Le règlement européen sur l’IA bénéficie d’un sursis de 16 mois : un répit, pas un abandon
Les organisations réglementées qui se précipitaient vers l’échéance de conformité à l’IA d’août 2026 viennent de gagner 16 mois supplémentaires – et céder à la tentation de relâcher la pression serait une erreur stratégique. Le Parlement européen a approuvé le 16 juin 2026 des amendements au règlement européen sur l’IA, repoussant la date limite de conformité pour les systèmes d’IA autonomes à haut risque régis par l’annexe III du 2 août 2026 au 2 décembre 2027. Cette décision offre un délai de grâce, mais Morgan Lewis, le cabinet d’avocats international qui a analysé ces amendements, le rappelle clairement : les régulateurs n’ont pas fait preuve de tolérance, ils ont simplement accordé plus de temps pour bien faire les choses.
Pour les entreprises utilisant des systèmes d’IA dans les domaines de l’éducation, de l’emploi, du scoring de crédit, des infrastructures critiques ou de l’application de la loi – secteurs explicitement couverts par l’annexe III – la prolongation modifie le calendrier de conformité sans supprimer aucune obligation sous-jacente. Un second amendement reporte la date limite pour les systèmes d’IA intégrés comme composant de sécurité dans des produits soumis à la législation d’harmonisation de l’UE du 2 août 2027 au 2 août 2028. Enfin, une nouvelle disposition interdit purement et simplement les applications de nudification alimentées par l’IA à compter du 2 décembre 2026 – cette échéance reste inchangée.
L’ensemble de ces amendements traduit une posture réglementaire européenne qui s’adapte aux réalités de l’implémentation tout en maintenant le cap sur l’objectif initial. Les exigences fondamentales du règlement sur l’IA – gestion des risques, transparence, supervision humaine, gouvernance des données et responsabilité – demeurent inchangées. Les organisations qui considèrent cette extension comme une occasion de reporter leurs efforts de conformité arriveront en décembre 2027 aussi peu préparées qu’elles l’auraient été en août 2026, mais avec encore moins de temps pour agir avant la prochaine vague de contrôles.
Le rapport prévisionnel annuel 2026 de Kiteworks sur les risques liés à la sécurité et à la conformité des données révèle que la gouvernance de l’IA et la conformité réglementaire européenne figurent parmi les priorités stratégiques des équipes sécurité et conformité cette année. Les amendements rendent la question de la gouvernance plus urgente, car la fenêtre pour bâtir l’infrastructure adéquate est ouverte dès maintenant.
Résumé des points clés
1. L’échéance de l’annexe III a été repoussée de 16 mois, mais pas indéfiniment.
Les systèmes d’IA autonomes à haut risque doivent désormais être conformes au 2 décembre 2027. Les obligations de gestion des risques et de gouvernance prévues par le règlement européen sur l’IA restent inchangées – seul le calendrier évolue, pas les exigences.
2. L’interdiction des applications de nudification n’est pas repoussée.
Les applications d’IA générant des images intimes sans consentement sont interdites à compter du 2 décembre 2026. Les organisations proposant des plateformes de génération de contenu ou des systèmes de traitement d’images doivent évaluer immédiatement leur exposition à ce risque.
3. Les régulateurs attendent une gouvernance active, pas des reports administratifs.
Morgan Lewis souligne que les régulateurs européens ont clairement indiqué leur intention de contrôler dès l’entrée en vigueur des nouvelles échéances. L’extension vise à permettre la mise en œuvre, pas à reléguer la conformité au second plan.
4. Les systèmes d’IA intégrés comme composant de sécurité bénéficient d’un report de 12 mois, pas 16.
Les systèmes d’IA intégrés comme composant de sécurité dans des produits couverts par la législation d’harmonisation de l’UE passent du 2 août 2027 au 2 août 2028 – un calendrier distinct que les acteurs de l’industrie, du secteur médical ou industriel risquent de mal suivre.
5. La fenêtre de 16 mois est le moment idéal pour bâtir l’infrastructure de gouvernance des données IA.
Les organisations qui profitent de ce délai pour instaurer une gouvernance du contenu fondée sur des politiques arriveront à l’échéance de décembre 2027 prêtes pour l’audit, et non en quête de documents manquants.
Quelles normes de conformité des données sont essentielles ?
Pour en savoir plus :
Ce que les amendements du règlement européen sur l’IA ont réellement changé
Le règlement européen sur l’IA, entré en vigueur en août 2024, déploie ses obligations de conformité par vagues successives. Les amendements adoptés par le Parlement européen le 16 juin 2026 concernent deux catégories spécifiques de systèmes d’IA à haut risque et introduisent une nouvelle interdiction.
Le changement majeur concerne les systèmes d’IA autonomes à haut risque définis à l’annexe III du règlement. Cette annexe recense huit catégories à haut risque : identification biométrique, gestion des infrastructures critiques, éducation et formation professionnelle, gestion de l’emploi et des travailleurs, accès à des services privés et publics essentiels (y compris le scoring de crédit), application de la loi, migration et asile, administration de la justice. Tout système d’IA relevant de ces catégories et déployé en tant que produit autonome – et non intégré à un autre produit – doit désormais être conforme au 2 décembre 2027, contre le 2 août 2026 initialement. Ce report de 16 mois reflète les retours du secteur, qui jugeait le calendrier initial irréaliste au vu de la complexité des exigences de gouvernance de l’IA.
La seconde modification concerne les systèmes d’IA intégrés comme composant de sécurité dans des produits soumis à la législation d’harmonisation de l’UE – dispositifs médicaux, machines ou équipements industriels où l’IA intervient dans des fonctions critiques pour la sécurité. Ces systèmes bénéficiaient déjà d’un délai plus long (2 août 2027 initialement), désormais repoussé au 2 août 2028. Les organisations industrielles, du secteur médical ou manufacturier disposant de systèmes de sécurité dopés à l’IA doivent donc mettre à jour leur feuille de route conformité.
Le troisième point introduit une nouvelle interdiction des applications de nudification alimentées par l’IA – logiciels générant des images intimes réalistes sans consentement. Cette interdiction s’applique dès le 2 décembre 2026, soit avant les échéances étendues pour les systèmes à haut risque. Les organisations proposant des plateformes de génération de contenu, des applications d’IA grand public ou des systèmes de traitement d’images susceptibles d’être détournés à ces fins doivent évaluer leur exposition dès maintenant.
Les équipes conformité RGPD qui suivent le règlement européen sur l’IA reconnaîtront le recoupement : de nombreuses protections des données personnelles prévues par le RGPD s’appliquent également aux données traitées par les systèmes d’IA à haut risque de l’annexe III. Les amendements ne modifient pas ce recoupement – ils prolongent simplement le délai pour les organisations qui n’ont pas encore bâti l’infrastructure nécessaire. Les obligations de minimisation des données et de limitation des finalités imposées par le RGPD s’appliquent aussi bien aux données d’entraînement qu’aux données opérationnelles utilisées par les systèmes d’IA de l’annexe III, faisant des pratiques RGPD le point de départ naturel de la gouvernance des données IA selon le règlement européen.
Pourquoi l’extension ne signifie pas ce que beaucoup d’organisations pensent
Lorsqu’une échéance est repoussée, l’instinct est souvent de considérer ce délai comme une autorisation implicite de reléguer le sujet. L’analyse de Morgan Lewis répond explicitement à cette tentation : les régulateurs ont annoncé leur intention de contrôler dès l’entrée en vigueur des nouvelles échéances, et des signaux d’application précoce sont déjà visibles dans d’autres domaines réglementaires. L’application de la NIS2 dans les États membres, les exigences du secteur financier DORA et les contrôles RGPD menés ces 18 derniers mois témoignent d’un environnement réglementaire européen qui agit vite et sanctionne les organisations ayant traité les échéances comme de simples jalons de planification plutôt que comme des dates butoirs.
Il existe aussi un argument pratique pour agir dès maintenant. L’infrastructure de gouvernance de l’IA exigée par le règlement européen – systèmes de gestion des risques, cadres de qualité des données, mécanismes de supervision humaine, journaux d’audit et documentation sur la transparence – demande du temps pour être construite correctement. Les organisations qui n’entament la mise en œuvre que 12 mois avant l’échéance découvrent souvent, dès les six premiers mois, des complexités inattendues : systèmes d’IA existants jamais recensés, pipelines de données dépourvus de dispositifs de gouvernance, composants IA de fournisseurs tiers incompatibles avec les exigences de transparence du règlement. Réaliser dès maintenant une évaluation formelle des risques – en cartographiant chaque système d’IA selon les catégories de l’annexe III – permet aux équipes conformité de hiérarchiser les travaux sur les 16 mois disponibles.
Le Data Act européen et la réglementation européenne sur les données ajoutent une difficulté supplémentaire : les obligations de gouvernance ne s’appliquent pas isolément. Une organisation qui construit la gouvernance IA pour la conformité au règlement européen doit aussi veiller à ce que ses flux de données IA respectent les exigences de souveraineté des données, les restrictions de transferts transfrontaliers du RGPD et les exigences sectorielles propres à chaque État membre. Concevoir une infrastructure de gouvernance qui réponde à toutes ces exigences à la fois représente un défi technique et organisationnel de taille. Commencer 16 mois avant l’échéance est bien plus judicieux que de s’y atteler quatre mois avant.
Ce que la conformité au règlement européen sur l’IA exige réellement
Les exigences du règlement pour les systèmes d’IA à haut risque de l’annexe III sont détaillées et nécessitent une documentation approfondie. Les obligations clés couvrent plusieurs domaines interdépendants.
L’évaluation de conformité impose aux organisations de vérifier systématiquement que leur système d’IA respecte les exigences de transparence, d’exactitude, de robustesse et de cybersécurité du règlement. Pour la plupart des systèmes à haut risque, cela implique à la fois un contrôle interne et la possibilité d’un audit tiers. Les systèmes de gestion des risques doivent être instaurés, maintenus et mis à jour tout au long du cycle de vie du système – il ne s’agit pas d’une évaluation ponctuelle, mais d’un processus de gouvernance continue qui suit l’évolution des risques et du contexte de menaces.
Les pratiques de gouvernance des données doivent couvrir les données d’entraînement, de validation et de test utilisées pour développer le système d’IA. Les organisations relevant de l’annexe III doivent prouver que leurs données d’entraînement sont pertinentes, représentatives et exemptes d’erreurs susceptibles de générer des biais discriminatoires. La classification des données appliquée aux jeux d’entraînement – en étiquetant le contenu selon le niveau de sensibilité et la finalité – constitue la base probante que les auditeurs examineront pour vérifier la conformité aux critères de qualité du règlement. Les mécanismes de supervision humaine doivent permettre à l’humain d’intervenir, de passer outre ou d’arrêter les résultats du système d’IA – pour les systèmes autonomes, cela impose des contraintes architecturales directes, car la supervision humaine doit être techniquement réalisable, et non seulement théorique.
La documentation technique et la journalisation exigent des organisations qu’elles conservent des traces détaillées de la conception, du développement, des tests, des performances et de l’historique opérationnel du système. Ces documents doivent être conservés et transmis aux régulateurs sur demande.
Les cadres de gouvernance des données IA qui répondent à ces exigences reposent sur un principe commun : considérer que toutes les données qui entrent ou sortent d’un système d’IA sont soumises à des contrôles de gouvernance. Kiteworks Compliant AI fournit la couche d’application des politiques qui rend ces exigences opérationnelles – une gouvernance du contenu qui filtre, journalise et contrôle les données intégrant un workflow IA, avec une traçabilité infalsifiable conforme aux exigences de documentation du règlement. Le tableau de bord RSSI offre une visibilité en temps réel sur tous les accès aux données médiés par l’IA, donnant aux équipes conformité la preuve nécessaire pour un suivi réglementaire continu, et non une simple préparation à l’audit ponctuel.
Les exigences en matière de confidentialité des données prévues à l’annexe III concernent spécifiquement les données personnelles : tout système d’IA traitant des données personnelles pour le scoring de crédit, les décisions d’emploi ou l’application de la loi doit démontrer que ses pratiques de gestion des données respectent le RGPD en plus des exigences du règlement européen sur l’IA. La conformité RGPD et la conformité au règlement sur l’IA ne sont pas des démarches parallèles – ce sont des obligations qui se recoupent et partagent la même infrastructure de gouvernance. Les organisations qui les traitent séparément font le travail deux fois.
La dimension souveraineté des données
Pour les entreprises européennes et les multinationales opérant dans l’UE, la conformité au règlement européen sur l’IA s’inscrit dans un cadre plus large de conformité à la souveraineté des données. Les systèmes d’IA à haut risque traitant les données personnelles de résidents européens sont soumis à des restrictions sur le lieu de stockage, les transferts vers des pays tiers et les accès. Ces restrictions existent dans le RGPD, les lois nationales et la réglementation sectorielle – mais elles impactent l’architecture de tout système d’IA conforme.
Les organisations qui utilisent des fournisseurs cloud américains pour le traitement IA font face à cette problématique depuis des années. Le règlement européen sur l’IA ajoute une couche supplémentaire : même si un transfert de données respecte le RGPD, le système d’IA lui-même doit répondre aux exigences de l’annexe III, notamment en matière de documentation technique et de journalisation accessibles aux régulateurs européens. Si la documentation technique est détenue par un fournisseur cloud selon des conditions limitant l’accès des régulateurs européens, la conformité du système est remise en cause. Les clés de chiffrement contrôlées par le client constituent le contrôle architectural qui empêche l’accès du fournisseur cloud aux données réglementées – garantissant qu’aucune divulgation imposée au fournisseur ne puisse exposer le contenu des données d’entraînement ou opérationnelles d’un système d’IA européen.
Les exigences de résidence des données compliquent encore les déploiements IA dans le cloud. Certains États membres imposent que les données personnelles sensibles restent sur des serveurs nationaux, indépendamment des dispositifs européens de transfert. Les systèmes d’IA traitant ces données doivent donc adopter des architectures respectant la résidence sans sacrifier la visibilité de gouvernance exigée par le règlement européen sur l’IA.
Le Réseau de données privé Kiteworks répond directement à ces enjeux, en proposant un environnement gouverné qui prend en charge les configurations de résidence et de souveraineté des données, en plus de la gouvernance du contenu requise pour la conformité au règlement européen sur l’IA. Les journaux d’audit générés par la plateforme répondent à la fois aux exigences de responsabilité du RGPD et aux obligations de journalisation du règlement européen sur l’IA – créant un registre de gouvernance unifié pour les contrôles réglementaires sur les deux cadres simultanément.
Bien utiliser l’extension
Les 16 mois désormais disponibles avant l’échéance de l’annexe III suffisent à bâtir un programme de gouvernance IA solide, à condition de s’y atteler dès maintenant. Voici la séquence recommandée : commencez par l’inventaire des systèmes d’IA, identifiez chaque système relevant de l’annexe III ; passez à la classification des risques, en évaluant chaque système selon les critères de haut risque du règlement ; réalisez des analyses DPIA pour les systèmes traitant des données personnelles ; construisez l’infrastructure technique de gouvernance couvrant la qualité des données, la journalisation d’audit et la supervision humaine ; et finalisez l’évaluation de conformité avant l’échéance, et non à la dernière minute. Les organisations soumises également à HIPAA ou CMMC 2.0 doivent concevoir leur gouvernance IA pour qu’elle soit extensible à ces cadres dès le départ – les exigences en matière de journalisation, de contrôle d’accès et de classification des données se recoupent largement.
Les cadres Compliant AI de Kiteworks fournissent la couche d’infrastructure adaptée à cette démarche. Kiteworks Compliant AI applique les politiques de contenu à la frontière entre les données et l’IA, garantissant que les systèmes d’IA fonctionnent dans des contextes de données vérifiés et conformes aux politiques. Et le Réseau de données privé Kiteworks offre l’infrastructure de journalisation et de contrôle d’accès exigée par le règlement européen sur l’IA.
Le rapport prévisionnel annuel 2026 de Kiteworks sur les risques liés à la sécurité et à la conformité des données montre que les organisations qui investissent tôt dans la gouvernance IA – au lieu de considérer la conformité comme un sprint de dernière minute – affichent une plus grande confiance dans leurs déploiements IA et une exposition réglementaire moindre. Prenez cette extension pour ce qu’elle est : du temps pour construire. Les organisations qui l’exploiteront arriveront prêtes pour l’audit en décembre 2027. Celles qui la considèrent comme une pause risquent de se retrouver exactement là où elles ne voulaient pas être.
Pour en savoir plus sur la mise en place d’une infrastructure de conformité au règlement européen sur l’IA avant l’échéance de décembre 2027, réservez votre démo sans attendre !
Foire aux questions
L’échéance du 2 décembre 2027 s’applique aux systèmes d’IA autonomes à haut risque dans les huit catégories listées à l’annexe III du règlement européen sur l’IA : identification biométrique, gestion des infrastructures critiques, éducation et formation professionnelle, gestion de l’emploi et des travailleurs, accès à des services essentiels (y compris le scoring de crédit), application de la loi, migration et asile, administration de la justice. « Autonome » distingue les systèmes déployés indépendamment de ceux intégrés comme composant de sécurité dans des produits couverts par la législation d’harmonisation de l’UE – ces derniers relèvent d’une échéance distincte au 2 août 2028. Si votre organisation déploie des systèmes d’IA dans l’une de ces catégories pour des marchés ou des résidents européens, vous êtes concerné. La gouvernance des données IA est un prérequis pour l’évaluation de conformité exigée par le règlement. Des obligations de conformité RGPD peuvent également s’appliquer en parallèle si des données personnelles sont traitées. Les organisations dont les systèmes d’IA traitent des informations médicales protégées ou des données personnelles sensibles doivent cartographier leur exposition à l’annexe III en parallèle de leurs obligations RGPD et sectorielles dès le départ.
Non. Les amendements ajustent le calendrier de conformité mais ne modifient pas les exigences que doivent respecter les organisations relevant de l’annexe III. Les systèmes de gestion des risques, les pratiques de gouvernance des données, les mécanismes de supervision humaine, la documentation technique et la journalisation restent en vigueur tels que définis initialement. Morgan Lewis précise que les régulateurs entendent contrôler dès l’entrée en vigueur des nouvelles échéances – il faut considérer le 2 décembre 2027 comme une date butoir, pas comme un jalon de planification. Consultez le rapport prévisionnel annuel 2026 de Kiteworks sur les risques liés à la sécurité et à la conformité des données pour une analyse de l’impact des calendriers réglementaires européens sur les décisions d’investissement en gouvernance IA. La conformité à la souveraineté des données est une obligation parallèle pour les données personnelles de résidents européens, quelle que soit l’échéance applicable à vos systèmes d’IA. Les organisations doivent aussi évaluer si leur supply chain IA – fournisseurs et prestataires de modèles tiers – répond aux mêmes standards de gouvernance que ceux exigés de l’organisation déployant la solution, car la gestion des risques supply chain s’étend à la relation fournisseur selon le règlement.
Pour les systèmes d’IA traitant des données personnelles – ce qui concerne la majorité des systèmes de l’annexe III, car le scoring de crédit, les décisions d’emploi, l’application de la loi et fonctions similaires impliquent nécessairement des données personnelles – la conformité au règlement européen sur l’IA et au RGPD constitue un ensemble d’obligations qui se recoupent, et non des démarches parallèles. Les exigences de gouvernance des données du règlement (qualité des données d’entraînement, représentativité, correction des erreurs) s’appliquent aux données que le RGPD définit comme personnelles, ce qui signifie que les mêmes pratiques de gestion des données doivent satisfaire les deux cadres simultanément. La minimisation des données, la limitation des finalités et les droits d’accès prévus par le RGPD limitent également l’utilisation des données d’entraînement et opérationnelles de l’IA. Une architecture de gouvernance unifiée couvrant les deux cadres est plus efficace à construire et plus facile à auditer que deux programmes séparés. Kiteworks Compliant AI soutient cette approche en appliquant l’exécution des politiques et la journalisation à la frontière entre les données et l’IA.
L’action la plus efficace dans les 90 premiers jours est l’inventaire des systèmes d’IA : identifiez chaque système d’IA exploité par votre organisation relevant des catégories de l’annexe III, documentez les données traitées et évaluez s’il s’agit d’un système autonome ou d’un composant de sécurité. Beaucoup d’organisations découvrent à cette occasion qu’elles ont plus de systèmes concernés que prévu, car des fonctions IA ont été intégrées dans des outils d’achat, de recrutement ou de relation client sans classification formelle. Une fois l’inventaire réalisé, la classification des risques détermine l’ampleur des travaux de conformité à mener pour chaque système. Les organisations doivent également évaluer leurs capacités actuelles de journalisation et de traçabilité par rapport aux exigences du règlement européen sur l’IA, car les lacunes à ce niveau révèlent souvent la plus grande charge technique à venir. Les exigences DPIA peuvent aussi s’appliquer aux nouveaux déploiements IA prévus pendant la période de report. Intégrer les journaux des systèmes d’IA à une plateforme SIEM dès le départ – plutôt que de considérer la journalisation comme une formalité à l’audit – offre aux équipes conformité la visibilité continue exigée par le suivi réglementaire du règlement.
Partiellement. L’infrastructure RGPD – cartographie des données, politiques de confidentialité, dispositifs d’exercice des droits des personnes, processus de notification des violations – constitue une base sur laquelle la conformité au règlement européen sur l’IA s’appuie. Mais le règlement introduit des exigences sans équivalent direct dans le RGPD : évaluation de conformité pour les propriétés techniques spécifiques à l’IA, systèmes de gestion des risques conçus pour la gouvernance tout au long du cycle de vie de l’IA, mécanismes de supervision humaine qui relèvent de l’architecture et non de la politique. L’infrastructure Compliant AI comble l’écart entre ce que le RGPD fournit déjà et ce que le règlement européen sur l’IA exige en plus. Recommandation pratique : utilisez la cartographie RGPD comme point de départ de l’inventaire de vos systèmes IA, mais prévoyez un investissement supplémentaire pour répondre aux obligations propres à l’IA. Considérer la conformité RGPD existante comme suffisante pour le règlement européen sur l’IA est l’erreur la plus susceptible d’être relevée lors de l’audit. Les capacités de gouvernance des données que le RGPD n’exige qu’implicitement – journalisation granulaire des accès aux données IA, classification des données d’entraînement selon la sensibilité, contrôles d’accès appliqués à la frontière du modèle – sont des exigences explicites du règlement européen sur l’IA et doivent être mises en place comme des investissements d’infrastructure distincts.
Ressources complémentaires
- Article de blog
Stratégies Zero‑Trust pour une protection abordable de la vie privée en IA - Article de blog
77 % des organisations échouent à sécuriser les données IA - eBook
Écart de gouvernance IA : pourquoi 91 % des petites entreprises jouent à la roulette russe avec la sécurité des données en 2025 - Article de blog
Il n’existe pas de « –dangerously-skip-permissions » pour vos données - Article de blog
Les régulateurs ne se contentent plus de demander si vous avez une politique IA. Ils veulent des preuves de son efficacité.