisions à effet juridique.

Questions fréquentes

Oui, comme déployeur. Vous êtes responsable de l'usage que vous faites du système. Si du contenu généré par IA est publié sans relecture humaine, l'Article 50 s'applique. Si une décision impactant un client ou un salarié repose exclusivement sur un output IA, l'Article 22 RGPD s'applique.
Non. Article 50 et obligations GPAI restent au 2 août 2026. Article 22 RGPD est applicable depuis 2018. Le report ne concerne que l'annexe III, et seize mois suffisent à peine pour documenter un cycle de vie IA complet.
Fournisseur si vous développez ou faites développer un système IA mis sur le marché sous votre nom. Déployeur si vous utilisez un système développé par un tiers (OpenAI, Anthropic, Mistral). Les obligations diffèrent. Une scale-up européenne peut être les deux selon les briques.
Fonction du volume de décisions à revoir et du niveau de qualification requis. En France, plusieurs ETP qualifiés représentent vite plus de 250 k€ chargés annuels. Le BPO francophone offshore à Madagascar permet de tenir l'équation économique sur la durée.

Ce qu'il faut faire maintenant

Le calendrier AI Act a bougé, la direction est inchangée. Le report donne du temps, pas la dispense. Deux échéances à tenir pour toute scale-up européenne :

  • D'ici le 2 août 2026 : Article 50 (transparence chatbots, étiquetage contenus IA) et obligations GPAI pour modèles déjà sur le marché.
  • D'ici décembre 2027 : chaîne Human-in-the-loop sur tous les systèmes haut risque, avec documentation, journalisation et intervention humaine significative.

L'externalisation BPO francophone à Madagascar n'est pas la conformité à la place du donneur d'ordre. Elle en est le bras opérationnel.

Bibliographie

Sources et références

  1. Parlement européen et Conseil de l'UE, Règlement (UE) 2024/1689 du 13 juin 2024 établissant des règles harmonisées concernant l'intelligence artificielle (AI Act), Journal officiel de l'Union européenne, série L du 12 juillet 2024. eur-lex.europa.eu Texte officiel · Articles 5, 22, 50, 99, 113 · Annexes I et III
  2. Conseil de l'Union européenne, communiqué de presse « Artificial Intelligence: Council and Parliament agree to simplify and streamline rules », 7 mai 2026. consilium.europa.eu Accord politique provisoire sur le Digital Omnibus on AI
  3. White & Case LLP, « EU agrees Digital Omnibus deal to simplify AI rules », 13 mai 2026. whitecase.com Annexe III reportée au 2 décembre 2027 · Annexe I au 2 août 2028
  4. European Parliament Legislative Train Schedule, « Digital Omnibus on AI ». europarl.europa.eu Calendrier législatif et motifs du report : normes harmonisées non finalisées
  5. Commission européenne, DG CNECT, page de référence sur le règlement AI Act et la classification des risques. digital-strategy.ec.europa.eu Architecture à quatre niveaux : interdit, haut risque, risque limité, risque minimal
  6. Inside Privacy (Covington & Burling), « EU AI Act Update: Timeline Relief, Targeted Simplification, and New Prohibitions », 14 mai 2026. insideprivacy.com Interdictions nouvelles : nudifiers et contenu intime non consenti, CSAM généré par IA
  7. Règlement (UE) 2024/1689, Article 50 sur les obligations de transparence pour certains systèmes d'IA. eur-lex.europa.eu Chatbots, deepfakes, contenu textuel généré par IA, reconnaissance d'émotions
  8. Règlement (UE) 2016/679 (RGPD), Article 22 sur les décisions individuelles automatisées, y compris le profilage. eur-lex.europa.eu Droit de ne pas faire l'objet d'une décision exclusivement automatisée
  9. Cour de justice de l'Union européenne, arrêt SCHUFA, affaire C-634/21, 7 décembre 2023. curia.europa.eu Extension de la portée de l'article 22 RGPD à la production de scores algorithmiques
  10. Commission nationale de l'informatique et des libertés (CNIL), page « Profilage et décision entièrement automatisée ». cnil.fr Lignes directrices CEPD WP251 · Critère d'intervention humaine significative
  11. Sia Partners, « Artificial Intelligence Act : Que faut-il savoir ? », analyse du régime de sanctions. sia-partners.com Article 99 · Trois paliers de sanctions · Comparaison avec le RGPD
  12. Direction générale des entreprises (DGE), décryptage officiel de l'AI Act pour les entreprises, 2026. entreprises.gouv.fr Autorités compétentes en France : CNIL, DGCCRF, Arcom
  13. Research and Markets, Data Annotation Outsourcing Service Market Outlook 2026-2034. researchandmarkets.com Marché de l'annotation IA : 1,19 Md$ en 2025 → 9,94 Md$ en 2034 · CAGR 26,6 %
  14. Morrison & Foerster LLP, « EU Digital Omnibus on AI: What Is in It and What Is Not? », 1er décembre 2025. mofo.com Analyse détaillée du Digital Omnibus on AI · Dates butoirs maximales
  15. Représentation de la Commission européenne en France, « DSA : la Commission inflige une amende de 200 millions d'euros à Temu », 28 mai 2026. france.representation.ec.europa.eu Application cumulée DSA et obligations de modération · Référence à l'évaluation des risques systémiques
Et concrètement ?

L'AI Act exige une chaîne humaine. Alora Groupe l'opère.

Opérateur BPO francophone à Madagascar, structuré pour absorber les charges récurrentes qu'imposent l'AI Act et l'article 22 RGPD : modération Human-in-the-loop, annotation et red teaming pour modèles d'IA, secrétariat juridique et revue de décisions automatisées. Démarrage dès deux ETP, manager inclus. Indexation contractuelle sur les KPIs négociés.

Discuter d'une mission