5 décisions stratégiques pour votre TPE ou PME après le report de l'AI Act (Digital Omnibus mai 2026)

Le 7 mai 2026, l'accord trilogue sur le Digital Omnibus on AI a officialisé un report qui change la donne pour les PME concernées par l'annexe III du règlement IA. Les obligations renforcées sur les systèmes haut risque — recrutement, scoring de solvabilité, biométrie, accès aux services essentiels — basculent du 2 août 2026 au 2 décembre 2027. Seize mois de sursis. La presse a parlé d'une « bonne nouvelle pour les PME ».

Le piège mental est exactement là. Report ne veut pas dire pause. Dans la majorité des cas, continuer comme avant pendant 16 mois revient à payer plus cher la même conformité — soit en urgence en novembre 2027, soit dès 2026 à cause de la pression commerciale des grands clients B2B, qui n'attendent jamais que le législateur arrive.

Cet article ne reprend pas le détail du calendrier ni du contenu du règlement : on en a déjà parlé dans notre guide AI Act pour TPE et PME. Ici, on parle décision. Cinq choix concrets que vous devez faire dans les 30 prochains jours — pas dans 19 mois — pour transformer le sursis en avantage stratégique au lieu d'en faire un piège différé.

Sommaire

• Le report en 30 secondes : ce qu'il faut retenir
• Décision n°1 : Faut-il geler vos investissements haut risque ?
• Décision n°2 : Vos contrats B2B exigent-ils déjà la conformité ?
• Décision n°3 : Profitez-vous du sursis pour pivoter ou pour subir ?
• Décision n°4 : Charte IA et inventaire — maintenant ou en 2027 ?
• Décision n°5 : Faut-il changer de fournisseur d'IA ?
• Le coût stratégique du report : 3 scénarios chiffrés pour Émilie

Le report en 30 secondes : ce qu'il faut retenir

L'accord trilogue du 7 mai 2026 modifie le règlement (UE) 2024/1689 sur deux points seulement :

1. Les obligations renforcées de l'annexe III (recrutement, scoring de solvabilité, biométrie, services essentiels) passent du 2 août 2026 au 2 décembre 2027.
2. Tout le reste reste inchangé : article 4 (littératie IA) déjà applicable depuis février 2025, article 50 (transparence), article 99 (sanctions). Ces obligations restent dues au 2 août 2026.

Pour le détail des 5 obligations déployeur, du calendrier en deux horizons, et des sanctions du palier PME, lisez notre guide AI Act pour TPE et PME. La suite de cet article suppose que vous savez déjà où vous vous situez : déployeur, et probablement en annexe III si vous avez un outil de scoring, de recrutement ou d'estimation automatisée qui touche des personnes physiques.

Faisons connaissance avec Émilie Vidal, 39 ans. Elle dirige une agence immobilière indépendante à Nantes : neuf salariés, 1,4 million d'euros de chiffre d'affaires annuel. Depuis fin 2024, son équipe utilise un outil d'IA d'aide à la décision pour pré-trier les candidatures locataires (environ 120 dossiers par mois). Le système attribue un score de solvabilité, détecte les anomalies dans les pièces justificatives, et propose un classement aux gestionnaires locatifs. Selon l'annexe III, point 5(b) du règlement, son outil est sans ambiguïté en haut risque — c'est précisément la définition d'un système destiné à évaluer la solvabilité de personnes physiques. Émilie est donc l'archétype de la cible directe du report. Elle gagne 16 mois. La question : qu'en fait-elle ?

Décision n°1 : Faut-il geler vos investissements haut risque ?

Le réflexe naturel d'une dirigeante qui apprend un report de 16 mois : « je dépriorise, j'attends novembre 2027. » Émilie l'a dit textuellement à son DPO mutualisé lors d'une réunion mi-mai : « On a 19 mois. On peut redéployer ce budget sur le commercial. »

C'est l'erreur stratégique classique. Le coût d'une mise en conformité étalée sur 18 mois (1 journée par semaine de la direction adjointe + 4 000 € d'audit externe + outillage progressif) n'a rien à voir avec le coût d'un sprint de 4 mois en urgence en juillet 2027 (15 à 20 jours équivalent temps plein + 12 000 € de cabinet en mode urgence + interruption commerciale forcée). Le coût total est multiplié par 3 à 4 sur la même obligation, juste à cause du temps comprimé.

La vraie question n'est pas quand commencer, c'est à quel rythme étaler. Pour Émilie : commencer par l'inventaire (1 journée) et la charte (2 journées) dès juin 2026, puis étaler le reste — logs 6 mois (article 26.6), supervision humaine documentée (art. 26.2), droit à l'explication (art. 86) — sur les 18 mois suivants. Total maîtrisé : environ 6 000 € de coûts externes + 12 jours internes répartis. Versus 14 000 € + 18 jours concentrés si elle attend.

Décision n°2 : Vos contrats B2B exigent-ils déjà la conformité ?

Le report légal n'efface pas la pression commerciale. Et c'est cette pression-là qui frappe en premier.

Depuis fin 2025, les directions achats des grands comptes (banques, assureurs, foncières, collectivités) intègrent des clauses d'attestation AI Act dans leurs appels d'offres et dans leurs renouvellements de contrats fournisseurs. Pas en 2027 : maintenant. Le raisonnement des directions juridiques est simple : on inscrit l'attestation dans le contrat fournisseur dès aujourd'hui pour sécuriser leur propre conformité au moment où elle deviendra exigible. Plusieurs analyses de cabinets internationaux comme IAPP confirment cette tendance dans les appels d'offres B2B de 2026.

Émilie facture environ 35 % de son CA à des bailleurs institutionnels (foncières, SCPI, gestion patrimoniale pour compte de tiers). Si l'un de ces clients exige une attestation de conformité AI Act dans son prochain renouvellement de contrat — typiquement en janvier 2027 — Émilie ne pourra pas répondre « j'ai jusqu'à décembre 2027 selon le Digital Omnibus ». Soit elle a déjà mis en place les preuves (registre déployeur, supervision humaine documentée, transparence client), soit elle perd potentiellement 490 000 € de CA. Aucune renégociation possible à ce stade.

Action en 30 jours pour Émilie : sortir la liste de ses 5 à 10 clients B2B les plus importants. Vérifier si leurs derniers contrats contiennent déjà des clauses IA. Demander à leurs directions achats si une mise à jour est prévue. Une réponse explicite "oui" sur un seul de ces clients = la conformité haut risque devient un sujet 2026, pas 2027, indépendamment du Digital Omnibus.

Décision n°3 : Profitez-vous du sursis pour pivoter ou pour subir ?

Deux postures s'offrent à une PME qui se sait en annexe III.

Posture A — Minimiser. Cocher les cases dans l'ordre. Faire le strict minimum pour passer le contrôle. Dépenser le moins possible. Coût initial 5 000 à 8 000 €, documents internes uniquement, aucun effet commercial.

Posture B — Maximiser. Faire de la conformité un argument commercial. Communiquer aux clients que l'outil utilisé chez vous est documenté, supervisé, auditable. Transformer une obligation subie en différenciation. Coût initial 9 000 à 12 000 €, documents internes + page web client + attestation fournisseur, et un effet commercial estimé entre +3 et +5 % de CA sur les clients B2B sensibles.

Émilie a choisi la posture B dès juin 2026. Elle a investi 3 000 € de plus dès le départ pour produire une page web "Notre utilisation de l'IA" transparente, alignée sur la doctrine CNIL sur l'IA. Six mois plus tard, deux de ses bailleurs institutionnels lui ont écrit : « On va prioriser les agences qui documentent leur usage IA. La vôtre est exemplaire. » Un contrat de 80 000 € de gestion locative externalisée a été signé sur cette base.

Vous voulez savoir où votre PME se situe sur ces 3 horizons (RGPD, AI Act, facture-é) ? Le diagnostic Velvyno prend 2 minutes, sans inscription, sans carte bancaire, sans donnée personnelle → /diagnostic.

Décision n°4 : Charte IA et inventaire — maintenant ou en 2027 ?

Ces deux documents méritent un traitement à part. Ils ne sont pas optionnels, et leur préparation ne dépend pas du report.

L'inventaire IA est exigé par l'article 26 du règlement pour tous les déployeurs, quelle que soit la classification de risque. Sans inventaire à jour, vous ne pouvez pas classifier vos systèmes — donc vous ne pouvez pas savoir si vous êtes en annexe III ou pas. C'est la base de toute conformité AI Act. Vingt minutes pour la version 1 d'un solo, 1 journée pour une PME de 9 salariés comme l'agence d'Émilie.

La charte IA n'est pas exigée explicitement par le règlement. Mais elle est la seule réponse opérationnelle à un risque RH qui n'a rien à voir avec le report : les salariés qui utilisent ChatGPT, Claude ou Copilot sans cadre interne, et qui partagent des données confidentielles avec ces outils, déclenchent des risques RGPD bien plus immédiats que l'AI Act lui-même. Émilie a découvert mi-2025 qu'un de ses commerciaux copiait des fiches locataires dans ChatGPT pour rédiger des emails plus rapides. Cas RGPD type — sans rapport avec le report.

→ Charte IA et inventaire IA, à rédiger maintenant. Indépendamment du Digital Omnibus.

Décision n°5 : Faut-il changer de fournisseur d'IA ?

Le report donne aussi 16 mois pour évaluer les alternatives. La question n'est pas anodine : si votre fournisseur d'IA n'est pas lui-même aligné sur le règlement (article 13 sur la documentation technique, article 16 sur le marquage CE pour le haut risque), c'est vous qui prenez le risque en tant que déployeur. Aucune clause contractuelle ne renvoie cette responsabilité.

Critères de tri à appliquer dans les 90 prochains jours :

1. Documentation technique disponible ? Votre fournisseur fournit-il les éléments de l'article 13 (caractéristiques du modèle, limites, performance attendue) ?
2. Marquage CE prévu ? Si votre système est haut risque, le fournisseur s'engage-t-il à le produire avant décembre 2027 ?
3. Localisation EU ou US ? Un fournisseur européen traite généralement plus simplement les exigences RGPD croisées (article 22 sur la décision automatisée).
4. Données d'entraînement traçables ? Le fournisseur peut-il vous dire sur quoi le modèle a été entraîné ? Sinon, votre transparence article 50 sera bancale.
5. Audit de biais ? Pour le scoring de solvabilité comme celui de l'agence d'Émilie, c'est la question centrale, comme le rappelle l'AI Office de la Commission européenne.

Émilie a découvert en juin 2026 que son fournisseur actuel (une startup américaine fondée en 2022) ne fournissait aucune documentation technique pertinente. Décision prise : migration vers un fournisseur européen alternatif (3 candidats identifiés) avant juin 2027. Coût de migration estimé : 6 000 € + 2 mois de transition. Économisé en cas de sanction article 99 : entre 50 000 et 200 000 € au palier PME, sans compter le coût réputationnel.

Le coût stratégique du report : 3 scénarios chiffrés pour Émilie

Faisons le calcul pour Émilie sur 18 mois, à trois vitesses différentes.

Scénario A — "Je ne fais rien jusqu'à décembre 2027"

• Sprint conformité urgence en novembre 2027 (15j ETP + cabinet) : 14 000 €
• Perte de 2 contrats B2B exigeants en cours de route : 110 000 €
• Surcoût migration fournisseur en urgence : 9 000 €
• Risque sanction non-conformité si contrôle anticipé : 30 000 € (espérance)
• Total exposition : ≈ 163 000 €

Scénario B — "J'étale sur 18 mois"

• Audit conformité + outillage progressif : 6 000 €
• Migration fournisseur planifiée (juin 2027) : 6 000 €
• Heures internes étalées : 5 000 € équivalent
• Total exposition : ≈ 17 000 €

Scénario C — "Je sprinte comme si pas de report (4 mois)"

• Audit + déploiement complet en 4 mois : 11 000 €
• Effet commercial positif court terme : -3 000 € (gain net)
• Heures internes concentrées (entrave commerce) : 7 500 € équivalent
• Total exposition : ≈ 15 500 €

Le scénario B est le plus rationnel — et c'est exactement celui que rend possible le Digital Omnibus. Le scénario A multiplie par 10 le coût total. Le scénario C est légèrement plus efficace mais à un coût opérationnel plus dur. Le report n'est utile que pour Émilie qui choisit le scénario B. Pour celles qui choisissent le scénario A, le report devient un piège — exactement ce que disait l'introduction.

Checklist : 5 actions à faire dans les 30 prochains jours

1. Cette semaine — Faire l'inventaire de vos systèmes IA (20 minutes à 1 journée selon taille). Si vous ne savez pas si vous êtes en annexe III, vous ne pouvez rien décider.
2. Dans 7 jours — Demander à vos 5 plus gros clients B2B s'ils ont prévu une clause AI Act dans leur prochain renouvellement de contrat. Un seul oui change votre calendrier.
3. Dans 14 jours — Rédiger une charte IA interne (2 journées). Indépendamment du report — c'est un sujet RH/RGPD immédiat.
4. Dans 21 jours — Évaluer 3 fournisseurs alternatifs si vous avez un système haut risque. La migration prend 6 à 9 mois en moyenne, donc démarrer maintenant pour finir avant juin 2027.
5. Dans 30 jours — Décider votre posture (A minimiser, B maximiser) et budgétiser sur 18 mois. Le pire serait de rester en posture indécise jusqu'en 2027.

Questions fréquentes

Le report concerne-t-il aussi les sanctions ?

Non. L'article 99 du règlement, qui prévoit le régime des sanctions, n'est pas touché par le Digital Omnibus. Les montants (jusqu'à 35 millions d'euros ou 7 % du CA mondial pour les pratiques interdites, montants réduits pour les PME selon le palier) restent inchangés et applicables au 2 août 2026 — mais uniquement sur les obligations applicables au 2 août 2026 (transparence article 50, littératie article 4, gouvernance). Les sanctions sur les obligations renforcées haut risque (article 26) s'appliquent à partir du 2 décembre 2027.

Mes clients B2B vont-ils accepter un report ?

Sur les contrats avec grands comptes ou collectivités, non. Les directions achats des banques, assureurs et collectivités ont des politiques de gestion du risque qui suivent rarement les reports européens — elles intègrent l'exigence dès qu'elle est anticipable. Sur le terrain : les clauses d'attestation AI Act sont déjà présentes dans une proportion croissante des appels d'offres fournisseurs B2B observés au premier trimestre 2026. Le décalage entre échéance légale et exigence commerciale est la principale source de coût caché du report.

Si je migre vers un outil non haut risque, je perds combien ?

Cela dépend du gain opérationnel actuel. Pour Émilie, son outil de scoring locataire fait gagner environ 30 minutes par dossier sur 120 dossiers/mois — soit 60 heures économisées, environ 1 800 € de valeur opérationnelle interne mensuelle. Migrer vers un outil non haut risque (sans scoring automatique, juste de l'aide à la lecture) ferait perdre cet avantage mais éviterait toutes les obligations article 26. Bilan sur 5 ans : la conformité coûte environ 25 000 €, le gain opérationnel sur la même durée environ 108 000 €. La migration vers du non haut risque est rarement rentable — sauf pour les usages marginaux.

Le report sera-t-il étendu à nouveau ?

Improbable. Le Digital Omnibus a déjà été obtenu après une bataille difficile entre Commission, Conseil et Parlement, sur des arguments économiques solides (compétitivité européenne, étalement des coûts pour les PME). Un nouveau report serait perçu comme un recul réglementaire majeur — politiquement coûteux pour la Commission, qui a investi son crédibilité sur l'AI Act. Anticiper un nouveau report serait une mauvaise stratégie. Le 2 décembre 2027 doit être traité comme l'horizon réel.

Conclusion

Le Digital Omnibus on AI n'est ni une bonne ni une mauvaise nouvelle en soi. C'est un outil stratégique neutre que chaque dirigeante de PME doit décider comment utiliser. Pour Émilie qui choisit d'étaler sa mise en conformité sur 18 mois, c'est 145 000 € d'exposition économisés. Pour celle qui interprète "report" comme "annulation" et qui attend novembre 2027, c'est 145 000 € de coût caché.

La différence entre les deux ne se joue pas sur la connaissance du texte légal — ça, on l'a déjà couvert dans notre guide AI Act pour TPE et PME. Elle se joue sur les décisions stratégiques prises dans les 30 prochains jours, alors que le sujet semble froid. Pour aller plus loin sur les obligations connexes qui convergent en 2026-2027, on a aussi couvert en détail le RGPD pour TPE et PME et la facture électronique TPE/PME dans le blog.