AI Act 2026 : obligations pour les entreprises, étape par étape

·

Le Règlement (UE) 2024/1689 sur l'Intelligence Artificielle, connu sous le nom d'AI Act, est la première législation mondiale globale sur l'IA et s'applique directement dans tous les États membres de l'UE sans transposition nationale. Ce n'est pas une directive que chaque pays adapte ; c'est un règlement d'application directe et obligatoire. Si votre entreprise utilise, développe, importe ou distribue des systèmes d'IA sur le marché européen, elle a déjà des obligations actives. Ce qui reste à activer, selon les délais en vigueur en juin 2026, ce sont les règles les plus exigeantes pour les systèmes à haut risque. Mais cela ne signifie pas attendre : le temps de se préparer, c'est maintenant.

Ce guide explique, de façon concrète et sans jargon inutile, ce qu'impose l'AI Act à une entreprise en 2026, quels sont les délais réels après la dernière réforme (le Digital Omnibus de mai 2026), quelles sanctions vous risquez si vous n'agissez pas et comment structurer la conformité depuis un département de compliance ou depuis la direction générale.

Qu'est-ce que l'AI Act et pourquoi vous concerne-t-il même si vous n'êtes pas une entreprise technologique ?

L'AI Act ne réglemente pas uniquement les entreprises qui développent des logiciels d'intelligence artificielle. Il réglemente toute organisation qui met en service ou utilise un système d'IA dans l'Union européenne, qu'elle ait acheté ce système à un fournisseur externe ou qu'elle l'ait développé en interne. Un cabinet d'avocats qui utilise un système automatisé pour examiner des contrats, une entreprise industrielle qui applique la vision artificielle sur sa ligne de production, un département RH qui utilise un logiciel de sélection avec algorithmes de notation des candidats : tous entrent dans le champ d'application du règlement.

Le règlement classe les systèmes d'IA en quatre catégories selon le niveau de risque qu'ils présentent pour les droits fondamentaux et la sécurité des personnes. Cette classification détermine quelles obligations concrètes incombent à chaque opérateur.

Les quatre catégories de risque de l'AI Act

Catégorie Description Exemples Régime applicable
Risque inacceptable (interdit) Systèmes qui portent atteinte aux droits fondamentaux ou manipulent les personnes à leur insu Notation sociale par des autorités publiques ; manipulation subliminale ; biométrie à distance en temps réel dans les espaces publics (avec exceptions) ; systèmes exploitant les vulnérabilités de groupes protégés ; nudifiers sans consentement (interdiction étendue déc. 2026) Interdiction absolue depuis le 2 février 2025
Haut risque (Annexe III) Systèmes ayant un impact significatif sur les droits, la sécurité ou l'accès aux services essentiels Logiciel de notation automatisée des candidats RH ; scoring de crédit ; systèmes de catégorisation biométrique ; outils d'évaluation éducative ; gestion des infrastructures critiques ; systèmes de décision en matière de migration et d'asile Obligations complètes à partir du 2 décembre 2027 (délai reporté par le Digital Omnibus)
Haut risque (Annexe I) IA intégrée dans des produits réglementés par une législation sectorielle (machines, dispositifs médicaux, véhicules, jouets…) Diagnostic médical assisté par IA ; systèmes de contrôle de machines industrielles ; IA dans les véhicules autonomes Obligations complètes à partir du 2 août 2028
Risque limité Systèmes présentant des risques de transparence gérables par information de l'utilisateur Chatbots ; générateurs d'images ou de texte ; systèmes de recommandation Obligations de transparence (informer l'utilisateur qu'il interagit avec une IA)
Risque minimal Systèmes sans impact significatif sur les personnes Filtres antispam ; assistants de recherche interne ; outils de productivité de base Aucune obligation spécifique au titre de l'AI Act (bonnes pratiques volontaires)

Délais réels en juin 2026 : ce qui est déjà en vigueur et ce qui arrive

L'un des aspects les plus déroutants de l'AI Act est son calendrier échelonné. Nous détaillons ci-dessous les étapes déjà en vigueur et les prochaines, en intégrant les modifications introduites par le Digital Omnibus (accord provisoire du 7 mai 2026, qui reporte les délais pour les systèmes à haut risque de l'Annexe III et étend certaines interdictions).

Février 2025 — Interdictions absolues en vigueur

Depuis le 2 février 2025, les pratiques d'IA considérées comme présentant un risque inacceptable sont interdites (article 5 du Règlement) : manipulation subliminale, notation sociale par des organismes publics, biométrie à distance en temps réel dans les espaces publics (sauf exceptions de sécurité nationale strictement définies), systèmes exploitant les vulnérabilités de groupes spécialement protégés, et systèmes d'inférence des émotions sur le lieu de travail ou dans les établissements d'enseignement à des fins autres que la sécurité. Si votre entreprise utilisait l'un de ces systèmes, elle aurait dû le retirer ou l'adapter avant cette date.

Août 2025 — Littératie en IA et modèles GPAI

Depuis le 2 août 2025, deux blocs d'obligations pertinents pour pratiquement toute entreprise sont en vigueur :

Août 2026 — Application complète et pleine capacité de sanction de l'AESIA

Le 2 août 2026 est la date à laquelle l'AI Act atteint sa pleine application pour l'essentiel des obligations générales. À partir de ce moment, l'AESIA dispose d'une pleine capacité d'inspection, de réquisition de documentation et de sanction. Bien que les délais pour les systèmes à haut risque aient été reportés par le Digital Omnibus, le reste du Règlement — y compris les obligations de gouvernance, de transparence et de littératie — est pleinement exigible et sanctionnable.

Décembre 2027 — Obligations complètes pour les systèmes à haut risque (Annexe III)

Suite au Digital Omnibus de mai 2026, les systèmes classés à haut risque selon l'Annexe III (biométrie, RH, crédit, infrastructures critiques, éducation, migration, justice) doivent respecter le régime complet de l'AI Act à partir du 2 décembre 2027. Ce report de seize mois par rapport au plan initial (août 2026) a été négocié par la Commission européenne pour donner du temps aux entreprises et aux administrations. Toutefois, la préparation doit commencer maintenant : les exigences sont substantielles (voir la section suivante).

Août 2028 — Systèmes à haut risque intégrés dans des produits (Annexe I)

Les systèmes d'IA intégrés dans des produits soumis à une législation sectorielle de sécurité (Directive Machines, Règlement sur les dispositifs médicaux, etc.) ont jusqu'au 2 août 2028 pour se conformer.

Quelles obligations concrètes votre entreprise a-t-elle si elle utilise des systèmes à haut risque ?

Si votre entreprise exploite des systèmes classés à haut risque (un module de notation des candidats en RH, un système de scoring pour l'approbation de crédit interne, une plateforme de vidéosurveillance avec reconnaissance faciale…), les obligations de l'AI Act sont les plus exigeantes du Règlement. Voici l'essentiel de ce que vous devrez avoir documenté et opérationnel avant le 2 décembre 2027 :

1. Système de gestion des risques spécifique à l'IA

Vous devez établir, documenter, appliquer et maintenir un système de gestion des risques tout au long du cycle de vie du système d'IA. Une clause dans le contrat avec le fournisseur ne suffit pas : il faut identifier les risques raisonnablement prévisibles du système, les estimer, les évaluer et adopter des mesures de gestion proportionnées. Ce processus doit être révisé périodiquement et à chaque modification substantielle du système.

2. Gouvernance et qualité des données d'entraînement

Si vous développez ou adaptez le modèle, vous devez documenter vos pratiques de gouvernance des données : origine des données, procédures d'épuration, biais identifiés et mesures correctives. Même en tant que déployeur (entreprise qui achète et utilise le système sans le développer), vous avez l'obligation de surveiller que le système fonctionne conformément à sa finalité et de documenter les incidents.

3. Documentation technique et journaux d'activité

L'AI Act exige une documentation technique détaillée pour chaque système à haut risque : description du système, finalité prévue, données utilisées, métriques de performance, limitations connues et mesures de surveillance humaine. De plus, les systèmes à haut risque doivent générer des journaux automatiques (logs) permettant de retracer leur fonctionnement pendant une période minimale de six mois à compter de l'utilisation.

4. Transparence et information des utilisateurs

Les personnes concernées par un système à haut risque (candidats évalués, demandeurs de crédit, personnes dans des zones de vidéosurveillance) doivent recevoir des informations claires sur l'existence du système, sa finalité et les droits dont elles disposent. Cela s'intègre aux droits du RGPD (articles 13 et 14) lorsque le système traite des données personnelles.

5. Supervision humaine

Les systèmes à haut risque doivent être conçus pour que des personnes physiques puissent surveiller, interrompre ou annuler leur fonctionnement. En pratique, cela signifie qu'aucune décision à fort impact — sélection d'un candidat, refus de crédit, restriction d'accès à un service essentiel — ne peut être adoptée de manière entièrement automatisée sans possibilité de révision humaine.

6. Évaluation de conformité et enregistrement

Avant de mettre en service un système à haut risque, une évaluation de conformité doit être réalisée. Pour la plupart des systèmes de l'Annexe III, cette évaluation peut être effectuée par le fournisseur lui-même par auto-évaluation, à condition de disposer de la documentation requise. Le système doit être enregistré dans la base de données européenne sur l'IA (gérée par la Commission européenne) avant sa mise en service.

Obligations applicables à toutes les entreprises (pas seulement à haut risque)

Même si votre entreprise n'utilise pas de systèmes à haut risque, l'AI Act impose des obligations horizontales déjà en vigueur ou entrant en vigueur en août 2026 :

Sanctions : combien pouvez-vous perdre en ne respectant pas l'AI Act ?

Le régime de sanctions de l'AI Act est le plus élevé de toute la réglementation numérique européenne, dépassant même le RGPD dans les cas les plus graves :

Type d'infraction Sanction maximale
Utilisation de pratiques d'IA interdites (art. 5) 35 millions d'euros ou 7 % du chiffre d'affaires mondial annuel total (le montant le plus élevé)
Non-respect des obligations pour les fournisseurs ou déployeurs d'IA à haut risque 15 millions d'euros ou 3 % du chiffre d'affaires mondial annuel total
Fourniture d'informations incorrectes ou trompeuses aux autorités de surveillance 7,5 millions d'euros ou 1 % du chiffre d'affaires mondial annuel total

Pour les PME et les personnes physiques, le Règlement prévoit que les sanctions seront proportionnées à la taille et aux ressources de l'organisation, mais ne les exonère pas de responsabilité. L'AESIA, opérationnelle depuis mars 2025, a publié son plan de supervision pour le second semestre 2026, en se concentrant d'abord sur les secteurs à plus fort impact (RH, services financiers, administration publique) et sur le respect de l'obligation de littératie en IA.

Comment structurer la conformité à l'AI Act dans votre entreprise : une feuille de route en cinq étapes

Dans notre service de conseil AI Act, nous travaillons avec une approche structurée qui permet à l'entreprise de passer de zéro à un dossier de conformité auditable dans un délai raisonnable. Voici les cinq étapes essentielles :

Étape 1 — Inventaire et classification des systèmes d'IA

Le point de départ est de savoir quels systèmes d'IA votre entreprise utilise : outils SaaS avec composants d'IA, développements internes, automatisations avec modèles de langage, systèmes de vision artificielle, assistants conversationnels… Pour chaque système, sa catégorie de risque est déterminée selon les critères du Règlement. Cet inventaire est le fondement de tout programme de conformité et permet de prioriser les efforts.

Étape 2 — Analyse des écarts (gap analysis)

L'inventaire en main, on analyse l'écart entre la situation actuelle et les exigences de l'AI Act pour chaque système. Pour les systèmes à risque faible ou minimal, l'écart est généralement réduit (mise à jour des textes légaux, ajout d'informations à l'utilisateur). Pour les systèmes à haut risque, l'écart peut être significatif : manque de documentation technique, absence de journaux, nécessité de repenser les processus de supervision humaine.

Étape 3 — Plan d'action et feuille de route

Sur la base de l'analyse des écarts, un plan d'action est défini avec des responsables, des délais et des ressources. Le plan doit distinguer les actions immédiates (respecter les obligations déjà actives comme la littératie en IA) des actions à moyen terme (préparer la documentation technique pour les systèmes à haut risque avant le délai de décembre 2027).

Étape 4 — Mise en œuvre : documentation, processus et formation

Cette phase comprend la rédaction de la documentation technique requise, la mise en place de systèmes de journalisation et de surveillance, la mise à jour des avis de transparence envers les utilisateurs concernés (intégration avec les politiques de confidentialité du RGPD), et les programmes de formation à la littératie en IA pour le personnel concerné.

Étape 5 — Révision et maintenance continues

L'AI Act est un règlement de cycle de vie : les obligations ne se remplissent pas une fois pour toutes. L'inventaire doit être révisé à chaque adoption d'un nouveau système d'IA, la documentation doit être mise à jour en cas de modifications substantielles des systèmes existants, et les journaux d'activité doivent rester actifs. De plus, le Règlement lui-même et les normes techniques harmonisées qui seront publiées périodiquement peuvent imposer des ajustements réguliers.

L'AI Act et ses relations avec le RGPD, NIS2 et ISO 42001

L'AI Act ne fonctionne pas en vase clos : il interagit avec d'autres réglementations que votre entreprise est peut-être déjà en train de respecter ou qui vous concernent également. Comprendre ces intersections évite le travail en double et assure une gouvernance numérique cohérente.

Si votre entreprise travaille déjà sur la conformité NIS2, nous recommandons de coordonner les deux initiatives. Vous pouvez en savoir plus sur notre conseil NIS2 et DORA pour les entreprises exposées à la réglementation en cybersécurité.

Questions fréquentes

L'AI Act me concerne-t-il si j'utilise uniquement des outils SaaS tiers avec IA, comme ChatGPT ou Copilot ?

Oui, mais avec moins d'obligations que si vous étiez le développeur du système. En tant que déployeur (entreprise qui utilise un système d'IA développé par un tiers), vous avez des obligations spécifiques : vous assurer que le système est utilisé aux fins prévues, surveiller son fonctionnement, informer les utilisateurs le cas échéant et, si le système est à haut risque, documenter son utilisation et maintenir les journaux requis. Le fournisseur (Microsoft, OpenAI, etc.) assume les obligations propres au fournisseur, mais cela ne vous exonère pas de vos propres obligations en tant que déployeur.

Qu'est-ce exactement que la « littératie en IA » exigée par l'article 4 et comment la justifier ?

L'article 4 de l'AI Act oblige les fournisseurs et les déployeurs de systèmes d'IA à prendre des mesures pour garantir un niveau suffisant de littératie en IA chez leur personnel. Le Règlement ne fixe pas un nombre d'heures de formation ni un contenu précis. En pratique, l'AESIA recommande que les entreprises élaborent un plan de formation proportionné à leur utilisation de l'IA, documentent qui a reçu quelle formation et soient en mesure de présenter cette documentation lors d'une inspection. Le niveau exigé varie selon le rôle : l'attente n'est pas la même pour un opérateur qui utilise un système dopé à l'IA sans prendre de décisions à son sujet que pour un dirigeant qui approuve le déploiement d'un système à haut risque.

Qu'a changé le Digital Omnibus de mai 2026 et est-il toujours contraignant ?

Le Digital Omnibus est un accord provisoire conclu le 7 mai 2026 entre la Commission européenne, le Parlement européen et le Conseil de l'UE. Ses modifications les plus pertinentes pour les entreprises sont : (1) report des obligations complètes pour les systèmes à haut risque de l'Annexe III du 2 août 2026 au 2 décembre 2027 ; (2) extension de l'interdiction d'IA à risque inacceptable pour inclure les nudifiers sans consentement, avec effet à partir de décembre 2026. À juin 2026, l'accord était en cours d'adoption formelle, mais le texte provisoire est celui qui guide la planification de la conformité. Les obligations déjà en vigueur (interdictions depuis février 2025, littératie en IA et modèles GPAI depuis août 2025) n'ont pas été modifiées.

Qui est l'autorité de surveillance de l'AI Act en Espagne et que peut-elle faire ?

L'Agence espagnole de supervision de l'intelligence artificielle (AESIA), dont le siège est à La Corogne, est l'autorité nationale compétente désignée en Espagne pour la surveillance de l'AI Act. Elle est opérationnelle depuis mars 2025. À partir du 2 août 2026, elle dispose d'une pleine capacité pour effectuer des inspections, demander de la documentation technique, imposer des mesures conservatoires (y compris le retrait d'un système du marché) et proposer des sanctions. Elle peut agir de sa propre initiative ou à la suite d'une plainte. L'AESIA publie des guides et des orientations sur aesia.gob.es qui, sans être juridiquement contraignants, servent de référence aux bonnes pratiques reconnues par l'autorité de surveillance.