Pour les cabinets luxembourgeois, leurs directions juridiques internes et l'écosystème de services professionnels qui s'y raccroche, la question de savoir si le règlement IA serait silencieusement reporté est tranchée. Le 28 avril 2026, le second trilogue politique sur le Digital Omnibus IA de la Commission européenne — qui aurait reporté la conformité des systèmes à haut risque d'août 2026 à décembre 2027 — s'est conclu sans accord. À défaut d'adoption avant le 2 août 2026, le calendrier initial du règlement, obligations à haut risque comprises, s'applique tel quel.
Ce résultat change la posture de planification de chaque cabinet qui a piloté des outils d'IA depuis dix-huit mois — et de chaque acteur supervisé par la CSSF dont l'usage de l'IA tombe dans les catégories de l'Annexe III. La fenêtre d'indulgence sur le risque d'application est, pour l'instant, refermée.
Ce que déclenche véritablement le 2 août 2026
À cette date, les opérateurs de systèmes d'IA à haut risque mis sur le marché européen doivent satisfaire l'ensemble des obligations : système de gestion de la qualité, documentation technique, évaluation de conformité, marquage CE, enregistrement à la base européenne, surveillance après mise sur le marché et — point décisif pour l'exercice du droit — supervision humaine effective. L'application sectorielle aux acteurs financiers entre également en vigueur le même jour.
Pour les avocats, la catégorie la plus pertinente de l'Annexe III est celle des « systèmes d'IA destinés à être utilisés par une autorité judiciaire ou pour son compte afin d'aider une autorité judiciaire à rechercher et interpréter les faits et le droit ». Elle vise certains outils d'analyse documentaire ou de prédiction de jugement utilisés dans des fonctions de soutien à l'autorité judiciaire — y compris les déploiements demandés par des juridictions ou des clients publics. Elle ne capte pas, en elle-même, les outils standards de revue contractuelle, d'eDiscovery ou d'automatisation back-office.
Les zones grises se trouvent en périphérie. L'IA utilisée pour l'accès aux services essentiels, l'évaluation de la solvabilité, les décisions d'emploi ou le soutien aux services répressifs relève toute de l'Annexe III. Les avocats qui conseillent banques, assureurs, employeurs et clients publics échangeront désormais des dossiers de conformité IA en parallèle de la documentation contractuelle classique.
Comment le Luxembourg a câblé l'architecture régulatoire
Le projet de transposition luxembourgeois, le projet de loi 8476 — déposé à la Chambre des députés en décembre 2024 — désigne une architecture à plusieurs autorités plutôt qu'un super-régulateur unique :
- La CSSF pour les systèmes d'IA reliés aux services financiers.
- Le Commissariat aux Assurances (CAA) pour les systèmes d'IA dans l'assurance.
- L'Autorité luxembourgeoise indépendante de l'audiovisuel (ALIA) pour les volets transparence et audiovisuel.
- La Commission nationale pour la protection des données (CNPD) pour l'interface protection des données, y compris les systèmes biométriques et de reconnaissance d'émotions.
Ce schéma reproduit la cartographie sectorielle existante de la supervision. Pour les groupes multi-juridictionnels, les dossiers de conformité IA empruntent des canaux régulatoires familiers plutôt qu'un guichet unique nouveau — mais un même système à haut risque peut faire l'objet de questions chevauchantes.
La grille des sanctions
Le régime de sanctions du règlement IA s'organise en trois étages, calibrés sur la gravité :
- Jusqu'à 35 millions d'euros ou 7 % du chiffre d'affaires mondial annuel pour la violation du catalogue des pratiques interdites (en vigueur depuis le 2 février 2025).
- Jusqu'à 15 millions d'euros ou 3 % du chiffre d'affaires pour le non-respect des obligations applicables aux systèmes à haut risque et des autres dispositions opérationnelles.
- Jusqu'à 7,5 millions d'euros ou 1 % du chiffre d'affaires pour la fourniture d'informations inexactes ou trompeuses aux autorités.
Les autorités nationales peuvent appliquer des amendes réduites pour les PME et les jeunes entreprises ; la transposition luxembourgeoise devrait utiliser cette latitude.
La feuille de route des cabinets d'ici août
Les conversations avec les directions juridiques et les associés gérants sur la Place font ressortir cinq chantiers concrets :
- Inventaire IA et cartographie Annexe III. Chaque système utilisé en interne et chaque système recommandé aux clients doit être classé — interdit, haut risque, risque limité ou minimal — avec la motivation documentée.
- Analyse fournisseur ou déployeur. Les cabinets sont essentiellement déployeurs. Mais ceux qui développent des chatbots ou des automatisations de flux en interne basculent dans la catégorie fournisseur, avec une charge de conformité alourdie.
- Conception du contrôle humain. Pour les usages à haut risque, la supervision n'est plus une bonne pratique : elle est une obligation légale. Les points de contrôle doivent être spécifiés, formalisés et tracés.
- Dossiers de conformité pour les systèmes côté client. Lorsque le cabinet intègre l'IA à une offre destinée aux clients, l'évaluation de conformité, la documentation technique et l'enregistrement lui incombent.
- Contrats fournisseurs et indemnités. Les bons de commande standard ne suffisent plus. Les cabinets renégocient avec leurs fournisseurs IA la répartition des obligations de conformité, de monitoring et de réponse aux incidents.
Ce que l'échec du trilogue n'a pas changé
Une clarification utile sort de la séance du 28 avril : même si le Digital Omnibus finit par être adopté, le régime des pratiques interdites est en vigueur depuis février 2025, les obligations sur l'IA à usage général s'appliquent depuis août 2025, et la grille de sanctions reste inchangée. Les cabinets qui lisaient le débat sur l'Omnibus comme un feu vert à ralentir ont raisonné sur une prémisse trop optimiste.
L'hypothèse de planification réaliste pour le reste du second trimestre et l'été est que le calendrier d'août 2026 tient. Tout assouplissement éventuel sera un bonus.