CADA ≠ AI Act : démêler les deux textes qu'on vous présente comme un seul

Un post affirme qu'un « CADA adopté en juin 2026 » encadre l'IA en éducation, justice et sécurité avec des amendes de 7 %. C'est faux — et c'est un cas d'école. Voici les deux textes réels, leur statut exact, et comment vérifier vous-même une affirmation réglementaire.

Laurent SOUHY's profile

Rédigé par Laurent SOUHY

8 min de lecture
CADA ≠ AI Act : démêler les deux textes qu'on vous présente comme un seul

Un post circule en ce moment sur les réseaux professionnels. Il affirme qu'un texte appelé CADA, « adopté en juin 2026 », encadrerait désormais l'usage de l'IA en éducation, justice et sécurité, avec des amendes pouvant atteindre 7 % du chiffre d'affaires. Le ton est alarmant, les chiffres sont précis, et la conclusion implicite est qu'il faut agir vite.

Le problème : cette affirmation mélange deux textes européens distincts, en attribue les obligations à un seul, et présente comme « adopté » ce qui n'est qu'une proposition. Chacun de ces trois glissements est faux. Pris ensemble, ils peuvent conduire un solopreneur ou une PME à fonder ses décisions de conformité sur une information erronée — c'est-à-dire à mal investir son temps et son budget.

Cet article démêle les deux textes, sans alarmisme, sources officielles à l'appui. Et il vous donne surtout la méthode pour vérifier vous-même la prochaine affirmation réglementaire que vous croiserez — parce que ce post ne sera pas le dernier.

Les deux textes, en une phrase chacun

Avant le détail, voici la distinction de fond, qu'aucune confusion ne devrait effacer.

  • L'AI Act (Règlement UE 2024/1689) est une loi en vigueur, déjà publiée, qui encadre les systèmes d'IA selon leur niveau de risque. C'est lui — et lui seul — qui parle d'éducation, de justice et de sécurité, et qui prévoit des sanctions calculées en pourcentage du chiffre d'affaires.
  • Le CADA (Cloud and AI Development Act) est une proposition de la Commission européenne, présentée le 3 juin 2026. Elle ne traite pas du tout des mêmes obligations : son sujet est la souveraineté de l'infrastructure cloud et IA, principalement pour le secteur public et les infrastructures critiques. Ce n'est pas encore une loi.

Le post fait deux erreurs : il prend les obligations de l'AI Act (le texte réel sur l'éducation/justice/sécurité) et les colle sur le nom « CADA » ; et il qualifie d'« adopté » un texte qui entre tout juste dans le processus législatif.

Ce qu'est réellement l'AI Act — le texte derrière « éducation, justice, sécurité »

Quand le post parle d'IA en éducation, justice et sécurité, il décrit en réalité l'Annexe III de l'AI Act, qui définit les systèmes d'IA à haut risque. Cette annexe liste précisément ces domaines : l'éducation (évaluation des apprentissages, accès aux établissements), l'administration de la justice (aide à l'interprétation des faits ou du droit), l'application de la loi et la sécurité, parmi d'autres.

Pour ces systèmes à haut risque, l'AI Act impose un chantier réel : qualité des données, traçabilité, surveillance humaine, robustesse, cybersécurité (Articles 9 à 15), documentation technique conforme à l'Annexe IV, et — pour certains déployeurs — une analyse d'impact sur les droits fondamentaux (FRIA, Article 27).

Quant aux fameux « 7 % », ils existent bel et bien, mais pas là où le post les place. L'Article 99 structure les sanctions en trois plafonds :

ManquementPlafond
Pratiques interdites (Article 5)35 M€ ou 7 % du CA mondial
Manquement aux obligations (fournisseur, déployeur, transparence Art. 50…)15 M€ ou 3 % du CA mondial
Information incorrecte aux autorités7,5 M€ ou 1 % du CA mondial

Le plafond de 7 % est donc réservé aux pratiques interdites de l'Article 5 (notation sociale, manipulation, certains usages biométriques) — pas à l'usage « en éducation, justice et sécurité » en général, qui relève du régime haut risque sanctionné à 3 %. Le post a pris le plafond maximal et l'a généralisé : c'est inexact.

Enfin, la chronologie. L'AI Act n'a pas été « adopté en juin 2026 » : il est entré en vigueur en 2024 et se déploie par jalons. Le prochain — l'application des obligations de transparence de l'Article 50 — tombe le 2 août 2026 (nous l'avons détaillé pour les solopreneurs dans un article dédié). Le régime complet des systèmes à haut risque, lui, a été décalé par le « Digital Omnibus » (adopté par le Conseil de l'UE le 29 juin 2026) : Annexe III au 2 décembre 2027, produits réglementés de l'Annexe I au 2 août 2028. La transparence de l'Article 50, elle, reste au 2 août 2026.

Ce qu'est réellement le CADA — infrastructure et souveraineté cloud, pas obligations IA

Le Cloud and AI Development Act est une tout autre bête (référence officielle : COM(2026) 502 final, présenté le 3 juin 2026 au sein du European Technological Sovereignty Package, aux côtés du Chips Act 2.0 et de la stratégie open source). Son cœur n'est ni la transparence des chatbots ni la classification des systèmes IA — c'est l'infrastructure numérique européenne et la question de savoir qui la contrôle.

La proposition s'articule autour de trois objectifs, qu'il faut connaître pour ne pas la réduire à tort à un simple cadre de souveraineté :

  • Capacité — accélérer le déploiement de data centres en Europe (la Commission vise à tripler la capacité de l'UE en 5 à 7 ans), en levant les freins concrets : lenteur des autorisations, accès à l'énergie, au foncier et au financement ;
  • Recherche, développement et innovation — soutenir le déploiement de technologies cloud et IA de nouvelle génération ;
  • Autonomie — réduire la dépendance aux fournisseurs cloud hors UE et établir un cadre de souveraineté pour les usages publics.

C'est dans ce troisième volet qu'apparaît le mécanisme le plus commenté : une grille de quatre niveaux d'assurance (assurance levels — c'est le vocabulaire de la Commission, pas un label marketing), applicable aux fournisseurs cloud audités par les États membres pour les usages du secteur public, selon une gradation croissante de souveraineté :

  1. Niveau 1 — données traitées et stockées dans l'infrastructure de l'Union ;
  2. Niveau 2 — indépendance vis-à-vis des pays tiers et transparence de la supply-chain ;
  3. Niveau 3 — propriété et contrôle européens, avec critères additionnels (la Commission pouvant reconnaître certains fournisseurs de pays tiers) ;
  4. Niveau 4 — transparence et contrôle complets sur la chaîne d'approvisionnement, sans interférence d'un pays tiers.

Point décisif pour qui lit ce post avec inquiétude : la cible première du CADA est le procurement (achat public) et les infrastructures critiques — pas le solopreneur IA ni la PME du secteur privé. Si vous vendez un agent conversationnel ou un outil de génération de contenu, le CADA, en l'état de la proposition, ne crée pas d'obligation directe pour vous. Il structure surtout les exigences que l'État et les opérateurs critiques pourront imposer à leurs fournisseurs cloud.

Une nuance honnête s'impose toutefois : si vous êtes sous-traitant d'une administration ou d'un opérateur critique, ces exigences de souveraineté pourront vous être répercutées par contrat. Et le périmètre exact d'un texte se fige au terme du trilogue, pas au stade de la proposition — il peut donc encore s'élargir. La bonne posture n'est pas l'urgence, c'est la veille active : suivre le texte sans bâtir dès maintenant sur des dispositions susceptibles de bouger.

Et surtout : c'est une proposition. Attention au piège de vocabulaire qui nourrit la confusion : la Commission a bien « adopté » le 3 juin 2026 — mais elle a adopté sa proposition, ce qui ouvre le processus législatif, ça ne le referme pas. Le texte doit ensuite passer par la négociation entre le Parlement, le Conseil et la Commission (le « trilogue ») avant de devenir éventuellement une loi, et son contenu — y compris la définition exacte des niveaux d'assurance — peut encore changer. Tant qu'un règlement n'est pas adopté par les colégislateurs et publié au Journal officiel de l'Union européenne (JOUE), il ne crée aucune obligation juridique. Présenter le CADA comme « adopté » et « en vigueur » au sens d'une loi applicable, c'est exactement l'erreur que cet article dénonce.

Le tableau qui range tout

AI ActCADA
Nom completRèglement (UE) 2024/1689Cloud and AI Development Act — COM(2026) 502 final
Statut juridiqueLoi en vigueur, déploiement par jalonsProposition du 3 juin 2026, pas encore loi
SujetEncadrement des systèmes d'IA par le risqueInfrastructure et souveraineté cloud (capacité datacenter, R&D&I, autonomie)
Cible principaleFournisseurs et déployeurs de systèmes IAProcurement public + infrastructures critiques
« Éducation, justice, sécurité » ?Oui — Annexe III (haut risque)Non — ce n'est pas son objet
Amendes en % du CA ?Oui — Art. 99 (jusqu'à 7 % pour l'Art. 5)Non prévu en l'état de la proposition
Prochaine échéance2 août 2026 (Art. 50)Trilogue à venir — calendrier ouvert

Si vous ne reteniez qu'une ligne : le texte qui vous concerne aujourd'hui, en tant qu'acteur du privé qui déploie de l'IA, c'est l'AI Act. Le CADA est un signal de direction sur la souveraineté de l'infrastructure — utile à suivre, mais pas une obligation à intégrer en urgence, et certainement pas sous le nom et les chiffres que le post lui prête.

Pourquoi cette confusion coûte cher

On pourrait croire qu'une imprécision sur un post n'a pas d'importance. En conformité, elle en a.

Un solopreneur qui lit « CADA adopté, amendes 7 %, éducation/justice/sécurité » peut en conclure trois choses également fausses : qu'une nouvelle loi vient de tomber (alors que c'est une proposition), qu'elle le vise directement (alors qu'elle cible le secteur public), et qu'il risque 7 % de son CA (alors que ce plafond concerne d'autres manquements). Résultat : soit il panique et engage un budget de mise en conformité sur un texte qui ne s'applique pas à lui, soit — l'inverse, plus dangereux — il décrédibilise toute l'information réglementaire (« encore une fausse alerte ») et néglige l'AI Act, qui, lui, l'engage réellement le 2 août 2026.

La conformité IA souffre déjà d'un excès de bruit. Le rôle d'un acteur sérieux n'est pas d'ajouter une couche d'alarme, mais de ramener au texte.

La méthode : vérifier soi-même en cinq minutes

Voici le réflexe à acquérir face à n'importe quelle affirmation réglementaire — celle-ci ou la prochaine.

  1. Cherchez le statut, pas seulement le nom. Un texte est-il une proposition, un texte en trilogue, ou une loi publiée ? Les trois n'ont pas la même valeur. Le mot « adopté » doit toujours être vérifié.
  2. Remontez à la source officielle. Pour le droit de l'UE : EUR-Lex (textes en vigueur et consolidés) et le site de la Commission européenne (digital-strategy.ec.europa.eu) pour les propositions. Un agrégateur, un cabinet ou un post LinkedIn n'est jamais une source de droit — au mieux un point d'entrée.
  3. Vérifiez que le chiffre est rattaché au bon article. « 7 % » n'a de sens qu'avec son article de référence. Sans l'article, un pourcentage est un slogan.
  4. Distinguez le sujet du texte de son nom marketing. Deux textes peuvent évoquer « l'IA » sans traiter des mêmes obligations. Lisez l'objet (« champ d'application »), pas le titre.
  5. Méfiez-vous de la fusion de deux textes réels. Les confusions les plus convaincantes ne sont pas inventées de zéro : elles assemblent des fragments vrais (l'Annexe III existe, les 7 % existent) sous une mauvaise étiquette. C'est exactement le mécanisme ici.

Cinq minutes sur EUR-Lex valent mieux qu'une décision de conformité fondée sur un post.

Là où nous nous situons

Documenter la conformité IA, c'est d'abord refuser le bruit. EuTrustedIA ancre chacune de ses analyses sur les textes officiels — EUR-Lex, Commission européenne, CNIL — et distingue toujours ce qui est en vigueur de ce qui est en discussion. C'est la condition pour que nos cartographies de conformité (RGPD + AI Act + Data Act) soient présentables à un DPO ou à une autorité de contrôle. Si vous suivez le dossier souveraineté, notre Annuaire EuTrustedIA référence des experts (DPO délégués, avocats tech) capables de vous accompagner sur les textes qui vous engagent réellement.


Cet article est un contenu éditorial à visée pédagogique. Il ne constitue pas un avis juridique individualisé et ne remplace pas la consultation d'un avocat ou d'un DPO. Le CADA étant une proposition susceptible d'évoluer au cours du processus législatif, ses dispositions précises doivent être confirmées sur la source officielle de la Commission européenne au moment où vous les consultez. Sources : Règlement (UE) 2024/1689 (AI Act), version consolidée EUR-Lex ; proposition de la Commission européenne « Cloud and AI Development Act », COM(2026) 502 final du 3 juin 2026 (digital-strategy.ec.europa.eu, EUR-Lex) ; Règlement (UE) 2023/2854 (Data Act).

Rédaction aidée par IA Claude Opus 4.8 (Anthropic) — marquage AI Act Art. 50.2 anticipé. Production éditoriale et validation factuelle 100 % humaines, Laurent SOUHY, EuTrustedIA.

Partager: