Huit sur Vingt-Sept
Huit. C’est le nombre d’Etats membres de l’UE qui ont designe un point de contact unique pour l’application du Reglement sur l’IA. Sur vingt-sept. Le delai pour le faire etait le 2 aout 2025. Il y a sept mois.
Pas d’amendes. Pas de procedures d’infraction. Pas de declarations publiques d’inquietude de la Commission. Dix-neuf Etats membres ont rate un delai juridiquement contraignant depuis sept mois et rien ne s’est passe. Le reglement qui imposera des amendes allant jusqu’a 7 % du chiffre d’affaires mondial aux entreprises non conformes n’a produit aucune consequence pour les gouvernements qui n’ont pas construit l’appareil d’application.
Ce n’est pas un dysfonctionnement. C’est ainsi que la reglementation europeenne se deploie a travers vingt-sept implementations souveraines. Et si vous dirigez une entreprise qui opere au-dela des frontieres europeennes, comprendre ce schema est plus important que comprendre n’importe quel article du Reglement sur l’IA.
Le Delai Que Personne N’a Respecte
L’article 70 du Reglement europeen sur l’IA exigeait que chaque Etat membre designe des autorites nationales competentes — au minimum, une autorite de notification et une autorite de surveillance du marche — et communique ces designations a la Commission avant le 2 aout 2025. Le meme article exigeait que les Etats membres designent un point de contact unique : une autorite servant de centre de coordination pour l’ensemble de l’application du Reglement sur l’IA dans ce pays.
Le point de contact unique n’est pas une formalite bureaucratique. C’est l’adresse ou arrivent les plaintes, ou la mise en oeuvre transfrontaliere est coordonnee, ou le Comite europeen de l’IA communique avec les autorites nationales. Sans lui, la chaine d’application est rompue au niveau national. Un reglement sans autorite d’application est une suggestion.
En mars 2026, selon le briefing du Service de recherche du Parlement europeen publie le 18 mars 2026, huit Etats membres ont designe leur point de contact unique. Le briefing est precis. Le nombre est huit. Le denominateur est vingt-sept. L’ecart est dix-neuf.
Les Huit
Les huit Etats membres qui ont designe des autorites d’application partagent un schema. Ils ne sont pas les plus riches. Ils ne sont pas les plus grands. Ce sont ceux qui ont pris une decision institutionnelle tot et l’ont executee.
La Finlande a bouge la premiere. Le 22 decembre 2025, le President de la Republique a approuve les modifications legislatives attribuant des mandats au titre du Reglement sur l’IA a dix autorites de surveillance du marche existantes. Traficom — l’Agence finlandaise des transports et des communications — est devenue le point de contact unique. Les pouvoirs d’application sont entres en vigueur le 1er janvier 2026. La Finlande n’a pas cree de nouvelle agence de l’IA. Elle a active des regulateurs existants avec de nouveaux mandats. Operations legeres. Pas de nouvelle bureaucratie. L’approche finlandaise est un modele de ce que l’article 70 envisageait : utiliser l’infrastructure institutionnelle deja en place.
L’Allemagne a designe la Bundesnetzagentur — l’Agence federale des reseaux — comme point de contact unique. Le modele allemand est complexe par necessite : un systeme federal avec des autorites de surveillance du marche sectorielles dans seize Lander. La Bundesnetzagentur a aussi etabli un centre de coordination (KoKIVO) pour soutenir les autres autorites competentes. Le systeme est lourd. Mais il existe. Il est designe, communique et operationnel.
L’Espagne a ete precoce. L’Agence espagnole de supervision de l’intelligence artificielle (AESIA) a ete creee par le Decret royal 729/2023 — avant meme que le Reglement sur l’IA ne soit publie au Journal officiel. L’AESIA est operationnelle depuis juin 2024. Le bac a sable reglementaire espagnol, gere par l’AESIA, a acheve deux cycles et selectionne douze projets d’IA pour le troisieme. L’Espagne a construit l’infrastructure d’application avant que le reglement ne l’exige.
Le Danemark a adopte sa loi nationale de mise en oeuvre en mai 2025 et designe ses autorites avant l’echeance d’aout. L’approche danoise reflete le pragmatisme finlandais : organismes de regulation existants, nouveaux mandats, infrastructure nouvelle minimale.
L’Italie a designe plusieurs autorites de surveillance du marche avec des competences sectorielles. Le modele italien distribue l’application entre les regulateurs sectoriels existants — un schema qui reflete l’architecture reglementaire existante de l’Italie plutot que de construire une infrastructure parallele specifique a l’IA.
Les trois derniers des huit ont designe leurs points de contact uniques par des arrangements institutionnels varies. Le fil conducteur n’est pas le modele choisi. C’est qu’un modele a ete choisi, legifere et communique a la Commission dans le delai legal — ou a proximite.
Les Dix-Neuf
Les dix-neuf qui n’ont pas designe d’autorites d’application ne sont pas un groupe homogene. Certains ont des propositions legislatives en attente. Certains ont identifie des autorites de maniere informelle mais n’ont pas acheve la designation legale. Certains n’ont pas commence.
Le briefing du Parlement europeen distingue trois categories parmi les Etats membres en retard : ceux dont la legislation est en cours d’examen parlementaire, ceux dont les autorites sont identifiees mais pas formellement designees, et ceux sans progres visible. La distribution est a peu pres egale entre les trois categories.
Les raisons du retard sont structurelles, pas accidentelles. Plusieurs schemas reviennent.
Batailles de territoire institutionnel. Dans plusieurs Etats membres, le processus de designation a stagne parce que des regulateurs existants — autorites de protection des donnees, regulateurs des telecommunications, agences de protection des consommateurs, superviseurs sectoriels — se sont disputes le mandat du Reglement sur l’IA. Le champ d’application du Reglement sur l’IA traverse tous les domaines reglementaires existants. Decider quelle autorite “obtient” l’application du Reglement sur l’IA est une decision politique deguisee en decision administrative. Dans les pays aux frontieres institutionnelles fortes, cette decision prend du temps. Dans certains, elle n’a pas ete prise.
Goulots d’etranglement legislatifs. Certains Etats membres exigent une legislation primaire pour designer de nouvelles autorites competentes ou elargir des mandats existants. Calendriers parlementaires, negociations de coalition et priorites legislatives ont repousse la mise en oeuvre du Reglement sur l’IA en fin de file. Le reglement est directement applicable — il ne necessite pas de transposition nationale — mais la designation des autorites d’application necessite une action legislative nationale. La distinction compte.
Allocation de ressources. Designer une autorite d’application sans la financer est pire que ne pas en designer du tout. Plusieurs Etats membres ont retarde la designation en attendant de determiner les budgets, les effectifs et les capacites techniques. L’article 70(8) exige que les Etats membres s’assurent que les autorites competentes disposent de “ressources financieres et humaines adequates” ainsi que d’une expertise technique. Une designation sans ressources est une designation sur papier — et la Commission a signale qu’elle evaluerait l’adequation des ressources, pas seulement le statut de la designation.
Deprioritisation politique. Dans certains Etats membres, la mise en oeuvre du Reglement sur l’IA n’est tout simplement pas une priorite politique. Politique energetique, migration, consolidation budgetaire, elections — la competition pour l’attention politique est feroce. Un reglement qui n’entre en pleine application qu’en aout 2026 est facile a reporter quand le calendrier politique est charge. Le calcul change quand l’application commence. A ce moment-la, l’ecart de mise en oeuvre peut etre structurel.
Ce Que l’Ecart Signifie pour les Entreprises
Pour une PME operant au-dela des frontieres dans l’UE, l’ecart de prontitude d’application cree un ensemble specifique de conditions qui doivent etre comprises operationnellement, pas abstraitement.
L’application sera inegale. Quand les dispositions sur l’IA a haut risque du Reglement sur l’IA entreront en vigueur le 2 aout 2026 — ou en decembre 2027 si l’Omnibus numerique est adopte — les entreprises operant en Finlande feront face a une autorite d’application operationnelle depuis des mois ou des annees. Les entreprises operant dans un Etat membre n’ayant pas designe d’autorite feront face a un vide reglementaire. Le meme systeme d’IA, deploye de la meme maniere, existera dans deux realites d’application differentes selon l’Etat membre.
Ce n’est pas hypothetique. C’est la realite vecue de chaque reglement europeen. Le RGPD est entre en vigueur le 25 mai 2018. En 2020, l’application variait d’un facteur cinquante entre les autorites de protection des donnees les plus actives et les moins actives. La DPC irlandaise a traite les plaintes contre Facebook pendant quatre ans avant d’emettre sa premiere amende significative. La CNIL a inflige une amende de 50 millions d’euros a Google en sept mois. Le reglement etait identique. L’application ne l’etait pas.
Le Reglement sur l’IA suivra le meme schema. Le reglement est uniforme. L’application sera fragmentee. La fragmentation suit, approximativement, les memes lignes : les autorites nordiques et d’Europe occidentale appliqueront plus tot et plus fort. Les autorites d’Europe du Sud et de l’Est mettront plus de temps a construire leur capacite d’application. Le schema n’est pas une surprise. C’est une caracteristique structurelle de la facon dont vingt-sept systemes juridiques souverains mettent en oeuvre un cadre reglementaire unique.
L’arbitrage reglementaire est un piege. La tentation est d’optimiser pour l’applicateur le plus faible : deployer son systeme d’IA depuis un Etat membre qui n’a pas designe d’autorite, operer sur des marches ou l’application est lente, et traiter l’ecart de prontitude comme des vacances de conformite.
C’est la mauvaise conclusion pour trois raisons.
D’abord, l’effet Bruxelles. Le Reglement europeen sur l’IA s’applique a tout systeme d’IA mis sur le marche de l’UE ou dont les resultats sont utilises dans l’UE — quel que soit le lieu d’etablissement du fournisseur. Une entreprise operant depuis un Etat membre sans application reste exposee a l’application de tout Etat membre ou son systeme est utilise. L’autorite de surveillance du marche en Finlande peut enqueter sur un systeme d’IA deploye par une entreprise etablie dans un Etat membre sans autorite d’application si ce systeme affecte des utilisateurs finlandais.
Ensuite, l’application rattrape. L’ecart d’application du RGPD s’est comble. Pas uniformement, pas rapidement, mais il s’est comble. Les Etats membres qui ont mis des annees a construire leur capacite d’application l’ont finalement construite. Les amendes, quand elles sont arrivees, ont eu un effet retroactif : les violations survenues pendant la periode de faible application ont ete enquetees et sanctionnees apres la construction de la capacite. Les vacances de conformite ont une date d’expiration. On ne sait simplement pas quand.
Enfin, la dimension reputationnelle. Pour une PME servant des clients entreprises a travers l’Europe, la question “etes-vous conforme au Reglement sur l’IA ?” viendra des clients avant les regulateurs. Un fabricant allemand evaluant des fournisseurs d’IA evaluera la posture de conformite comme critere d’achat. L’ecart d’application dans l’Etat membre d’origine du fournisseur est sans pertinence pour le processus de due diligence du client. Le client se preoccupe du reglement, pas de la geographie de l’application.
La Complication de l’Omnibus Numerique
L’ecart de prontitude d’application a cree une pression politique pour reporter l’echeance de conformite. Le 19 novembre 2025, la Commission europeenne a publie l’Omnibus numerique — une proposition legislative qui, entre autres, reporterait la date d’application des exigences pour les systemes d’IA a haut risque.
La proposition a avance vite. Le 13 mars 2026, le Conseil a adopte sa position : des dates d’application fixes au 2 decembre 2027 pour les systemes d’IA autonomes a haut risque et au 2 aout 2028 pour les systemes d’IA a haut risque integres dans des produits. Le 18 mars 2026, les commissions IMCO et LIBE du Parlement europeen ont adopte leur rapport conjoint — 101 voix pour, 9 contre, 8 abstentions — proposant la meme date de decembre 2027 pour les systemes a haut risque de l’Annexe III et aout 2028 pour les systemes de l’Annexe I.
Les positions du Parlement et du Conseil sont alignees sur la question centrale : le report. Les negociations en trilogue suivront. Si l’Omnibus numerique est adopte, l’echeance du 2 aout 2026 pour les dispositions sur le haut risque passe a decembre 2027.
Mais — et c’est le point critique que la plupart des commentaires manquent — l’Omnibus numerique n’a pas ete adopte. A la date d’aujourd’hui, 17 mars 2026, le 2 aout 2026 reste l’echeance legale. Les dispositions sur les pratiques interdites sont en vigueur depuis le 2 fevrier 2025. L’obligation de culture IA au titre de l’article 4 est en vigueur depuis le 2 fevrier 2025. Les dispositions sur les modeles GPAI sont en vigueur depuis le 2 aout 2025. Et l’exigence de designer des autorites nationales competentes — l’exigence meme que seuls huit Etats membres ont respectee — est en vigueur depuis le 2 aout 2025.
Planifier le report est rationnel. Compter sur le report est temeraire. L’Omnibus numerique doit passer le trilogue, etre publie au Journal officiel et entrer en vigueur. Tant que cela n’est pas fait, le 2 aout 2026 est la loi. Une entreprise qui reporte sa preparation de conformite parce que le report “sera probablement” adopte fait un pari. Les chances peuvent favoriser le report. Mais l’inconvenient d’avoir tort est operationnel : la precipitation pour se conformer a une echeance que tout le monde supposait repoussee mais qui ne l’a pas ete.
L’Ecart des Bacs a Sable
L’article 57 du Reglement sur l’IA exigeait que chaque Etat membre etablisse au moins un bac a sable reglementaire de l’IA, operationnel avant le 2 aout 2026. L’exigence du bac a sable suit l’ecart des autorites d’application : les pays qui ont designe des autorites tot sont les memes pays avec des bacs a sable operationnels ou quasi operationnels. Les pays sans autorites d’application n’ont generalement pas non plus de bacs a sable.
Le bac a sable espagnol fonctionne depuis 2022. L’infrastructure de soutien reglementaire finlandaise est operationnelle. La Bundesnetzagentur allemande a lance son AI Service Desk. Les Pays-Bas ont une proposition de bac a sable en coordination entre l’Autorite pour les consommateurs et les marches et l’Autorite neerlandaise de protection des donnees.
Pour les autres, l’echeance du bac a sable est le 2 aout 2026 — le meme jour ou les dispositions qu’ils sont censes aider les entreprises a preparer entrent en vigueur. Un bac a sable qui ouvre le jour de l’application est un bac a sable qui arrive trop tard pour remplir sa mission. Le bac a sable reglementaire a ete concu comme un mecanisme pre-application : un espace ou les entreprises developpent des systemes d’IA sous supervision reglementaire avant que les exigences de pleine conformite ne s’appliquent. Ouvrir le bac a sable le jour de l’application, c’est construire le terrain d’entrainement le jour du match.
L’ecart des bacs a sable aggrave l’ecart d’application. Les Etats membres sans autorites d’application manquent aussi de l’infrastructure institutionnelle pour operer des bacs a sable. L’autorite competente qui gere le bac a sable est la meme autorite competente qui applique le reglement. Si l’autorite n’existe pas, le bac a sable non plus.
Pour une PME dans un Etat membre sans autorite d’application et sans bac a sable, la realite pratique est : vous vous preparez a un reglement sans aucun soutien institutionnel de votre gouvernement national. Pas d’orientation d’une autorite nationale competente. Pas de bac a sable pour tester votre architecture de conformite. Pas de point de contact unique pour repondre aux questions. Vous etes seul avec le texte du reglement et les services de conseil que vous pouvez vous permettre.
Ce n’est pas acceptable. Mais c’est l’etat reel des choses. L’article ne change pas parce que la mise en oeuvre est en retard. L’exigence de conformite ne s’adoucit pas parce que le gouvernement n’a pas respecte sa propre echeance.
Ce Qu’une Entreprise Doit Faire
L’ecart de prontitude d’application ne change pas l’exigence de conformite. Il change la strategie de conformite.
Construire pour l’applicateur le plus strict. Si vous operez sur des marches europeens, votre architecture de conformite doit respecter le standard de l’autorite d’application la plus capable et la plus active. Aujourd’hui, cela signifie la Finlande, l’Espagne et l’Allemagne. Un systeme conforme en Finlande est conforme partout. Un systeme conforme uniquement dans un Etat membre sans autorite d’application est un systeme qui echouera a sa premiere rencontre reglementaire transfrontaliere.
Ne pas attendre son autorite nationale. Si votre Etat membre n’a pas designe d’autorite d’application, n’attendez pas. Le reglement s’applique quoi qu’il arrive. Les exigences techniques — gestion des risques au titre de l’article 9, gouvernance des donnees au titre de l’article 10, documentation technique au titre de l’article 11, journalisation au titre de l’article 12, supervision humaine au titre de l’article 14 — sont definies dans le reglement lui-meme. Elles ne dependent pas de directives nationales. Les directives nationales aident. Elles ne sont pas un prerequis.
Utiliser les bacs a sable disponibles au-dela des frontieres. L’article 57 permet aux Etats membres d’etablir des bacs a sable conjointement. Plusieurs programmes de bacs a sable acceptent les candidatures d’entreprises etablies dans d’autres Etats membres. Le bac a sable de l’AESIA espagnole, en particulier, a traite des candidatures d’entreprises europeennes non espagnoles. Si votre Etat membre ne propose pas de bac a sable, postulez a un qui en propose. La documentation de conformite produite dans un bac a sable espagnol a de la valeur face a un regulateur allemand.
Suivre l’Omnibus numerique. Le processus de trilogue determinera si le 2 aout 2026 ou le 2 decembre 2027 est la date operative pour les dispositions sur le haut risque. Suivez le progres legislatif. Preparez-vous pour aout. Ajustez si decembre est confirme. Ne presupposez pas.
Documenter son effort de conformite maintenant. Quelle que soit la date d’application, le fait de se preparer — mener des evaluations des risques, documenter la gouvernance des donnees, construire la documentation technique — a de la valeur meme si l’echeance bouge. La documentation elle-meme est un actif. Elle demontre un effort de conformite de bonne foi. Dans un paysage d’application ou les regulateurs ont des ressources limitees et doivent prioriser les enquetes, une entreprise avec une architecture de conformite documentee est une priorite d’application plus basse qu’une entreprise sans rien.
Le Schema
Le Reglement europeen sur l’IA suivra le meme arc de mise en oeuvre que tous les grands reglements europeens avant lui. Le reglement est publie. L’echeance passe. Certains Etats membres sont prets. La plupart ne le sont pas. L’application commence de maniere inegale. L’ecart se comble sur deux a cinq ans. Les entreprises qui se sont preparees pour le reglement tel qu’ecrit — pas pour le reglement tel qu’applique — sont conformes quand l’application arrive. Les entreprises qui ont optimise pour l’ecart sont exposees quand il se comble.
Le RGPD a suivi cet arc. La Directive sur les services de paiement a suivi cet arc. Le Reglement sur les dispositifs medicaux a suivi cet arc. A chaque fois, le schema a surpris des entreprises qui avaient suppose que l’ecart de mise en oeuvre etait une caracteristique permanente et non temporaire.
Huit sur vingt-sept. Le nombre est une photographie d’un systeme reglementaire au milieu de son deploiement. Le systeme n’est pas casse. Il est lent, inegal et previsible. Le reglement sera applique. La seule question est quand — et si votre entreprise sera prete avant que le regulateur ne le soit.
Le compte a rebours ne s’est pas arrete parce que dix-neuf gouvernements etaient en retard. Il ne s’arrete jamais.