AI Act 2 août 2026 : ce que le Digital Omnibus n'a pas reporté — et le plan corpus en 60 jours

Digital Omnibus a repoussé l'Annexe III à décembre 2027 — pas l'Article 50, pas l'Annexe IV des systèmes déjà en marché. Plan corpus 60 jours.

Le 7 mai 2026, le Conseil et le Parlement européens ont trouvé un accord politique sur le « Digital Omnibus » (communiqué officiel du Conseil européen). Le texte repousse au 2 décembre 2027 l’enforcement des obligations de l’Annexe III pour les nouveaux systèmes IA à haut risque — banques, assurance, RH, accès aux services essentiels. Trois semaines plus tard, la conversation marché s’est presque entièrement focalisée sur ce qui était repoussé. La page « ce qui reste obligatoire le 2 août 2026 » est restée largement vide. Elle est pourtant beaucoup plus chargée qu’on ne le dit aux comités de direction.

À 62 jours de l’échéance, voici ce qui s’applique réellement au 2 août 2026, pourquoi votre corpus documentaire en est le pré-requis silencieux, et le plan que nous instruisons chez K-AI pour les systèmes IA déjà en production.

Ce que le Digital Omnibus du 7 mai 2026 a réellement fait — et ce qu’il n’a pas fait

L’accord politique annoncé par le Conseil européen le 7 mai 2026 repousse de seize mois l’enforcement des obligations des nouveaux systèmes haut-risque listés à l’Annexe III : passage du 2 août 2026 au 2 décembre 2027 (Hogan Lovells, Latham & Watkins, White & Case). C’est un soulagement réel pour les directions juridiques qui n’avaient pas le temps de cadrer la classification à temps. C’est aussi un soulagement étroit. Le texte ne touche pas à plusieurs blocs obligationnels qui restent ancrés au 2 août 2026.

D’abord, l’Article 50 sur la transparence des systèmes IA en interaction directe avec des personnes physiques. Le texte officiel reste applicable au 2 août 2026 dans son intégralité, à l’exception du paragraphe 50(2) sur le watermarking de contenu généré, repoussé au 2 décembre 2026 (texte officiel — Article 50). Tout chatbot, agent IA, assistant en production qui dialogue avec un client, un agent ou un employé doit être identifié comme tel et le contenu généré doit pouvoir être tracé jusqu’à sa source. Ensuite, l’Article 4 sur l’AI literacy, déjà en vigueur depuis le 2 février 2025 (Squirro). Toute organisation qui développe ou déploie un système IA doit assurer un niveau suffisant de compétence IA chez les personnes concernées. Enfin et surtout — c’est le point que la couverture juridique a sous-traité — les obligations Annexe IV pour les systèmes haut-risque déjà mis sur le marché ou déjà en service avant le 2 août 2026. Le Digital Omnibus traite des nouveaux systèmes ; il ne désengage pas les opérateurs des systèmes existants (Gibson Dunn).

Dans les conversations que je tiens avec des DSI et des DPO de grands groupes français depuis trois semaines, c’est ce troisième point qui surprend. Pour un opérateur qui exploite déjà un système de scoring crédit, un outil d’aide à la décision RH, un assistant de support client en production, le Digital Omnibus n’apporte aucun délai supplémentaire. La documentation technique Annexe IV reste exigible. L’Article 12 sur les logs reste exigible. L’Article 26 sur les obligations du déployeur reste exigible. Le marché s’est endormi sur un calendrier qui ne lui était pas adressé.

Ce qui reste obligatoire le 2 août 2026 — pour qui, pour quoi

Trois blocs obligationnels s’appliquent au 2 août 2026, indépendamment du Digital Omnibus.

Premier bloc — Article 50, transparence. Tout déployeur d’un système IA qui interagit avec des personnes physiques doit informer ces personnes qu’elles interagissent avec un système IA, sauf exception explicitement listée. Tout déployeur d’un système de génération ou de manipulation de contenu publié à des fins d’information du public sur des sujets d’intérêt général doit divulguer que le contenu est artificiellement généré ou manipulé (texte officiel). Pour un RAG d’entreprise, cette obligation se cascade jusqu’au document source : pour démontrer qu’une réponse n’est pas hallucinée, il faut pouvoir produire le ou les documents consultés. Cette traçabilité n’est plus une bonne pratique UX.

Deuxième bloc — Article 4, AI literacy. Déjà entré en vigueur le 2 février 2025, il oblige fournisseurs et déployeurs à garantir un niveau suffisant de littératie IA pour le personnel et les sous-traitants concernés. Squirro, parmi les acteurs Cercle 1-2, a été le seul à formaliser cette obligation comme une discipline produit (Squirro). Mais l’angle aveugle reste entier : les supports de formation IA sont eux-mêmes du corpus documentaire soumis à versioning, datation, attribution. Quand un régulateur demande à un opérateur quelle formation IA a reçu son équipe d’achat, c’est de la pièce documentaire qu’il parle, pas de la pédagogie. Cette pièce doit exister, être à jour, être tracée.

Troisième bloc — systèmes haut-risque déjà mis sur le marché avant le 2 août 2026. L’Annexe IV exige une documentation technique détaillée incluant la description des données utilisées et la traçabilité de leur cycle de vie (texte officiel — Annexe IV, Article 11). L’Article 12 oblige à la conservation automatique de logs permettant la traçabilité des décisions, avec rétention minimale de six mois (PipeLab). L’Article 26 cadre les obligations du déployeur : surveillance, journalisation, signalement en cas d’incident. En sanction, jusqu’à 35 millions d’euros ou 7 % du chiffre d’affaires mondial pour les manquements les plus graves (Atlan). C’est l’ordre de grandeur du RGPD multiplié par sept.

Quatre publications convergent sur le constat de readiness moyen : Fivetran 15 % d’organisations agentic-ready sur 400 dirigeants data interrogés (Fivetran via BusinessWire, 5 mai 2026) ; Cloudera × HBR 7 % d’entreprises dont les données sont completely ready for AI (Cloudera, mars 2026) ; Cisco 13 % de Pacesetters sur 2 500 CEO (Cisco, 18 mai 2026) ; et Gartner anticipe 60 % de projets IA abandonnés d’ici fin 2026, faute de données AI-Ready (Gartner). Sur cette base, l’écart entre les opérateurs prêts à documenter leur conformité Annexe IV et les opérateurs sanctionnables le 2 août 2026 s’annonce considérable.

L’angle aveugle : pourquoi l’Annexe IV inclut votre corpus documentaire d’inférence

Les pure-players AI governance ont publié, depuis l’accord Omnibus, des guides et des templates de mise en conformité — Atlan, Collibra, Alation, Credo AI, Holistic AI, Informatica. Tous traitent de la conformité au niveau du modèle (registry, model cards, classification haut-risque) ou du dataset structuré (lineage, qualité, provenance) (Collibra AI Command Center, Alation, 11 mai 2026, Atlan). Aucun, à notre connaissance, ne descend au niveau du document non-structuré individuel — PDF, page Confluence, document SharePoint, e-mail archivé — qui constitue 70 à 90 % de la source d’inférence d’un RAG ou d’un agent IA d’entreprise.

C’est un point de droit qui mérite l’attention des DSI et des DPO. L’Annexe IV §2(b) demande au fournisseur d’un système haut-risque de documenter « the design specifications of the system, namely the general logic of the AI system and of the algorithms ; the key design choices including the rationale and assumptions made » et « the main classification choices » (Annexe IV — texte officiel). Pour un système RAG en production, le choix de design inclut, par construction, le choix du corpus documentaire utilisé pour le grounding. Les assumptions incluent les hypothèses sur la qualité, la fraîcheur, l’absence de contradictions, l’absence de doublons divergents dans ce corpus. Sans documentation de ces hypothèses, le système est non conforme par défaut.

C’est exactement le rôle que joue le Document Knowledge Platform : produire et maintenir, automatiquement, la trace technique que l’Annexe IV exige. Les six axes que nous instruisons chez K-AI — anomalies internes, conflits inter-documents, doublons divergents, obsolescence non marquée, traçabilité, fraîcheur — ne sont pas un cadre éditorial. Ce sont les dimensions mesurables par lesquelles le corpus d’inférence devient documentable au sens de l’Annexe IV. Nous avons publié la méthode complète dans notre note du 15 mai 2026 ; le lien avec le cadre AI Readiness des grands frameworks 2026 (Cisco, Microsoft, Cloudera, Iris.ai, Atlan) est tracé dans celle du 25 mai.

Article 12 et le « document retrieval log » : la catégorie de preuve que personne ne nomme

L’Article 12 oblige à la conservation automatique de logs permettant la traçabilité des opérations d’un système haut-risque, avec rétention minimale de six mois (PipeLab). La pratique marché interprète cette obligation côté prompt et output : on garde la requête utilisateur, la réponse générée, l’identifiant de l’utilisateur, la durée d’exécution. Une catégorie de log manque presque toujours à l’appel : la trace des documents source consultés au moment de la génération.

Pour un système RAG, cette trace existe techniquement. Le retriever récupère un ensemble de chunks ; le reranker les ordonne ; un sous-ensemble est injecté dans le contexte du modèle. À aucun moment cette opération n’est journalisée comme preuve documentaire. Or c’est elle qui permet, six mois après les faits, de démontrer à un régulateur ou à un comité de risque interne que la réponse fournie par l’agent IA était fondée sur tel document, dans telle version, à telle date. Sans ce log, l’opérateur ne peut pas reconstituer la chaîne de décision. Avec ce log, il peut.

Nous formalisons chez K-AI cette catégorie sous le nom de document retrieval log : pour chaque réponse d’agent ou de RAG, conservation de la liste des documents source consultés, de leur version au moment du retrieval, de leur score de qualité issu de l’audit corpus, et de leur statut de validité (à jour, périmé, en conflit avec une autre source). C’est, à notre connaissance, la seule catégorie de log qui rend l’Article 12 actionnable au niveau corpus documentaire. Aucun acteur du cercle DKP ou Enterprise Search n’a publié cette formalisation à ce jour ; c’est le drapeau que nous plantons cette semaine.

La fenêtre opérationnelle août 2026 → décembre 2027 : trois temps pour préparer l’Annexe III

Le report de l’Annexe III ne supprime pas l’enforcement, il le décale. Pour un opérateur dont les systèmes IA tomberont dans le périmètre haut-risque en décembre 2027 — outils RH, scoring, scolarité, accès aux services essentiels — la fenêtre de seize mois ouverte par le Digital Omnibus est un calendrier opérationnel, pas un répit. Nous le décomposons en trois temps avec les équipes que nous accompagnons.

Temps 1 — Juin à août 2026 : mettre en ordre l’existant. Toute organisation a déjà au moins un système IA en production qui sera soumis à l’Article 50 le 2 août : assistant client, copilote interne, outil de recommandation employé. Sur ce périmètre, l’urgence n’est pas Annexe III mais Article 50, Article 4 et — pour les systèmes haut-risque déjà sur le marché — Annexe IV. C’est dans cette fenêtre que se joue le plan corpus 60 jours que nous décrivons plus bas.

Temps 2 — Septembre 2026 à juin 2027 : industrialiser le monitoring continu. Une fois le corpus assaini, la conformité ne se maintient pas seule. Les six axes d’audit (anomalies, conflits, doublons, obsolescence, traçabilité, fraîcheur) dérivent par nature. La discipline Stay Clean — monitoring continu, alertes sur seuil, re-audit programmé — est la condition de durabilité de la conformité. Cette phase est l’occasion d’instaurer la gouvernance documentaire à laquelle l’Annexe III obligera fin 2027.

Temps 3 — Juillet à décembre 2027 : préparer le passage Annexe III. Pour les nouveaux systèmes haut-risque que l’organisation déploiera dans cette fenêtre, l’évaluation de conformité (Article 43) et la déclaration de conformité (Article 47) deviennent applicables. La documentation technique Annexe IV doit être produite avant la mise sur le marché. Si le corpus a été assaini dans le Temps 1 et maintenu dans le Temps 2, cette troisième étape est une formalisation, pas une refonte.

Ce séquencement n’est pas spécifique à K-AI ; il est cohérent avec les guides de cabinets sérieux (IAPP, Latham & Watkins, McKenna Consultants). Sa spécificité est de placer le corpus documentaire — et non le modèle ou le dataset structuré — au centre du dispositif.

Un plan corpus de 60 jours : six chantiers pour les systèmes IA déjà en production

Voici le plan que nous instruisons chez K-AI pour un opérateur dont les systèmes IA sont déjà en production. Il opérationnalise la méthode des six axes publiée le 15 mai, sur le calendrier J-62 → J 0 du 2 août 2026. Chaque chantier court sur dix jours, en parallèle quand c’est possible.

Le chantier 1 — Anomalies internes (J-62 → J-52) couvre la détection des ruptures de cohérence dans un même document : tableaux contradictoires, dates incompatibles, références circulaires. Livrable : inventaire chiffré des anomalies, priorisé par criticité métier. Le chantier 2 — Conflits inter-documents (J-52 → J-42) traite la pathologie qui pèse le plus sur la fiabilité d’un RAG en production, comme nous l’avons documenté le 27 mai dernier. Livrable : graphe de claims contradictoires, validé par le métier. Le chantier 3 — Doublons divergents (J-42 → J-32) identifie les versions multiples d’un même document dont le contenu a divergé sans que la généalogie soit tracée. C’est la principale cause de réponses qui « vraies hier » sont fausses aujourd’hui.

Le chantier 4 — Obsolescence non marquée (J-32 → J-22) classe le corpus par échéance de validité explicite ou inférée. Une politique RH valide trois ans, une procédure technique valide six mois, un manuel produit valide jusqu’à la prochaine release. Sans ce marquage, le RAG ne peut pas écarter les sources périmées. Le chantier 5 — Traçabilité (J-22 → J-12) est l’axe qui adresse frontalement l’Annexe IV §2(b) : pour chaque document, son auteur, sa date de validation, sa source de vérité, son destinataire métier. C’est ici que le document retrieval log prend racine. Le chantier 6 — Fraîcheur par segment (J-12 → J 0) mesure le décalage entre la dernière mise à jour effective et le rythme attendu par le métier, segment par segment. C’est la métrique qui pilote le re-audit en mode Stay Clean.

À J 0, le 2 août 2026, l’opérateur dispose d’un inventaire documenté, d’un document retrieval log opérationnel, d’un plan de remédiation chiffré et d’un dispositif de monitoring continu. La documentation Annexe IV des systèmes haut-risque déjà en marché est produite, l’Article 50 est outillé pour l’identification du contenu généré, l’Article 12 est tracé au niveau document. La conformité ne sera pas parfaite, mais elle sera défendable devant un régulateur ou un auditeur. C’est l’objectif réaliste à 62 jours.

Foire aux questions

Quelles obligations de documentation s’appliquent aux systèmes IA à haut risque au 2 août 2026 ?

Le Digital Omnibus du 7 mai 2026 repousse les obligations des nouveaux systèmes haut-risque listés à l’Annexe III au 2 décembre 2027. Restent applicables au 2 août 2026 : l’Article 50 sur la transparence (avec exception 50(2) sur le watermarking repoussé à décembre 2026), l’Article 4 sur l’AI literacy (déjà en vigueur depuis février 2025), et l’ensemble des obligations Annexe IV, Article 11, Article 12 et Article 26 pour les systèmes haut-risque déjà mis sur le marché ou déjà en service. Concrètement : documentation technique du système, description des données utilisées et de leur cycle de vie, logs auto-générés avec rétention six mois, surveillance par le déployeur. Les sanctions vont jusqu’à 35 millions d’euros ou 7 % du chiffre d’affaires mondial.

Le Digital Omnibus du 7 mai 2026 supprime-t-il les obligations documentaires de l’AI Act ?

Non. Le Digital Omnibus, dans l’accord politique du 7 mai 2026, repousse l’enforcement de l’Annexe III des nouveaux systèmes haut-risque au 2 décembre 2027, mais ne supprime aucune obligation. Les obligations documentaires des systèmes haut-risque déjà en production restent applicables au 2 août 2026. L’AI literacy (Article 4) reste applicable depuis février 2025. La transparence (Article 50) reste applicable au 2 août 2026. Les cabinets juridiques convergent : ne pas utiliser le report comme prétexte pour différer le travail de mise en conformité.

Comment prouver la traçabilité des décisions prises par un système IA ?

L’Article 12 exige la conservation automatique de logs permettant la traçabilité, pendant six mois minimum. La pratique marché interprète cette obligation côté prompt et output. Il manque presque toujours une troisième catégorie de log : la trace des documents source consultés au moment de la génération — ce que nous appelons chez K-AI le document retrieval log. Pour chaque réponse d’agent ou de RAG, conservation de la liste des documents consultés, de leur version, de leur score de qualité au moment du retrieval, et de leur statut de validité. C’est cette catégorie qui permet, six mois après les faits, de démontrer à un régulateur qu’une réponse était fondée sur tel document dans telle version.

L’Article 50 sur la transparence reste-t-il en vigueur au 2 août 2026 ?

Oui. Le Digital Omnibus du 7 mai 2026 ne touche pas à l’Article 50 sur la transparence des systèmes IA en interaction directe avec des personnes physiques. Le texte officiel reste applicable au 2 août 2026 dans son intégralité, à l’exception du paragraphe 50(2) sur le watermarking de contenu généré, qui est repoussé au 2 décembre 2026. Tout chatbot, agent IA ou assistant en production doit être identifié comme tel, et le contenu généré doit pouvoir être tracé jusqu’à sa source. Pour un RAG d’entreprise, cette obligation cascade jusqu’au document source consulté.

Quelles sont les sanctions pour non-conformité documentaire à l’AI Act ?

Les sanctions de l’EU AI Act atteignent 35 millions d’euros ou 7 % du chiffre d’affaires mondial annuel — le montant le plus élevé étant retenu — pour les violations les plus graves, notamment celles touchant aux systèmes prohibés. Pour les manquements aux obligations Annexe IV, Article 12 ou Article 50, les plafonds vont jusqu’à 15 millions d’euros ou 3 % du chiffre d’affaires mondial. Cet ordre de grandeur dépasse celui du RGPD. Les autorités nationales de surveillance désignées par chaque État membre seront chargées de l’enforcement à partir du 2 août 2026.

Pour aller plus loin

La conformité documentaire à l’AI Act ne se règle pas en lisant la directive — elle se règle en auditant le corpus qui alimente les systèmes en production. C’est ce que nous faisons chez K-AI, sur des corpus de grandes entreprises française et européennes. Pour échanger sur votre périmètre — quelles obligations s’appliquent, quel est l’état de votre corpus, quel plan en 60 jours — écrivez-nous à contact@k-ai.ai.

Sources citées

Conseil européen, Communiqué officiel sur l’accord Digital Omnibus, 7 mai 2026 — https://www.consilium.europa.eu/en/press/press-releases/2026/05/07/artificial-intelligence-council-and-parliament-agree-to-simplify-and-streamline-rules/
EU AI Act, Article 50 (transparence), texte officiel — https://artificialintelligenceact.eu/article/50/
EU AI Act, Annexe IV (documentation technique), texte officiel — https://artificialintelligenceact.eu/annex/4/
EU AI Act, Article 11 (documentation technique), texte officiel — https://artificialintelligenceact.eu/article/11/
EU AI Act, Article 26 (obligations déployeurs), texte officiel — https://artificialintelligenceact.eu/article/26/
Latham & Watkins, AI Act Update: EU resolves to change rules and extend deadlines — https://www.lw.com/en/insights/ai-act-update-eu-resolves-to-change-rules-and-extend-deadlines
Gibson Dunn, EU AI Act Omnibus Agreement: postponed high-risk deadlines and other key changes — https://www.gibsondunn.com/eu-ai-act-omnibus-agreement-postponed-high-risk-deadlines-and-other-key-changes/
White & Case, EU agrees Digital Omnibus deal to simplify AI rules — https://www.whitecase.com/insight-alert/eu-agrees-digital-omnibus-deal-simplify-ai-rules
Hogan Lovells, EU legislators agree to delay for high-risk AI rules — https://www.hoganlovells.com/en/publications/eu-legislators-agree-to-delay-for-highrisk-ai-rules
IAPP, Notes from the AI Governance Center: AI Act Omnibus — https://iapp.org/news/a/ai-act-omnibus-what-just-happened-and-what-comes-next
McKenna Consultants, EU AI Act high-risk compliance: a technical readiness guide for August 2026 — https://www.mckennaconsultants.com/eu-ai-act-high-risk-compliance-a-technical-readiness-guide-for-august-2026/
Fivetran, 2026 Agentic AI Readiness Index, 5 mai 2026 — https://www.businesswire.com/news/home/20260505250301/en/Fivetran-Launches-2026-Agentic-AI-Readiness-Index-Revealing-Gap-Between-Enterprise-Investment-and-Data-Preparedness-for-Agentic-AI
Cloudera × Harvard Business Review Analytic Services, Data Readiness Report, mars 2026 — https://www.cloudera.com/about/news-and-blogs/press-releases/2026-03-05-only-7-percent-of-enterprises-say-their-data-is-completely-ready-for-ai-according-to-new-report-from-cloudera-and-harvard-business-review-analytic-services-reveals.html
Cisco, AI Readiness Index 2026, 18 mai 2026 — https://www.cisco.com/c/m/en_us/solutions/ai/readiness-index/how-ceos-see-ai-in-2026.html
Gartner, 60 % de projets IA abandonnés faute de données AI-Ready — https://www.gartner.com/en/newsroom/press-releases/2025-02-26-lack-of-ai-ready-data-puts-ai-projects-at-risk
Atlan, EU AI Act Compliance: Everything You Need Before August 2026 — https://atlan.com/know/eu-ai-act-compliance/
Collibra, AI Command Center — https://www.collibra.com/products/ai-command-center
Alation, AI Governance Enterprise Compliance, 11 mai 2026 — https://www.alation.com/blog/ai-governance-enterprise-compliance/
Squirro, European AI Act Incoming: The AI Literacy Imperative — https://squirro.com/squirro-blog/european-ai-act-incoming-the-ai-literacy-imperative
PipeLab, EU AI Act Compliance Article 12 + 6-Month Log Retention — https://pipelab.org/learn/eu-ai-act-compliance/