Actualité AI Act 2026 : calendrier et conformité

16 avril 2026 — CNIL-HAS : clôture de la consultation sur l'IA en santé

La consultation publique lancée conjointement par la CNIL et la Haute Autorité de Santé (HAS) sur le projet de guide « IA en contexte de soins » s'est clôturée le 16 avril 2026. Ce guide de bonnes pratiques comprend dix fiches couvrant l'ensemble du cycle de vie d'un système d'IA en établissement de santé — de l'acquisition à la désinstallation — ainsi que deux fiches transversales sur la gouvernance et les spécificités de l'IA générative. Il s'adresse aux professionnels et établissements de santé de toute taille, et vise à clarifier le cadre juridique applicable à l'intersection du RGPD, de l'AI Act et du code de la santé publique. Les associations de patients et fournisseurs de systèmes d'IA étaient également invités à contribuer.

Ce que ça change pour vous : les établissements de santé utilisant ou envisageant des systèmes d'IA doivent suivre la publication du guide définitif pour adapter leur gouvernance et leurs processus de conformité. IA et CNIL : recommandations pratiques 2025-2026 — EU AI Act : guide complet du règlement européen sur l'intelligence artificielle

13 avril 2026 — CNIL et ANSSI : premier atelier public de l'outil d'audit IA PANAME

La CNIL, l'ANSSI, le PEReN et Inria organisent le 13 avril 2026 un atelier hybride réunissant les acteurs ayant répondu à l'appel à manifestation d'intérêt pour tester la librairie PANAME (Privacy Auditing of AI Models). Cet outil open source, dont la publication est prévue à l'automne 2026, permettra de réaliser des tests d'extraction et de réidentification de données sur les modèles d'IA afin d'évaluer leur conformité au RGPD. Le projet vise à unifier la façon dont la confidentialité des modèles est évaluée, un enjeu majeur à l'approche de l'échéance haut risque de l'AI Act (2 août 2026).

Ce que ça change pour vous — Si vous entraînez ou déployez des modèles d'IA, surveillez la publication de PANAME à l'automne 2026 : cet outil deviendra probablement la référence pour les audits CNIL de conformité des modèles. AIPD pour l'IA : quand et comment réaliser une analyse d'impact — IA et CNIL : recommandations pratiques 2025-2026

11 avril 2026 — 127 ONG alertent : l'Omnibus UE menace le RGPD et l'AI Act

Amnesty International et 126 autres organisations de la société civile ont signé une lettre ouverte dénonçant les propositions de « simplification » de la Commission européenne. Présenté comme un allègement administratif, le paquet Omnibus modifierait en profondeur le RGPD et l'AI Act : redéfinition restrictive des données personnelles, assouplissement des exigences de consentement, exemptions spécifiques pour l'IA qui pourraient permettre aux grandes entreprises technologiques d'exploiter davantage de données personnelles pour l'entraînement des systèmes d'IA. Le report d'au moins un an des obligations clés de l'AI Act est également prévu. Les signataires dénoncent une tentative de « démantèlement déguisé » des protections numériques européennes.

Ce que ça change pour vous — Suivez attentivement l'évolution législative de l'Omnibus : si adopté, il pourrait modifier vos obligations de conformité RGPD et AI Act dès 2027. EU AI Act : guide complet — AI Act : calendrier d'application

9 avril 2026 — AI Act : le Parlement vote le report des obligations haut risque et l'interdiction des nudifiers

Le 26 mars 2026, le Parlement européen a adopté par 569 voix contre 45 le texte du Digital Omnibus sur l'IA, proposant de reporter l'application des obligations relatives aux systèmes d'IA à haut risque. Les systèmes autonomes (annexe III) verraient leur échéance repoussée du 2 août 2026 au 2 décembre 2027, et les systèmes intégrés à des produits réglementés (annexe II) au 2 août 2028. Ce report est justifié par le retard dans la finalisation des normes harmonisées et des outils de conformité. Le texte introduit également une interdiction explicite des systèmes de nudification par IA, qui génèrent des images intimes non consenties. Le Conseil avait adopté sa propre position le 13 mars. Les trilogues entre co-législateurs vont maintenant s'ouvrir.

Suivez de près les trilogues : la date définitive de mise en conformité haut risque pourrait reculer à fin 2027. Adaptez votre feuille de route IA en conséquence. Classification des risques IA : les 4 niveaux du AI Act — EU AI Act : guide complet du règlement européen sur l'IA

5 avril 2026 — Digital Omnibus : la Commission propose de modifier le RGPD et l'AI Act

Présentées le 19 novembre 2025, les deux propositions de règlement du « Digital Omnibus » continuent leur parcours législatif au Parlement européen et au Conseil. Les modifications envisagées pour le RGPD incluent l'exclusion des données pseudonymisées du champ d'application pour faciliter l'entraînement de modèles d'IA, l'intégration des règles cookies directement dans le RGPD avec l'obligation d'un mécanisme de refus aussi simple que l'acceptation, et l'interdiction de redemander le consentement pendant 6 mois après un refus. Côté AI Act, l'entrée en vigueur des obligations pour les systèmes à haut risque (prévue le 2 août 2026) serait reportée de 16 mois maximum. Le CEPD et le CEPD ont publié deux avis conjoints (1/2026 et 2/2026) alertant sur les risques d'affaiblissement des droits fondamentaux et d'insécurité juridique. L'adoption finale est attendue fin 2026, pour une application à partir de 2027-2028.

Ce que ça change pour vous : suivez attentivement les négociations du Digital Omnibus, qui pourraient modifier en profondeur vos obligations RGPD et IA dès 2027. RGPD : faut-il une case à cocher pour obtenir un consentement ? — RGPD : arrêtez de demander le consentement ! — Le consentement RGPD impose-t-il une case à cocher ?

5 avril 2026 — HAS et CNIL : guide IA en santé ouvert à consultation jusqu'au 16 avril

La Haute Autorité de santé (HAS) et la CNIL ont publié conjointement un projet de guide intitulé « IA en contexte de soins », soumis à consultation publique jusqu'au 16 avril 2026. Ce document de référence contient dix fiches pratiques couvrant l'ensemble du cycle de vie d'un système d'IA en milieu médical — de l'acquisition à la désinstallation — ainsi que deux fiches transversales sur la gouvernance et l'IA générative. Les recommandations distinguent les pratiques « standards » (à suivre dans la majorité des cas) et les pratiques « avancées » (pistes d'amélioration). Ce guide s'inscrit dans la convention de partenariat HAS-CNIL signée le 10 mars 2026 et anticipe l'entrée en application du Règlement IA (AI Act) pour les systèmes à haut risque en santé au 2 août 2026. La consultation est ouverte à l'ensemble des acteurs du secteur : établissements de santé, professionnels, associations de patients et fournisseurs de systèmes d'IA.

Ce que ça change pour vous — Si vous déployez ou envisagez un système d'IA en contexte clinique, participez à la consultation avant le 16 avril et utilisez les fiches pratiques comme grille d'auto-évaluation de votre conformité RGPD et AI Act. AIPD pour l'IA : quand et comment réaliser une analyse d'impact — IA et RGPD : les règles applicables au traitement par intelligence artificielle

4 avril 2026 — AI Act : J-120 avant l'échéance haut risque du 2 août 2026

Le 2 août 2026 — dans quatre mois — les obligations de l'AI Act s'appliquent pleinement aux systèmes d'intelligence artificielle à haut risque visés à l'Annexe III du règlement. À cette date, les fournisseurs et déployeurs de systèmes d'IA à haut risque devront disposer d'une documentation technique complète, d'un système de gestion des risques opérationnel, d'une inscription dans la base de données européenne des systèmes d'IA à haut risque et, pour les systèmes commercialisés, du marquage CE. L'Annexe III couvre notamment : la biométrie, les infrastructures critiques, l'éducation et la formation, l'emploi et les ressources humaines, les services essentiels, l'application de la loi, la gestion des migrations et l'administration de la justice. Les sanctions pour non-conformité peuvent atteindre 15 millions d'euros ou 3 % du chiffre d'affaires mondial annuel pour les systèmes haut risque. Moins de 30 % des PME européennes ont entamé une démarche de conformité, selon les estimations sectorielles disponibles à ce jour.

Ce que ça change pour vous — Identifiez sans délai si vos systèmes d'IA relèvent de l'Annexe III de l'AI Act et engagez les travaux de documentation technique, gestion des risques et enregistrement européen pour être en conformité avant le 2 août 2026. EU AI Act : guide complet du règlement européen sur l'intelligence artificielle — IA à haut risque : liste des systèmes et obligations — Documentation technique AI Act : exigences

3 avril 2026 — CNIL : Rémi Stefanini nommé directeur des technologies et de l'IA

La CNIL a annoncé la nomination de Rémi Stefanini au poste de directeur des technologies, de l'innovation et de l'intelligence artificielle (DTIA) à compter du 15 avril 2026. Cette direction pilote les analyses techniques des systèmes IA, les audits de cookies, les travaux sur la portabilité des données et la participation aux instances du Bureau européen de l'IA. Son arrivée coïncide avec la montée en puissance des dossiers IA à la CNIL : enquêtes sur les modèles d'entraînement, mise en œuvre du plan stratégique 2025-2028 et instruction de dossiers relatifs à l'AI Act. Aucune information n'est disponible à ce stade sur les orientations techniques spécifiques qu'il imprimera au poste.

À suivre pour les organisations en dialogue avec la DTIA de la CNIL sur des projets IA ou des demandes d'avis techniques.

26 mars 2026 — AI Act : report des règles IA à hauts risques voté au Parlement européen

Le Parlement européen a adopté le 26 mars 2026, à 569 voix pour et 45 contre, sa position sur le paquet Digital Omnibus consacré à l'IA. Il propose de reporter l'application des règles relatives aux systèmes IA à hauts risques de l'annexe III du 2 août 2026 au 2 décembre 2027. Pour les systèmes relevant de l'annexe I (produits réglementés intégrant de l'IA), la date passerait du 2 août 2027 au 2 août 2028. Le Parlement introduit en parallèle une interdiction explicite des applications « nudifiers » générant des deepfakes à caractère sexuel. Les négociations inter-institutionnelles visent un accord final avant le 28 avril 2026. Concrètement, toute organisation dont le système IA relève de l'annexe III (recrutement, crédit, éducation, justice…) disposera d'un délai supplémentaire de 16 mois pour achever sa mise en conformité — sans que les obligations RGPD ni les interdictions en vigueur de l'Art. 5 AI Act soient remises en cause.

Vérifiez si vos systèmes IA relèvent de l'annexe III ou I de l'AI Act et révisez votre calendrier de conformité. AI Act calendrier : dates clés d'application — Classification des risques IA

3 avril 2026 — Reconnaissance faciale : 5 mois de détention pour erreur algorithmique aux É-U

Angela Lipps, 50 ans, a passé cinq mois en détention aux États-Unis après avoir été confondue avec une suspecte par un système de reconnaissance faciale. Arrêtée dans le Tennessee pour un crime commis à 2 000 km de là dans le Dakota du Nord, elle n'avait jamais mis les pieds dans cet État. L'affaire illustre les risques concrets des erreurs algorithmiques dans les systèmes biométriques utilisés par les forces de l'ordre. En droit européen, l'utilisation de données biométriques à des fins d'identification est strictement encadrée par l'Art. 9 RGPD, qui requiert une base légale explicite et, dans la plupart des cas, une analyse d'impact (AIPD). L'AI Act interdit l'identification biométrique en temps réel dans les espaces publics, sauf exceptions limitées (Art. 5(1)(h) AI Act). Cette affaire renforce la pression pour une réglementation stricte de la biométrie policière en Europe. Voir : proposition de loi française sur l'interdiction de la biométrie et notre guide EU AI Act.

Ce que ça change pour vous : tout traitement de données biométriques à des fins d'identification doit faire l'objet d'une AIPD et d'une base légale explicite au titre de l'Art. 9 RGPD — et rester conforme aux interdictions de l'AI Act. Proposition de loi sur l'interdiction de la biométrie — EU AI Act : guide complet

31 mars 2026 — PANAME : la CNIL et l'ANSSI testent leur outil d'audit RGPD des IA

La CNIL, l'ANSSI, le PEReN et le projet IPoP (INRIA) ont lancé un appel à manifestation d'intérêt pour tester PANAME (Privacy Auditing of AI Models), une bibliothèque logicielle open source destinée à auditer la confidentialité des modèles d'IA au regard du RGPD. L'outil permet de simuler plusieurs scénarios d'attaque connus : inférence d'appartenance (membership inference), inférence d'attributs et reconstruction de données d'entraînement. L'appel à testeurs était ouvert du 26 février au 28 mars 2026. Une première phase de tests se déroulera jusqu'en juin, suivie d'une éventuelle seconde phase. La publication de la bibliothèque open source complète est prévue pour l'automne 2026. Ce projet s'inscrit à l'intersection du RGPD et de l'AI Act.

Suivez la publication de PANAME à l'automne 2026 si vous entraînez ou déployez des modèles d'IA sur des données personnelles — cet outil pourrait devenir le standard d'audit de référence. IA et RGPD : les règles applicables — AIPD pour l'IA : quand et comment réaliser une analyse d'impact

31 mars 2026 — AI Act : 2e version du Code de pratique sur le marquage des contenus IA

La Commission européenne a publié le 5 mars 2026 la deuxième version du Code de pratique sur le marquage et l'étiquetage des contenus générés par l'intelligence artificielle, au titre de l'article 50 de l'AI Act. Ce projet intègre les retours de centaines de participants — industriels, universitaires et société civile — recueillis lors d'ateliers et d'une enquête en janvier 2026. La nouvelle version simplifie l'approche en proposant un marquage à deux niveaux : métadonnées sécurisées et tatouage numérique (watermarking), avec fingerprinting et journalisation optionnels. La période de commentaires s'est clôturée le 30 mars 2026. Le code définitif est attendu début juin 2026, avant l'entrée en application des règles de transparence le 2 août 2026.

Identifiez dès maintenant vos systèmes d'IA générative concernés par les obligations de marquage et commencez à évaluer les solutions de watermarking disponibles. EU AI Act : guide complet du règlement européen — Éthique de l'IA : cadre juridique et obligations

25 février 2026 — AI Act : enforcement GPAI lancé, guidelines haut risque en retard

L'application de l'AI Act pour les modèles d'IA à usage général (GPAI) a officiellement débuté en février 2026, selon l'IAPP et Silicon Canals. La Commission européenne a manqué son propre délai pour publier les lignes directrices sur les systèmes d'IA à haut risque, créant une incertitude pour les organisations en cours de mise en conformité. Le Bureau européen de l'IA (EU AI Office) a créé une task force signataire pour accompagner la conformité avec les règles GPAI (Art. 53 AI Act). Pour les développeurs et déployeurs de systèmes d'IA à haut risque (santé, emploi, crédit, justice), l'absence de guidelines officielles ne suspend pas les obligations : les annexes I et III du règlement définissent les critères applicables. L'intersection avec le RGPD est directe : tout traitement de données personnelles par un système d'IA à haut risque nécessite une AIPD (Art. 35 RGPD) et une base légale robuste.

Vérifier si vos systèmes d'IA relèvent des catégories à haut risque (Annexe III AI Act) et documenter la conformité même en l'absence de guidelines finales. EU AI Act : guide complet — Éthique de l'IA : cadre juridique — AIPD pour l'IA

25 mars 2026 — CNIL : Rémi Stefanini nommé directeur des technologies et de l'IA

La CNIL a annoncé le 25 mars 2026 la nomination de Rémi Stefanini au poste de directeur des technologies, de l'innovation et de l'intelligence artificielle (DTIA). Il prendra ses fonctions le 15 avril 2026. Cette direction, créée pour renforcer l'expertise technique de l'autorité, joue un rôle central dans l'accompagnement de la mise en œuvre du règlement européen sur l'IA (AI Act) et dans les travaux de la CNIL sur les enjeux de protection des données liés à l'intelligence artificielle.

Cette nomination intervient dans un contexte de montée en puissance des sujets IA au sein de la CNIL, qui multiplie les publications sur l’encadrement des modèles d’IA, les analyses d’impact et les outils d’audit RGPD appliqués à l’IA.

Nomination à suivre : la direction DTIA de la CNIL sera un interlocuteur clé pour les entreprises déployant des systèmes d'IA soumis au RGPD et à l'AI Act. AIPD pour l'IA : quand et comment réaliser une analyse d'impact — EU AI Act : guide complet du règlement européen sur l'intelligence artificielle

26 mars 2026 — AI Act : les eurodéputés repoussent les échéances et interdisent les deepfakes sexuels

Le Parlement européen vote un amendement au règlement Omnibus qui repousse certaines échéances de l’AI Act et introduit une interdiction explicite des deepfakes à caractère sexuel non consenti. Le report des échéances donne plus de temps aux entreprises pour se conformer, mais l’interdiction des deepfakes sexuels entre en vigueur immédiatement et s’applique à tous les fournisseurs et déployeurs de systèmes d’IA dans l’UE. Le lien RGPD est direct : les deepfakes constituent un traitement de données biométriques (art. 9 RGPD).

Ce que ça change pour vous : vérifiez que vos systèmes d’IA ne peuvent pas générer de deepfakes non consentis, et mettez à jour votre calendrier de conformité AI Act. EU AI Act : guide complet du reglement europeen sur l'intelligence artificielle — AI Act calendrier : dates cles d'application

12 mars 2026 — AI Act Omnibus : les eurodéputés parviennent à un accord préliminaire

Les membres du Parlement européen ont atteint un accord préliminaire sur le volet IA du règlement Omnibus. L’accord prévoit un report de certaines échéances de l’AI Act pour les PME et une clarification des règles applicables aux modèles d’IA à usage général (GPAI). Les obligations de transparence et de gestion des risques pour les systèmes d’IA à haut risque restent en l’état. L’intersection avec le RGPD demeure un sujet clé : les données d’entraînement des modèles d’IA restent soumises aux obligations de protection des données personnelles.

Ce que ça change pour vous : suivez l’évolution du calendrier AI Act, particulièrement si vous déployez des systèmes d’IA à haut risque. Documentation technique AI Act : exigences — EU AI Act : guide complet du reglement europeen sur l'intelligence artificielle

2 mars 2026 — L’ANSSI lance un AMI pour un outil d’audit RGPD des modèles d’IA

L’ANSSI publie un appel à manifestation d’intérêt pour le développement d’un outil d’audit de conformité RGPD spécifiquement conçu pour les modèles d’intelligence artificielle. L’initiative traduit la prise de conscience des régulateurs français que les modèles d’IA posent des défis spécifiques en matière de protection des données : données d’entraînement, minimisation, droit à l’effacement. Cet outil devra couvrir les obligations croisées RGPD et AI Act.

Ce que ça change pour vous : si vous développez ou déployez des modèles d’IA, anticipez les audits RGPD spécifiques qui arriveront avec ce type d’outil. Audit RGPD : tarifs, methodes et comment reduire les couts — Logiciel RGPD : comparatif complet des solutions de conformite 2026