The European Union's AI Act faces significant delays for its most critical provisions, with high-risk AI systems now unlikely to be fully regulated until late 2027 or 2028. The European Parliament has adopted its position on the "digital omnibus" proposal, formally pushing back the timeline.

While Chapters I and II (general provisions and prohibited practices) have applied since February 2025, and obligations for general-purpose AI model providers, sanctions, and EU-level governance have been in force since August 2025, the core rules for high-risk AI are being postponed. The Parliament proposes that high-risk AI systems listed directly in the AI Act's annexes will now apply in December 2027. For high-risk systems covered under existing sectoral legislation (like medical devices, toys, or radio equipment), the application date is pushed to August 2028.

The European Commission's original omnibus proposal had not set specific dates but linked enforcement to the availability of compliance support measures. The Parliament's amendments establish concrete deadlines, effectively creating a phased implementation.

Beyond the timeline, the Parliament introduced several substantive amendments. It explicitly seeks to ban AI systems that generate sexual content, "without prejudice to freedom of expression and information." It also clarifies interaction with other laws, stating that if a high-risk AI system complies with the Cyber Resilience Act, it should be deemed compliant with Article 15 of the AI Act on accuracy, robustness, and cybersecurity.

A key change concerns the mandatory registration of high-risk AI systems in a European database. The Commission had considered an exception for systems providers deemed not to pose a significant risk. The Parliament rejected this, arguing registration is essential for market surveillance and proposing instead to simplify the registration procedure itself.

The Parliament also refined the classification criteria for high-risk systems. It clarified that an AI system integrated as a safety component in a product governed by harmonisation legislation does *not* automatically mean it performs a "safety function." Features designed solely for user assistance, performance optimisation, automation, or quality control of non-safety aspects should not be classified as high-risk, provided their failure does not directly create health or safety risks.

On governance, the Parliament scaled back the proposed exclusive competence of the EU's AI Office. It did not grant the Office exclusive supervision over most general-purpose AI models from a single provider. Instead, it explicitly gave national authorities the power to supervise AI systems embedded in "very large online platforms" or "very large search engines" (using DSA/DMA terminology). References to the "AI Office" were replaced with "the Commission" in contexts like encouraging codes of practice.

Other amendments include removing the possibility for real-world testing of AI systems under sectoral legislation, maintaining it only for systems listed in Annex III of the AI Act. For sanctions, the Parliament proposed being less severe with small-cap companies: instead of a fine of up to €15 million or 3% of global annual turnover (whichever is higher), it suggests applying the *lower* of the two amounts.

One deadline was actually brought forward: AI systems placed on the market before 2 August 2026 must comply with transparency obligations (Article 50(2)) by November 2026, rather than February 2027. Finally, the Parliament shifted focus on AI literacy from "notions" to "skills," removed a reference to the Apply AI Alliance as an exchange channel, and encouraged public-private partnerships to support SMEs.

La perspective d’une entrée en application de l’AI Act en août 2026 s’éloigne.

Le Parlement européen vient d’adopter sa position sur l’omnibus numérique. Il propose que les dispositions concernant les systèmes d’IA classés à haut risque ne s’appliquent qu’en décembre 2027 pour ceux listés dans le règlement. Et en août 2028 pour ceux couverts par la législation d’harmonisation (règlements et directives sectoriels : jouets, dispositifs médicaux, équipements radioélectriques…).

Les autres échéances, passées ou à venir, ne sont globalement pas remises en cause. Ainsi pour les chapitres I et II (dispositions générales et pratiques interdites), qui s’appliquent depuis février 2025. Et pour les éléments qui s’appliquent depuis août 2025 (obligations des fournisseurs de modèles d’IA à usage général, sanctions, gouvernance au niveau de l’UE…).

La Commission européenne n’avait pas fixé de dates dans sa proposition d’omnibus numérique. Elle avait toutefois conditionné l’entrée en application des dispositions en question à la disponibilité de mesures de soutien à la conformité – avec un délai de 6 mois après pour les systèmes d’IA à haut risque listés dans l’AI Act et de 12 mois pour ceux couverts par la législation d’harmonisation.

Le Parlement ne veut pas d’exception à l’enregistrement de certains systèmes d’IA

Les eurodéputés proposent par ailleurs d’interdire explicitement les systèmes d’IA qui génèrent des contenus à caractère sexuel, « sans préjudice à la liberté d’expression et d’information ».

À la proposition de la Commission européenne, ils ajoutent des précisions relatives à l’interaction avec d’autres textes. Parmi eux, le Cyber Resilience Act. Leur amendement : si un système d’IA à haut risque est conforme à cette législation, il doit être réputé conforme à l’article 15 de l’AI Act (« Exactitude, robustesse et cybersécurité »).

Un autre amendement porte sur l’enregistrement, dans une base de données européenne, des systèmes d’IA à haut risque listés dans l’annexe III (biométrie, infrastructures critiques, éducation, emploi, justice…). La Commission envisageait une exception pour les systèmes dont les fournisseurs ne considèrent pas qu’ils présentent un risque important de préjudice pour la santé, la sécurité ou les droits fondamentaux. Le Parlement estime que leur enregistrement est nécessaire pour la surveillance du marché et compte plutôt simplifier la procédure.

Encourager les partenariats public-privé pour la sensibilisation

Le Parlement apporte également une précision sur la classification même des systèmes à haut risque. En la matière, l’AI Act établit des critères cumulatifs. Parmi eux, le fait qu’un système d’IA est utilisé comme composant de sécurité d’un produit que couvre la législation d’harmonisation. Les eurodéputés ont tenu à préciser qu’une telle intégration n’implique pas forcément que le système d’IA remplit une fonction de sûreté. Ne devraient pas être considérées ainsi les fonctionnalités pensées seulement pour l’assistance utilisateur, l’optimisation de performance, l’automatisation ou encore le contrôle qualité d’aspects non liés à la sûreté. Ce aussi longtemps que leur défaillance ne crée pas directement des risques pour la santé ou la sûreté.

En matière de sensibilisation (literacy), le Parlement préfère parler de « compétences » que de « notions ». Il supprime la référence à l’Apply AI Alliance comme canal d’échange avec la communauté. À la place, il encourage les partenariats public-privé, notamment pour accompagner les petites et moyennes entreprises.

Une compétence un peu moins exclusive pour le Bureau de l’IA

La Commission européenne, qui héberge le Bureau de l’IA, souhaite lui donner une compétence exclusive sur certains sujets. En particulier la supervision de l’essentiel des systèmes d’IA basés sur des modèles à usage général développés par le même fournisseur. Le Parlement ne lui accorde pas cette exclusivité. De plus, il donne explicitement aux autorités des États membres le pouvoir de superviser les systèmes d’IA intégrésdans des « très grandes plates-formes en ligne » ou dans des « très grands moteurs de recherche » (terminologie DMA/DSA). Et il remplace « Bureau de l’IA » par « Commission » sur des aspects comme l’encouragement à la diffusion de codes de bonnes pratiques.

Pour ce qui est des tests en conditions réelles, le Parlement a supprimé cette possibilité pour les systèmes d’IA couverts par la législation d’harmonisation. Il ne l’a maintenue que pour ceux listés dans l’annexe III de l’AI Act.

Des sanctions moins dures pour les small caps

Sur le volet sanctions, les eurodéputés proposent d’être moins « dur » avec les small caps. En l’état, l’AI Act instaure, en cas de non-conformité aux obligations faites aux fournisseurs, importateurs, distributeurs et déployeurs, une amende jusqu’à 15 M€ ou 3 % du CA annuel mondial, le montant le plus élevé étant retenu. Les eurodéputés proposent de retenir le montant le moins élevé.

Une date serait avancée. Elle concerne les systèmes d’IA mis sur le marché avant le 2 août 2026. Leur conformité aux obligations de transparence – article 50(2) – devrait être effective pour novembre 2026 et non plus février 2027.

Illustration générée par IA

The post AI Act : un report à 2027 voire 2028 se dessine appeared first on Silicon.fr.