Le compte à rebours est lancé. Dans moins de 55 jours, le 2 août 2026, l’essentiel du règlement européen sur l’intelligence artificielle — le fameux AI Act — entrera en vigueur. Pour des milliers d’entreprises européennes et non-européennes qui utilisent ou développent des systèmes d’IA dans l’Union européenne, c’est une deadline impossible à ignorer.
Retour sur l’AI Act : le premier cadre légal mondial sur l’IA
Adopté officiellement en 2024, l’AI Act (Règlement (UE) 2024/1689) est le premier cadre légal complet au monde sur l’intelligence artificielle. Son ambition : protéger les droits fondamentaux des citoyens européens tout en permettant à l’IA de se développer de manière responsable.
L’AI Act s’applique à un spectre très large d’acteurs :
- Les développeurs de systèmes d’IA (entreprises tech, startups, fournisseurs)
- Les déployeurs (entreprises qui utilisent des systèmes d’IA dans leurs activités)
- Tout acteur, quel que soit son pays d’origine, dès lors que ses systèmes sont utilisés dans l’UE
En clair : si vous êtes une startup française, une PME allemande, ou même une grande entreprise américaine avec des clients européens, l’AI Act vous concerne.
La chronologie des obligations
L’AI Act s’est mis en place progressivement depuis 2024 :
| Date | Obligation |
|---|---|
| Août 2024 | Entrée en vigueur du règlement |
| Février 2025 | Interdiction des pratiques IA à haut risque |
| Février 2026 | Guidelines Commission sur les systèmes à haut risque |
| 2 août 2026 | Application de la majorité des règles ✅ ← On y est |
| 2 août 2027 | Application complète (article 6(1)) |
Ce qui est déjà interdit depuis février 2025
Depuis plus d’un an, 8 pratiques sont bannies de l’Union européenne :
- Manipulation et tromperie IA — systèmes qui exploitent les failles psychologiques pour influencer les comportements
- Exploitation des vulnérabilités — IA ciblant des groupes vulnérables (enfants, personnes âgées, personnes en situation de handicap)
- Notation sociale (social scoring) — systèmes qui évaluent et classent les personnes sur la base de comportements sociaux
- Prédiction de criminalité individuelle — évaluer le risque criminel d’une personne uniquement sur la base de son profil
- Scraping non ciblé de la biométrie — création de bases de données de reconnaissance faciale en scrappant internet ou des caméras de surveillance
- Reconnaissance d’émotions au travail ou à l’école — détecter les émotions des employés ou des élèves
- Catégorisation biométrique pour déduire des caractéristiques protégées (race, opinions politiques, religion)
- Identification biométrique en temps réel à des fins policières dans l’espace public
Ce qui change le 2 août 2026
Les systèmes IA à haut risque : les nouvelles obligations
Le cœur de l’AI Act concerne les systèmes d’IA à haut risque — ceux déployés dans des secteurs sensibles comme :
- Infrastructure critique : eau, électricité, transport
- Éducation : systèmes d’admission, d’évaluation, de suivi des élèves
- Emploi et RH : recrutement automatisé, évaluation des performances, licenciements assistés par IA
- Services essentiels : scoring de crédit, évaluation d’assurance
- Répression policière : analyse prédictive, traitement de preuves
- Gestion des frontières : contrôle des visas, détection de risques
- Justice : outils d’aide à la décision judiciaire
Pour tous ces systèmes, les obligations sont drastiques à partir du 2 août 2026 :
1. Système de gestion des risques
Tout déployeur doit implémenter un système de gestion des risques tout au long du cycle de vie du système IA — identification des risques, évaluation, mesures d’atténuation.
2. Gouvernance des données
Les données d’entraînement, de validation et de test doivent être documentées, pertinentes, représentatives et aussi exemptes d’erreurs et de biais que possible.
3. Documentation technique
Un dossier technique complet doit être maintenu — architecture du modèle, données d’entraînement, performances sur les benchmarks, mesures de sécurité.
4. Journaux d’activité automatique
Les systèmes à haut risque doivent tenir des logs automatiques — traçabilité de toutes les décisions prises par l’IA.
5. Transparence et information
Les utilisateurs affectés par une décision d’IA à haut risque doivent être informés qu’ils interagissent avec un système automatisé.
6. Supervision humaine
Des mécanismes de contrôle humain doivent permettre de surveiller, corriger ou arrêter le système IA si nécessaire.
7. Exactitude, robustesse, cybersécurité
Les systèmes doivent atteindre des niveaux adéquats d’exactitude et être protégés contre les attaques et les biais adversariaux.
8. Enregistrement dans la base de données UE
Certains systèmes à haut risque doivent être enregistrés dans la base de données publique EU AI (gérée par la Commission européenne).
Les IA génératives et les modèles à usage général (GPAI)
Avec l’explosion de l’IA générative, l’AI Act a intégré des règles spécifiques pour les modèles d’IA à usage général (General Purpose AI, ou GPAI) — les ChatGPT, Claude, Gemini de ce monde :
- Transparence sur les données d’entraînement : les développeurs doivent publier un résumé du contenu utilisé pour l’entraînement (important pour les droits d’auteur)
- Politique de conformité au droit d’auteur : respect des contenus protégés
- Pour les GPAI à risque systémique (modèles très puissants) : évaluation des risques, mesures d’atténuation, signalement des incidents graves à la Commission
Les sandboxes réglementaires nationales
Une disposition moins connue mais importante : chaque État membre doit avoir au moins un sandbox réglementaire IA opérationnel d’ici le 2 août 2026. Ces sandboxes permettent aux startups et entreprises de tester des systèmes IA innovants dans un cadre contrôlé, avec un accompagnement des régulateurs.
En France, cela relève de la CNIL et de l’Autorité de Régulation de la Communication Audiovisuelle et Numérique (ARCOM), qui travaillent à mettre en place ces dispositifs.
Les sanctions : elles sont lourdes
L’AI Act prévoit des amendes significatives pour les contrevenants :
| Infraction | Amende maximale |
|---|---|
| Pratiques interdites (ex: manipulation) | 35 M€ ou 7 % du CA mondial |
| Non-conformité des systèmes à haut risque | 15 M€ ou 3 % du CA mondial |
| Informations incorrectes fournies aux autorités | 7,5 M€ ou 1 % du CA mondial |
Pour les PME et startups, les seuils sont adaptés — mais les risques réputationnels et légaux restent réels.
Que faire concrètement avant le 2 août 2026 ?
Étape 1 : Cartographier vos systèmes IA
Faites l’inventaire de tous les systèmes IA utilisés dans votre organisation : chatbots, outils de recrutement, scoring client, systèmes de surveillance, etc. Classez-les par niveau de risque.
Étape 2 : Identifier les systèmes à haut risque
Vérifiez si vos systèmes entrent dans les catégories de l’Annexe III de l’AI Act (RH, crédit, éducation, santé, infrastructure critique…).
Étape 3 : Nommer un AI Officer
Comme pour le RGPD, il est conseillé (et dans certains cas obligatoire) de désigner un responsable IA interne qui supervisera la conformité.
Étape 4 : Mettre à jour vos contrats fournisseurs
Si vous utilisez des solutions IA tierces (Salesforce, SAP, Microsoft 365 Copilot), vérifiez que vos contrats incluent des garanties de conformité AI Act.
Étape 5 : Former vos équipes
L’AI Act impose une culture de l’IA responsable dans l’organisation. Formations au risque IA, aux biais algorithmiques et aux procédures de supervision humaine doivent être prévues.
Ce qu’il faut retenir
- 2 août 2026 : l’essentiel de l’AI Act européen entre en vigueur — 55 jours pour se mettre en conformité
- 8 pratiques IA sont déjà interdites depuis février 2025 (manipulation, social scoring, reconnaissance émotionnelle au travail…)
- À partir du 2 août : obligations strictes pour les systèmes IA à haut risque (RH, crédit, éducation, infrastructure)
- Nouveaux modèles IA généraux (GPAI) : transparence sur les données d’entraînement et respect du droit d’auteur obligatoires
- Les sandboxes réglementaires nationales doivent être opérationnelles — opportunité pour les startups innovantes
- Amendes pouvant aller jusqu’à 35 M€ ou 7 % du CA mondial pour les infractions les plus graves
- L’AI Act s’applique à toute entreprise proposant des services IA aux citoyens européens, y compris les entreprises non-européennes
- Actions prioritaires : cartographier vos IA, identifier les systèmes à haut risque, nommer un AI Officer, former vos équipes
