Le règlement IA de l'UE pour l'ecommerce après le report de mai 2026 : ce qui reste obligatoire, ce qui est repoussé, et quoi faire avant décembre

Si vous gérez une boutique ecommerce qui sert des clients de l'UE et que vous avez un chatbot IA, un assistant d'achat, ou du contenu produit généré par IA, vous avez probablement lu que le règlement IA de l'UE atteint une deadline ferme le 2 août 2026. Vous avez peut-être aussi lu, plus récemment, que la deadline a été reportée. Les deux sont en partie vrais, et l'écart entre les deux cause beaucoup de mauvaise planification.

Voici ce qui s'est réellement passé. Le 7 mai 2026, les législateurs de l'UE ont atteint un accord politique sur des révisions du règlement IA via le paquet Digital Omnibus. Les révisions repoussent les obligations les plus lourdes, celles pour les systèmes d'IA à haut risque. Mais les obligations de transparence qui affectent le plus directement l'ecommerce, les règles sur les chatbots IA et le contenu généré par IA, n'ont pas été repoussées aussi loin. Le report de la transparence du contenu généré par IA a été réduit à trois mois, plaçant la conformité au 2 décembre 2026.

Donc le titre "la deadline du règlement IA a été reportée" est vrai pour les systèmes à haut risque et trompeur pour l'ecommerce. La plupart des boutiques ne font pas tourner d'IA à haut risque. La plupart des boutiques font tourner de l'IA à risque limité : un chatbot, un moteur de recommandation, des descriptions produit écrites par IA. Pour cette catégorie, la date pertinente est passée d'août 2026 à décembre 2026, pas à 2027 ou 2028.

Ce post est un compte en langage clair de ce qu'une entreprise ecommerce doit réellement faire, ce qui a été reporté et ce qui ne l'a pas été, et une checklist pratique pour les mois entre maintenant et décembre. Ce n'est pas un conseil juridique ; nous sommes une agence technique, pas un cabinet d'avocats, et vous devriez confirmer les spécificités avec un juriste. Mais la forme technique et opérationnelle de la conformité est quelque chose que nous pouvons exposer clairement.

Les niveaux de risque, et où se place l'ecommerce

Le règlement IA trie les systèmes d'IA en quatre niveaux, et vos obligations évoluent avec le niveau.

Risque inacceptable : systèmes interdits purement et simplement. Notation sociale, IA manipulatrice qui exploite les vulnérabilités. Les interdictions sont applicables depuis février 2025. Quasiment aucune boutique ecommerce n'est dans ce niveau, même s'il vaut la peine de savoir que l'IA qui manipule ou exploite des groupes vulnérables, y compris par des choix de design qui exploitent les mineurs ou la vulnérabilité financière, est interdite, pas seulement régulée.

Haut risque : systèmes qui portent les obligations les plus lourdes : systèmes de gestion des risques, gouvernance des données, documentation technique, supervision humaine, évaluations de conformité, marquage CE, enregistrement à la base de données de l'UE. C'est le niveau dont le Digital Omnibus de mai 2026 a repoussé les deadlines, dans certains cas à décembre 2027 et août 2028. La plupart de l'IA ecommerce n'est pas à haut risque. Le haut risque couvre l'IA utilisée dans les décisions d'emploi, les décisions de crédit, l'éducation, les infrastructures critiques, l'application de la loi. Un moteur de recommandation produit standard ou un chatbot de support n'est généralement pas à haut risque.

Risque limité : c'est là que se place la plupart de l'IA ecommerce. Chatbots, assistants d'achat, contenu généré par IA. L'obligation ici est la transparence : les gens doivent être informés qu'ils interagissent avec une IA, et le contenu généré par IA doit être identifiable. Ce niveau n'a pas eu le long report. Les règles de transparence sous l'Article 50 prennent effet, la partie contenu généré par IA arrivant au 2 décembre 2026.

Risque minimal : tout le reste, filtres anti-spam, personnalisation basique, prévision de stock. Largement non régulé.

Le point pratique à retenir : déterminez lesquels de vos systèmes d'IA sont à risque limité, parce que c'est le niveau avec une deadline à court terme et le niveau auquel presque chaque boutique a une exposition.

Ce qu'une boutique ecommerce doit typiquement faire

Retirez le langage juridique et les obligations pour une boutique typique avec de l'IA à risque limité se résument à une courte liste.

Divulguer l'interaction IA. Si un client parle à un chatbot IA ou un assistant d'achat, le système doit rendre clair qu'il interagit avec une IA, pas un humain. Ce n'est pas une ligne enterrée dans les conditions générales. Cela doit être évident au point d'interaction. Pour la plupart des boutiques c'est un changement d'UI : un label, un message d'introduction, un indicateur persistant.

Étiqueter le contenu généré par IA. Là où l'IA génère du contenu qu'un client voit, descriptions produit écrites par IA, images générées par IA, copy marketing produite par IA, ce contenu doit être identifiable comme généré par IA. Le mécanisme, watermarking, métadonnées, labels visibles, fait l'objet d'un Code de Pratique que la Commission a émis ; la date du 2 décembre 2026 est spécifiquement la deadline de transparence pour le contenu généré par IA.

Garder de la documentation. Même pour les systèmes à risque limité, vous devriez pouvoir dire quels systèmes d'IA vous faites tourner, ce qu'ils font, quelles données ils utilisent, et quelles sont leurs sorties. C'est plus léger que le fardeau de documentation technique du haut risque, mais "nous n'avons aucune idée de quelle IA tourne sur notre boutique" n'est pas une position défendable.

Comprendre que vous êtes un déployeur, pas seulement un acheteur. C'est le point que la plupart des boutiques ratent. Le règlement IA place des obligations à la fois sur les fournisseurs (l'entreprise qui a construit l'IA) et les déployeurs (vous, la boutique qui utilise l'IA). Votre fournisseur de chatbot a ses propres obligations de fournisseur, mais vous êtes indépendamment responsable des divulgations de transparence, de l'usage approprié du système, et de la supervision humaine. Vous ne pouvez pas externaliser complètement la conformité en achetant un outil. Demandez la documentation de conformité à vos fournisseurs, mais construisez votre propre programme.

Ce qui a été reporté et ce qui ne l'a pas été

Parce que la couverture médiatique a été embrouillée, voici la version propre.

Reporté significativement : les obligations des systèmes à haut risque sous l'Annexe III. Le Digital Omnibus lie le démarrage de ces obligations à la disponibilité de normes techniques harmonisées, et comme ces normes ne sont pas attendues prêtes pour août 2026, l'effet pratique est un report vers décembre 2027 pour les systèmes à haut risque nouveaux ou substantiellement modifiés, et plus loin pour certaines obligations sectorielles. Si vous faites d'une manière ou d'une autre tourner de l'IA à haut risque, vous avez eu une vraie marge de respiration.

Reporté seulement légèrement : l'obligation de transparence pour le contenu généré par IA. Le report a été réduit de six mois à trois, plaçant la conformité au 2 décembre 2026.

Pas reporté : les interdictions sur les pratiques à risque inacceptable, applicables depuis février 2025. Les obligations sur les modèles d'IA à usage général, en vigueur depuis août 2025. Et le principe de transparence de base que les gens doivent savoir quand ils ont affaire à une IA.

Aussi bon à savoir : le Digital Omnibus étend une partie du soulagement précédemment disponible seulement pour les PME à une classe plus large de petites entreprises mid-cap, incluant la documentation technique simplifiée et la prise en compte dans l'application des pénalités. Si vous êtes une entreprise de taille moyenne, c'est réellement utile, même si cela compte surtout pour le niveau haut risque.

L'effet net pour une boutique ecommerce normale : vos obligations de transparence chatbot et contenu IA sont réelles et arrivent en décembre 2026. Les obligations effrayantes de haut risque ne s'appliquaient probablement jamais à vous, et si elles le faisaient, elles ont été repoussées.

Les pénalités, en proportion

Les chiffres qui circulent sont gros : jusqu'à 35 millions d'euros ou 7 pour cent du chiffre d'affaires mondial pour les pratiques interdites, 15 millions ou 3 pour cent pour la non-conformité haut risque, 7,5 millions ou 1 pour cent pour la fourniture d'informations trompeuses aux régulateurs.

Deux choses à garder en proportion. D'abord, les chiffres les plus élevés se rattachent au niveau des pratiques interdites, que quasiment aucune boutique ecommerce ne touche. Ensuite, l'application des obligations de transparence pour une petite boutique faisant tourner un chatbot étiqueté n'est pas là où les régulateurs vont concentrer leur attention. Le risque réaliste pour une boutique typique n'est pas une amende qui fait la une ; c'est d'être non conforme d'une manière qui ressort pendant une due diligence, un partenariat, une acquisition, la revue fournisseur d'un client enterprise, et qui devient un problème au pire moment.

La réponse proportionnée n'est pas la panique. C'est de faire la checklist risque limité correctement et à temps, de garder la documentation, et de ne pas traiter "nous avons acheté un outil" comme la fin de l'obligation.

La checklist pratique de maintenant à décembre

Voici ce que nous ferions faire à une boutique ecommerce dans les mois avant la deadline de transparence de décembre 2026.

• Inventoriez votre IA. Listez chaque système d'IA qui touche votre boutique et vos clients : chatbot, assistant d'achat, moteur de recommandation, génération de descriptions produit par IA, génération d'images par IA, personnalisation d'emails ou de pubs pilotée par IA. Incluez ceux embarqués dans les apps et plateformes que vous n'avez pas construites.
• Classifiez chacun. Pour chaque système, déterminez le niveau de risque. La plupart seront à risque limité ou minimal. Si quelque chose semble à haut risque, c'est celui sur lequel obtenir l'avis d'un juriste.
• Corrigez l'UX de divulgation. Pour toute IA face au client, surtout les chatbots et assistants d'achat, rendez l'interaction IA évidente au point d'usage. C'est généralement un changement front-end : un label, un message d'ouverture, un indicateur persistant.
• Étiquetez le contenu généré par IA. Décidez et implémentez comment la copy produit, les images et le contenu marketing générés par IA sont identifiés. Alignez-vous sur le Code de Pratique de la Commission sur la transparence du contenu généré par IA.
• Collectez la documentation des fournisseurs. Demandez à chaque fournisseur d'IA sa documentation de conformité et sa déclaration d'obligations de fournisseur. Gardez-la en dossier. Cela ne libère pas vos obligations de déployeur, mais vous en avez besoin.
• Écrivez votre propre documentation légère. Un registre interne simple : quelle IA vous faites tourner, ce qu'elle fait, quelles données elle utilise, ce qu'elle produit, qui en est propriétaire. Plus léger que la documentation technique du haut risque, mais cela doit exister.
• Assignez la supervision humaine. Pour l'IA face au client, définissez comment un humain peut revoir, intervenir dans, ou outrepasser le système. Documentez qui c'est.
• Confirmez les spécificités avec un juriste. La forme ci-dessus est technique et opérationnelle. Les spécificités juridiques, surtout les cas limites autour de ce qui compte comme haut risque pour votre configuration particulière, nécessitent un juriste qui suit cela.

L'essentiel de cela représente quelques jours de travail pour une boutique typique, concentrés dans l'UX de divulgation et l'étiquetage du contenu généré par IA. L'étape d'inventaire et de classification est celle que les équipes sautent et celle qui rend le reste possible : vous ne pouvez pas être conforme pour des systèmes d'IA que vous n'avez pas inventoriés.

Où cela recoupe ce que vous faites déjà

Si vous êtes une boutique de l'UE, vous avez fait le travail RGPD. Vous avez peut-être fait le Consent Mode V2. Le travail de conformité au règlement IA est adjacent aux deux et réutilise les mêmes muscles : savoir quels systèmes vous faites tourner, savoir quelles données circulent à travers, pouvoir le documenter, et être honnête avec les clients sur ce qui se passe.

Le travail de divulgation du chatbot en particulier ressort souvent pendant la même revue que le travail de consentement et de tracking. Si vous revisitez déjà votre configuration de tracking côté serveur et consentement, intégrer l'UX de divulgation IA dans ce passage est efficace. Et si votre chatbot IA s'avère avoir besoin d'être reconstruit, pour ajouter une divulgation correcte, ajouter la supervision humaine, corriger l'étiquetage, c'est un projet de logiciel sur mesure, et il vaut le coup d'être cadré délibérément plutôt que de coller un avertissement sur un outil qui n'a pas été construit avec cela en tête.

FAQ

Mon moteur de recommandation produit est-il à haut risque sous le règlement IA ?

Généralement non. Le haut risque sous l'Annexe III couvre l'IA utilisée dans des domaines comme l'emploi, le crédit, l'éducation et les infrastructures critiques. Un moteur de recommandation ecommerce standard est typiquement à risque limité ou minimal. L'exception qui vaut la vérification d'un juriste est tout ce qui pourrait être lu comme manipulateur ou comme exploitant des groupes vulnérables, qui est traité beaucoup plus strictement.

Dois-je faire quoi que ce soit si mon chatbot vient d'un gros fournisseur qui gère la conformité ?

Oui. Le règlement IA place des obligations indépendantes sur vous en tant que déployeur, séparées des obligations de fournisseur de votre fournisseur. La conformité du fournisseur ne libère pas la vôtre. Vous avez toujours besoin de l'UX de divulgation, des pratiques d'usage approprié et de la supervision humaine. Obtenez la documentation du fournisseur, mais construisez votre propre programme.

Que se passe-t-il exactement le 2 décembre 2026 ?

C'est la deadline de transparence spécifiquement pour le contenu généré par IA, après que le Digital Omnibus a réduit le report de six mois à trois. Le principe de transparence plus large, que les gens doivent être informés qu'ils interagissent avec une IA, fait partie des obligations de l'Article 50 prenant effet dans cette fenêtre. Confirmez l'applicabilité précise pour vos systèmes avec un juriste.

La deadline du 2 août 2026 a-t-elle disparu ?

Pour les systèmes à haut risque, les obligations les plus lourdes ont été repoussées significativement par le Digital Omnibus de mai 2026, dans certains cas à décembre 2027 et août 2028. Pour les obligations de transparence à risque limité qui affectent la plupart des boutiques ecommerce, la timeline pertinente est la fenêtre de décembre 2026, pas un long report.

Nous utilisons l'IA pour écrire les descriptions produit. Cela a-t-il besoin d'un label ?

Sous l'obligation de transparence du contenu généré par IA, le contenu généré par IA que les clients voient devrait être identifiable comme généré par IA. Le mécanisme exact fait l'objet du Code de Pratique de la Commission. Prévoyez d'avoir une approche d'étiquetage ou d'identification en place pour la timeline de décembre 2026, et confirmez les spécificités pour vos types de contenu avec un juriste.

Est-ce juste un problème UE, ou cela affecte-t-il les boutiques UK et Canada ?

Le règlement IA s'applique selon que la sortie de votre IA touche l'UE de manière significative, via les ventes, l'accès, ou l'intégration en aval. Une boutique UK ou Canada qui vend à des clients de l'UE peut être dans le périmètre. Le UK et le Canada ont aussi leurs propres règles d'IA et de données en évolution. Si vous servez des clients de l'UE, supposez que le règlement IA peut s'appliquer peu importe où vous êtes basé.

Pour aller plus loin

Le premier geste est l'inventaire IA. Il demande peu d'effort, c'est le prérequis pour tout le reste, et la plupart des boutiques trouvent simplement clarifiant de voir la liste des systèmes d'IA qu'elles font réellement tourner.

Si vous voulez de l'aide sur le côté technique, reconstruire un chatbot pour ajouter une divulgation correcte et une supervision humaine, implémenter l'étiquetage du contenu généré par IA sur votre storefront, ou intégrer l'UX de divulgation IA dans un passage plus large de consentement et tracking, contactez-nous. Nous sommes une agence technique, donc nous gérons l'implémentation, pas l'avis juridique ; pour les spécificités juridiques vous voudrez un juriste, et nous sommes heureux de travailler aux côtés d'un. Vous pouvez en savoir plus sur notre travail de logiciel sur mesure pour le côté construction.

Pour des lectures associées, notre guide de tracking côté serveur couvre le travail de consentement et de tracking qui se passe souvent dans le même passage que la divulgation IA.