AI Act 2026 : obligations concrètes pour les entreprises
Le règlement européen sur l’intelligence artificielle entre en application progressive depuis février 2025. Les premières interdictions sont déjà effectives. Les obligations pour les systèmes à haut risque suivront. Ce guide détaille le calendrier, les niveaux de risque, les sanctions et les actions à engager pour préparer votre organisation.
Depuis le 2 février 2025, certaines pratiques d’intelligence artificielle sont interdites en Europe. Le gros des obligations arrive au 2 août 2026 — sauf report législatif, auquel cas ce sera décembre 2027. La plupart des dirigeants n’ont pas encore mesuré ce que cela implique pour leur organisation. Cet article fournit un cadre de lecture opérationnel de l’AI Act pour ceux qui doivent prendre des décisions maintenant.
Pour quiDirigeants, DSI, DPO, directeurs juridiques, responsables conformité et responsables innovation en PME, ETI et grands comptes.
Ce que cet article ne prétend pasRemplacer un avis juridique. Les obligations décrites s’appuient sur le texte officiel du règlement UE 2024/1689 et les travaux des autorités compétentes.
Ce que l’AI Act change pour votre entreprise
L’erreur la plus répandue est de croire que l’AI Act ne concerne que les éditeurs de solutions d’intelligence artificielle. Le règlement s’applique à trois catégories d’acteurs : les fournisseurs qui développent ou commercialisent un système d’IA, les déployeurs qui l’utilisent dans leur activité professionnelle, et les importateurs ou distributeurs[1].
Si votre entreprise utilise un CRM avec scoring automatisé, un outil de tri de candidatures, un chatbot face client ou une solution d’analyse prédictive, elle est dans le périmètre. Pas comme observateur — comme déployeur, avec des obligations réelles.
En France, trois autorités sont désignées pour le contrôle : la CNIL pour les données personnelles et la biométrie, la DGCCRF pour les pratiques commerciales, et l’Arcom pour les contenus générés par IA[6]. La CNIL a indiqué qu’elle intensifierait ses contrôles sur les systèmes RH dès l’automne 2026[4].
Calendrier : ce qui s’applique, ce qui arrive
L’AI Act ne s’applique pas d’un bloc. Le calendrier est échelonné sur trois ans : certaines obligations sont déjà en vigueur, d’autres arrivent dans les prochains mois.
| Échéance | Ce qui s’applique | Qui est concerné |
|---|---|---|
| 2 février 2025 ✓ En vigueur |
Interdiction des pratiques à risque inacceptable (notation sociale, manipulation subliminale). Obligation de compétence IA (article 4). | Tous les acteurs — fournisseurs, déployeurs, importateurs |
| 2 août 2025 ✓ En vigueur |
Règles pour les modèles à usage général (GPAI). Désignation des autorités nationales de contrôle. | Fournisseurs de modèles (OpenAI, Anthropic, Mistral, etc.) et États membres |
| 2 août 2026 | Obligations pour les systèmes à haut risque (Annexe III). Exigences de transparence (article 50) — marquage CE, documentation technique, supervision humaine. | Fournisseurs et déployeurs de systèmes à haut risque |
| 2 août 2027 | Extension aux systèmes intégrés dans des produits réglementés (Annexe I) — dispositifs médicaux, véhicules, machines industrielles. | Fabricants de produits réglementés intégrant de l’IA |
L’échéance du 2 août 2026 est toutefois en discussion. Le Digital Omnibus proposé par la Commission européenne pourrait reporter les obligations pour les systèmes à haut risque au 2 décembre 2027. Le point complet figure en section 7.
Quatre niveaux de risque, quatre régimes
Le règlement classe chaque système d’IA selon son impact potentiel sur les droits fondamentaux. Le niveau de risque détermine les obligations applicables[1].
Systèmes interdits
Notation sociale, manipulation subliminale, exploitation de vulnérabilités, catégorisation biométrique de masse. Interdit depuis le 2 février 2025.
Jusqu’à 35 M€ ou 7 % du CAImpact sur les droits fondamentaux
Recrutement, évaluation de crédit, éducation, accès aux services publics, biométrie, infrastructures critiques. Marquage CE, documentation technique, gestion des risques, supervision humaine, journalisation obligatoires.
Jusqu’à 15 M€ ou 3 % du CAObligation de transparence
Chatbots, générateurs de contenu synthétique, deepfakes. Obligation principale : informer les utilisateurs qu’ils interagissent avec une IA ou qu’un contenu est généré par une machine.
Jusqu’à 7,5 M€ ou 1 % du CAPas d’obligation spécifique
Filtres anti-spam, systèmes de recommandation, assistants de rédaction, générateurs de prompts. Aucune obligation réglementaire, mais code de conduite volontaire recommandé.
La difficulté pour beaucoup d’entreprises n’est pas le texte lui-même — c’est de savoir où se situent leurs propres usages. Un outil de scoring commercial intégré au CRM peut relever du haut risque si les décisions qu’il alimente ont un impact significatif sur les personnes. Un assistant de rédaction utilisé en interne reste en risque minimal. Tout dépend du contexte d’utilisation, pas de la technologie sous-jacente.
Fournisseur ou déployeur : votre rôle dans l’AI Act
L’AI Act crée des obligations différentes selon le rôle de l’organisation dans la chaîne de valeur de l’IA[1]. Identifier son rôle est la première étape de toute démarche de conformité.
Fournisseur
Développe ou commercialise un système d’IA. Obligations les plus lourdes : conformité technique, marquage CE, enregistrement dans la base de données européenne, documentation exhaustive, système de gestion des risques.
Déployeur
Utilise un système d’IA dans son activité professionnelle. Vérifier que le système est conforme, assurer la supervision humaine, informer les personnes concernées, conserver les journaux automatiques.
Importateur / distributeur
Introduit un système d’IA sur le marché européen. Vérifier la conformité du fournisseur, s’assurer que le marquage CE et la documentation sont en place.
La majorité des entreprises françaises sont des déployeurs. C’est le cas dès lors que vous achetez ou utilisez des outils IA développés par d’autres — ce qui inclut tous les outils SaaS intégrant de l’intelligence artificielle. Un fournisseur qui ne peut pas répondre à vos questions sur la documentation technique et la classification du risque représente un risque juridique en soi. Les PME et ETI sans direction marketing structurée sont souvent les moins bien outillées pour mener ce chantier.
Cas type
Une équipe RH active un outil de tri de CV via un abonnement SaaS pour gagner du temps. Tant que l’usage reste perçu comme un simple outil métier, il échappe souvent aux circuits de validation. Dès qu’on le classe au regard de l’Annexe III, il bascule en haut risque : supervision humaine, documentation fournisseur, traçabilité et information des candidats deviennent indispensables[1].
Sanctions et coûts : le prix de l’inaction
Les sanctions prévues sont proportionnées au niveau de risque et à la taille de l’entreprise[1]. Mais au-delà des amendes, un système non conforme peut être interdit d’exploitation sur le marché européen — un risque opérationnel bien supérieur au montant de l’amende.
Coût de l’inaction
Pratiques interdites : jusqu’à 35 M€ ou 7 % du CA mondial.
Systèmes haut risque non conformes : jusqu’à 15 M€ ou 3 % du CA.
Manquements de transparence : jusqu’à 7,5 M€ ou 1 % du CA.
Risque additionnel : interdiction d’exploitation du système sur le marché européen.
Coût de la préparation
Pour une PME déployeuse de systèmes à haut risque : 2 000 à 8 000 €/an, audit et formation compris, selon la Direction générale des Entreprises[6].
Pour une ETI, le poste principal est la structuration de la gouvernance interne, plus que les outils.
Un audit IA permet d’identifier les priorités en quelques semaines.
Ce qu’il faut mettre en place maintenant
La mise en conformité n’exige pas de tout faire simultanément. Le Cigref recommande une approche progressive en cinq chantiers[3].
Inventorier les systèmes IA
Recenser chaque outil d’IA utilisé dans l’organisation, y compris ceux non référencés par la DSI. Assistants de rédaction, transcription, plugins d’analyse, scoring — tout compte. Tenir un registre vivant traçant fournisseur, propriétaire interne et périmètre d’utilisation[3].
Classifier par niveau de risque
Pour chaque outil, déterminer s’il relève du risque minimal, limité ou haut. Les usages RH (tri de CV, évaluation de performance), le scoring client et les systèmes biométriques sont presque toujours classés haut risque au sens de l’Annexe III[1].
Désigner un référent IA
DPO, DSI ou dirigeant selon la taille de l’organisation. Son rôle : coordonner la conformité, coordonner les directions métiers, juridique et IT, assurer le reporting[3].
Les deux chantiers suivants demandent plus de temps, mais conditionnent la robustesse du dispositif.
4. Documenter et structurer la gouvernance. Rédiger une politique IA interne définissant trois zones : ce qui est autorisé, ce qui est encadré, ce qui est interdit. Intégrer les obligations de transparence (article 50) et de supervision humaine (article 26). Prévoir un processus de validation avant tout déploiement de nouvel outil IA. Les organisations qui structurent déjà leur gouvernance BYOAI disposent d’une base solide pour cette étape.
5. Former les équipes. L’article 4 du règlement impose déjà, depuis février 2025, une obligation de compétence IA pour tous les acteurs — fournisseurs comme déployeurs[1]. La formation ne concerne pas uniquement les développeurs. DPO, managers, équipes métiers, RH, acheteurs sont tous concernés. Le Cigref recommande d’acculturer l’ensemble des acteurs aux risques liés à l’IA et aux moyens de les maîtriser[3].
L’essentiel
Les étapes 1 à 3 (inventaire, classification, référent) peuvent être réalisées en quelques semaines. Les étapes 4 et 5 (gouvernance, formation) s’inscrivent dans la durée. Commencer par l’inventaire, c’est déjà réduire considérablement son exposition.
Le report Omnibus : ce qui change et ce qui reste
En novembre 2025, la Commission européenne a proposé un Digital Omnibus qui reporterait l’application des obligations pour les systèmes à haut risque (Annexe III) du 2 août 2026 au 2 décembre 2027[5]. Les commissions IMCO et LIBE du Parlement européen ont adopté cette orientation le 18 mars 2026, par 101 voix contre 9. Les négociations avec le Conseil sont en cours.
Les entreprises qui déploient des systèmes à haut risque pourraient donc disposer de seize mois supplémentaires. Mais trois points restent inchangés :
— Les interdictions de pratiques à risque inacceptable sont en vigueur depuis février 2025.
— Les obligations relatives aux modèles GPAI sont en vigueur depuis août 2025.
— Les exigences de transparence (article 50) sont maintenues au 2 août 2026.
Recommandation
La prudence consiste à se préparer sur le calendrier initial (août 2026) et à traiter le report éventuel comme un délai de marge, pas comme un signal d’attente. Les organisations qui engagent leur cartographie et leur gouvernance maintenant seront en meilleure posture, quelle que soit la date finale.
Questions fréquentes
L’AI Act concerne-t-il les PME ?
Oui. Le règlement s’applique à toute organisation qui développe, distribue ou utilise un système d’IA dans l’Union européenne, quelle que soit sa taille. Les PME bénéficient de mesures d’allègement : accès prioritaire aux bacs à sable réglementaires et réduction des frais d’évaluation de conformité. Le coût estimé pour une PME déployeuse se situe entre 2 000 et 8 000 € par an.
Un chatbot interne est-il concerné ?
Un chatbot interne relève généralement du risque limité. L’obligation principale est d’informer les utilisateurs qu’ils interagissent avec une IA (article 50). Si le chatbot traite des données personnelles sensibles ou intervient dans des décisions RH, il peut basculer en haut risque.
Faut-il nommer un référent IA ?
Le règlement ne crée pas de fonction obligatoire équivalente au DPO du RGPD. En revanche, le Cigref et la CNIL recommandent de désigner un responsable de la conformité IA. Un audit IA peut aider à définir ce rôle et son périmètre.
L’AI Act remplace-t-il le RGPD ?
Non. Les deux réglementations s’appliquent simultanément. L’AI Act encadre la mise sur le marché et l’utilisation des systèmes d’IA. Le RGPD encadre le traitement des données personnelles. Un système d’IA qui traite des données personnelles doit être conforme aux deux textes. La CNIL contrôle les deux dimensions.
Les sanctions sont-elles déjà applicables ?
Partiellement. Les sanctions pour les pratiques interdites (risque inacceptable) sont applicables depuis le 2 février 2025. Les sanctions pour les systèmes à haut risque entreront en vigueur au 2 août 2026, sauf report lié au Digital Omnibus.
Par où commencer la conformité ?
Par un inventaire des systèmes d’IA utilisés dans l’organisation. C’est la première étape recommandée par le Cigref et la Commission européenne. Un audit IA permet de réaliser cette cartographie et d’identifier les priorités d’action.
Sources et références
- Règlement (UE) 2024/1689 du Parlement européen et du Conseil du 13 juin 2024 établissant des règles harmonisées concernant l’intelligence artificielle (règlement sur l’intelligence artificielle) — Journal officiel de l’Union européenne, 12 juillet 2024
- Service-public.fr, « AI Act : quels changements pour les entreprises ?" — entreprendre.service-public.gouv.fr, 2025
- Cigref, « Guide de mise en œuvre de l’AI Act : Cartographie des obligations applicables aux organisations" — cigref.fr, janvier 2025
- CNIL, « Entrée en vigueur du règlement européen sur l’IA : les premières questions-réponses" — cnil.fr, 2024
- Parlement européen, « Digital Omnibus on AI" — Legislative Train Schedule, europarl.europa.eu, mars 2026
- Direction générale des Entreprises (DGE), « Les autorités compétentes pour la mise en œuvre du règlement européen sur l’intelligence artificielle" — entreprises.gouv.fr
Vous souhaitez évaluer votre exposition à l’AI Act et structurer un plan de conformité ?
Échanger avec Raphaël UhlrichConseil et formation IA depuis 2018 · Cadre appuyé sur 6 sources institutionnelles · Premier échange sans engagement