/image%2F1431211%2F20170927%2Fob_46a20f_smartcities.jpg)
par Philippe Salaün, Président de l'AFCDP.
Le possible report de certaines obligations de l’AI Act à l’horizon 2027-2028 suscite autant d’espoirs que d’interrogations. Faut-il y voir une respiration bienvenue pour les organisations, ou le risque d’un relâchement dans la protection des données et la maîtrise des systèmes d’intelligence artificielle ?
À première vue, ce décalage du calendrier peut apparaître comme un véritable ballon d’oxygène. Alors que les entreprises, notamment les PME, peinent encore à appréhender l’ampleur des exigences à venir, ce temps supplémentaire offre une opportunité précieuse : celle d’intégrer progressivement les nouvelles obligations, de structurer les démarches de conformité et d’investir de manière plus ciblée. Certaines simplifications, notamment documentaires, pourraient également contribuer à rendre le cadre plus accessible.
Mais ce répit est ambigu. Il ne doit en aucun cas être interprété comme un signal de tolérance ou, pire, comme un droit à différer l’action. Car l’inaction aujourd’hui pourrait être perçue demain comme un choix délibéré face à une réglementation largement anticipée ! D’autant que ces reports restent, à ce stade, incertains. Parier sur un calendrier assoupli serait donc une stratégie risquée.
Au fond, l’AI Act ne constitue pas une rupture, mais bien une extension logique du RGPD. Il en prolonge les principes fondateurs (transparence, proportionnalité, limitation des finalités) en les appliquant aux systèmes d’intelligence artificielle. Là où il marque une évolution notable, c’est dans son approche résolument centrée sur le risque, en particulier pour les systèmes manipulant des données sensibles ou produisant des décisions à fort impact.
Cette continuité transforme en profondeur le rôle du Délégué à la protection des données (DPO). Déjà acteur clé de la gouvernance des données, il devient désormais un pivot de la conformité des systèmes d’IA. Son champ d’action s’élargit : identification des systèmes concernés, pilotage des analyses d’impact, articulation des registres existants avec les nouvelles exigences, contrôle des fournisseurs et sous-traitants. Plus encore, il s’impose comme une vigie des décisions automatisées, à la croisée des enjeux juridiques, techniques et opérationnels.
Cependant, un autre risque se profile : celui d’un décalage entre le rythme de la régulation et celui des usages. Les cyberattaques se multiplient, les technologies d’IA se diffusent rapidement, et les impacts (biais, erreurs, deepfakes...) sont déjà bien réels. Reporter les efforts de mise en conformité, c’est aussi retarder la correction de vulnérabilités existantes et potentiellement amplifier leurs conséquences.
C’est précisément sur ce point que les autorités, notamment la CNIL, se montrent particulièrement vigilantes : le temps réglementaire ne doit pas devenir un temps mort opérationnel. Au contraire, il doit être mis à profit pour avancer concrètement, tester, sécuriser et structurer les pratiques.
En définitive, ce calendrier plus souple ne doit pas être vu comme une pause, mais comme une phase d’anticipation stratégique. Les organisations doivent s’en saisir dès aujourd’hui ; pas seulement pour faire œuvre de conformité, mais pour se construire un avantage durable, dans un environnement où la confiance numérique devient un facteur clé de différenciation.
/image%2F1431211%2F20260409%2Fob_c3aaee_portrait-henri-bergeron-st-thomas.jpg)
/image%2F1431211%2F20260407%2Fob_e5bd01_69392086-48538486.jpg)
/image%2F1431211%2F20260406%2Fob_20eeb1_screenshot-2026-04-06-at-14-41-20-2309.png)
/image%2F1431211%2F20260220%2Fob_cc6db7_screenshot-2026-02-20-at-11-31-08-pre.png)
/image%2F1431211%2F20260409%2Fob_c3aaee_portrait-henri-bergeron-st-thomas.jpg)
/image%2F1431211%2F20260407%2Fob_e5bd01_69392086-48538486.jpg)
/image%2F1431211%2F20260406%2Fob_20eeb1_screenshot-2026-04-06-at-14-41-20-2309.png)
/image%2F1431211%2F20260402%2Fob_756558_philippe-salaun-credit-photo-philipp.jpg)
Commenter cet article