Un post circule en ce moment sur les réseaux professionnels. Il affirme qu'un texte appelé CADA, « adopté en juin 2026 », encadrerait désormais l'usage de l'IA en éducation, justice et sécurité, avec des amendes pouvant atteindre 7 % du chiffre d'affaires. Le ton est alarmant, les chiffres sont précis, et la conclusion implicite est qu'il faut agir vite.
Le problème : cette affirmation mélange deux textes européens distincts, en attribue les obligations à un seul, et présente comme « adopté » ce qui n'est qu'une proposition. Chacun de ces trois glissements est faux. Pris ensemble, ils peuvent conduire un solopreneur ou une PME à fonder ses décisions de conformité sur une information erronée — c'est-à-dire à mal investir son temps et son budget.
Cet article démêle les deux textes, sans alarmisme, sources officielles à l'appui. Et il vous donne surtout la méthode pour vérifier vous-même la prochaine affirmation réglementaire que vous croiserez — parce que ce post ne sera pas le dernier.
Avant le détail, voici la distinction de fond, qu'aucune confusion ne devrait effacer.
Le post fait deux erreurs : il prend les obligations de l'AI Act (le texte réel sur l'éducation/justice/sécurité) et les colle sur le nom « CADA » ; et il qualifie d'« adopté » un texte qui entre tout juste dans le processus législatif.
Quand le post parle d'IA en éducation, justice et sécurité, il décrit en réalité l'Annexe III de l'AI Act, qui définit les systèmes d'IA à haut risque. Cette annexe liste précisément ces domaines : l'éducation (évaluation des apprentissages, accès aux établissements), l'administration de la justice (aide à l'interprétation des faits ou du droit), l'application de la loi et la sécurité, parmi d'autres.
Pour ces systèmes à haut risque, l'AI Act impose un chantier réel : qualité des données, traçabilité, surveillance humaine, robustesse, cybersécurité (Articles 9 à 15), documentation technique conforme à l'Annexe IV, et — pour certains déployeurs — une analyse d'impact sur les droits fondamentaux (FRIA, Article 27).
Quant aux fameux « 7 % », ils existent bel et bien, mais pas là où le post les place. L'Article 99 structure les sanctions en trois plafonds :
| Manquement | Plafond |
|---|---|
| Pratiques interdites (Article 5) | 35 M€ ou 7 % du CA mondial |
| Manquement aux obligations (fournisseur, déployeur, transparence Art. 50…) | 15 M€ ou 3 % du CA mondial |
| Information incorrecte aux autorités | 7,5 M€ ou 1 % du CA mondial |
Le plafond de 7 % est donc réservé aux pratiques interdites de l'Article 5 (notation sociale, manipulation, certains usages biométriques) — pas à l'usage « en éducation, justice et sécurité » en général, qui relève du régime haut risque sanctionné à 3 %. Le post a pris le plafond maximal et l'a généralisé : c'est inexact.
Enfin, la chronologie. L'AI Act n'a pas été « adopté en juin 2026 » : il est entré en vigueur en 2024 et se déploie par jalons. Le prochain — l'application des obligations de transparence de l'Article 50 — tombe le 2 août 2026 (nous l'avons détaillé pour les solopreneurs dans un article dédié). Le régime complet des systèmes à haut risque, lui, a été décalé par le « Digital Omnibus » (adopté par le Conseil de l'UE le 29 juin 2026) : Annexe III au 2 décembre 2027, produits réglementés de l'Annexe I au 2 août 2028. La transparence de l'Article 50, elle, reste au 2 août 2026.
Le Cloud and AI Development Act est une tout autre bête (référence officielle : COM(2026) 502 final, présenté le 3 juin 2026 au sein du European Technological Sovereignty Package, aux côtés du Chips Act 2.0 et de la stratégie open source). Son cœur n'est ni la transparence des chatbots ni la classification des systèmes IA — c'est l'infrastructure numérique européenne et la question de savoir qui la contrôle.
La proposition s'articule autour de trois objectifs, qu'il faut connaître pour ne pas la réduire à tort à un simple cadre de souveraineté :
C'est dans ce troisième volet qu'apparaît le mécanisme le plus commenté : une grille de quatre niveaux d'assurance (assurance levels — c'est le vocabulaire de la Commission, pas un label marketing), applicable aux fournisseurs cloud audités par les États membres pour les usages du secteur public, selon une gradation croissante de souveraineté :
Point décisif pour qui lit ce post avec inquiétude : la cible première du CADA est le procurement (achat public) et les infrastructures critiques — pas le solopreneur IA ni la PME du secteur privé. Si vous vendez un agent conversationnel ou un outil de génération de contenu, le CADA, en l'état de la proposition, ne crée pas d'obligation directe pour vous. Il structure surtout les exigences que l'État et les opérateurs critiques pourront imposer à leurs fournisseurs cloud.
Une nuance honnête s'impose toutefois : si vous êtes sous-traitant d'une administration ou d'un opérateur critique, ces exigences de souveraineté pourront vous être répercutées par contrat. Et le périmètre exact d'un texte se fige au terme du trilogue, pas au stade de la proposition — il peut donc encore s'élargir. La bonne posture n'est pas l'urgence, c'est la veille active : suivre le texte sans bâtir dès maintenant sur des dispositions susceptibles de bouger.
Et surtout : c'est une proposition. Attention au piège de vocabulaire qui nourrit la confusion : la Commission a bien « adopté » le 3 juin 2026 — mais elle a adopté sa proposition, ce qui ouvre le processus législatif, ça ne le referme pas. Le texte doit ensuite passer par la négociation entre le Parlement, le Conseil et la Commission (le « trilogue ») avant de devenir éventuellement une loi, et son contenu — y compris la définition exacte des niveaux d'assurance — peut encore changer. Tant qu'un règlement n'est pas adopté par les colégislateurs et publié au Journal officiel de l'Union européenne (JOUE), il ne crée aucune obligation juridique. Présenter le CADA comme « adopté » et « en vigueur » au sens d'une loi applicable, c'est exactement l'erreur que cet article dénonce.
| AI Act | CADA | |
|---|---|---|
| Nom complet | Règlement (UE) 2024/1689 | Cloud and AI Development Act — COM(2026) 502 final |
| Statut juridique | Loi en vigueur, déploiement par jalons | Proposition du 3 juin 2026, pas encore loi |
| Sujet | Encadrement des systèmes d'IA par le risque | Infrastructure et souveraineté cloud (capacité datacenter, R&D&I, autonomie) |
| Cible principale | Fournisseurs et déployeurs de systèmes IA | Procurement public + infrastructures critiques |
| « Éducation, justice, sécurité » ? | Oui — Annexe III (haut risque) | Non — ce n'est pas son objet |
| Amendes en % du CA ? | Oui — Art. 99 (jusqu'à 7 % pour l'Art. 5) | Non prévu en l'état de la proposition |
| Prochaine échéance | 2 août 2026 (Art. 50) | Trilogue à venir — calendrier ouvert |
Si vous ne reteniez qu'une ligne : le texte qui vous concerne aujourd'hui, en tant qu'acteur du privé qui déploie de l'IA, c'est l'AI Act. Le CADA est un signal de direction sur la souveraineté de l'infrastructure — utile à suivre, mais pas une obligation à intégrer en urgence, et certainement pas sous le nom et les chiffres que le post lui prête.
On pourrait croire qu'une imprécision sur un post n'a pas d'importance. En conformité, elle en a.
Un solopreneur qui lit « CADA adopté, amendes 7 %, éducation/justice/sécurité » peut en conclure trois choses également fausses : qu'une nouvelle loi vient de tomber (alors que c'est une proposition), qu'elle le vise directement (alors qu'elle cible le secteur public), et qu'il risque 7 % de son CA (alors que ce plafond concerne d'autres manquements). Résultat : soit il panique et engage un budget de mise en conformité sur un texte qui ne s'applique pas à lui, soit — l'inverse, plus dangereux — il décrédibilise toute l'information réglementaire (« encore une fausse alerte ») et néglige l'AI Act, qui, lui, l'engage réellement le 2 août 2026.
La conformité IA souffre déjà d'un excès de bruit. Le rôle d'un acteur sérieux n'est pas d'ajouter une couche d'alarme, mais de ramener au texte.
Voici le réflexe à acquérir face à n'importe quelle affirmation réglementaire — celle-ci ou la prochaine.
digital-strategy.ec.europa.eu) pour les propositions. Un agrégateur, un cabinet ou un post LinkedIn n'est jamais une source de droit — au mieux un point d'entrée.Cinq minutes sur EUR-Lex valent mieux qu'une décision de conformité fondée sur un post.
Documenter la conformité IA, c'est d'abord refuser le bruit. EuTrustedIA ancre chacune de ses analyses sur les textes officiels — EUR-Lex, Commission européenne, CNIL — et distingue toujours ce qui est en vigueur de ce qui est en discussion. C'est la condition pour que nos cartographies de conformité (RGPD + AI Act + Data Act) soient présentables à un DPO ou à une autorité de contrôle. Si vous suivez le dossier souveraineté, notre Annuaire EuTrustedIA référence des experts (DPO délégués, avocats tech) capables de vous accompagner sur les textes qui vous engagent réellement.
Cet article est un contenu éditorial à visée pédagogique. Il ne constitue pas un avis juridique individualisé et ne remplace pas la consultation d'un avocat ou d'un DPO. Le CADA étant une proposition susceptible d'évoluer au cours du processus législatif, ses dispositions précises doivent être confirmées sur la source officielle de la Commission européenne au moment où vous les consultez. Sources : Règlement (UE) 2024/1689 (AI Act), version consolidée EUR-Lex ; proposition de la Commission européenne « Cloud and AI Development Act », COM(2026) 502 final du 3 juin 2026 (digital-strategy.ec.europa.eu, EUR-Lex) ; Règlement (UE) 2023/2854 (Data Act).
Rédaction aidée par IA Claude Opus 4.8 (Anthropic) — marquage AI Act Art. 50.2 anticipé. Production éditoriale et validation factuelle 100 % humaines, Laurent SOUHY, EuTrustedIA.