Quand l'AI Act devient-il pleinement applicable ?

Le règlement européen AI Act (UE 2024/1689) est en vigueur depuis le 1er août 2024, mais son application est échelonnée. Les interdictions des pratiques inacceptables (scoring social, manipulation comportementale) sont effectives depuis le 2 février 2025. Les obligations pour les modèles d'IA à usage général (GPAI type GPT, Claude, Mistral) s'appliquent depuis le 2 août 2025. Suite au Digital Omnibus (accord provisoire Conseil/Parlement du 7 mai 2026, adoption formelle attendue avant le 2 août 2026), les obligations pour les systèmes IA à haut risque de l'annexe III (RH, santé, crédit, justice, éducation, biométrie) deviennent applicables le 2 décembre 2027. L'article 6(1) (systèmes IA intégrés à des produits réglementés annexe I : santé, transports, machines, jouets) est repoussé au 2 août 2028, date à laquelle les fournisseurs GPAI antérieurs à août 2025 doivent aussi être conformes.

Quels systèmes IA sont classés à haut risque ?

L'annexe III du règlement liste 8 domaines où les systèmes IA sont considérés à haut risque : identification biométrique à distance, infrastructures critiques (énergie, eau, transport), éducation et formation professionnelle (évaluation des apprenants, admission), emploi et ressources humaines (tri CV, évaluation des salariés), accès aux services essentiels (crédit bancaire, assurance, aides sociales, services d'urgence), application de la loi, contrôle des frontières et immigration, administration de la justice et processus démocratiques. Un système IA utilisé dans ces domaines pour prendre ou influencer des décisions significatives affectant des personnes est considéré à haut risque.

Quelles sont les obligations pour un système IA haut risque ?

Six obligations majeures pour le fournisseur. 1) Système de gestion des risques documenté et mis à jour en continu. 2) Documentation technique exhaustive (description du système, données d'entraînement, limites, cas d'usage prévus). 3) Transparence et traçabilité (journalisation automatique des événements). 4) Contrôle humain effectif : le système doit être conçu pour pouvoir être efficacement supervisé par des personnes physiques (article 14). Le déployeur (article 26) met ensuite en œuvre cette supervision. 5) Robustesse, précision et cybersécurité du système. 6) CE marking avant mise sur le marché. Enregistrement dans la base de données européenne pour les systèmes haut risque.

Qui est responsable de la conformité AI Act ?

Le règlement distingue plusieurs rôles : le fournisseur (provider) qui développe ou fait développer le système IA, le déployeur (deployer) qui utilise le système dans son activité professionnelle, l'importateur, le distributeur. Chacun a des obligations spécifiques. Une entreprise qui utilise ChatGPT pour trier des CV est considérée comme déployeur d'un système IA haut risque et doit garantir le contrôle humain des décisions, même si elle n'a pas développé le modèle. OpenAI est fournisseur de GPT. Les obligations se cumulent, ne se partagent pas.

Quelles sont les sanctions en cas de non-conformité AI Act ?

Trois niveaux de sanctions. Pour les pratiques interdites (systèmes à risque inacceptable) : jusqu'à 35 millions d'euros ou 7% du chiffre d'affaires mondial annuel. Pour les autres infractions aux obligations (systèmes haut risque non conformes, absence de CE marking, défaut de transparence) : jusqu'à 15 millions d'euros ou 3% du CA mondial. Pour fourniture d'informations incorrectes ou trompeuses aux autorités : jusqu'à 7,5 millions d'euros ou 1% du CA mondial. En France, la CNIL est l'autorité de référence (loi DDADUE validée au Sénat le 17 février 2026), avec une quinzaine d'autorités sectorielles. Au Luxembourg, la CNPD est l'autorité de référence et point de contact unique depuis novembre 2024.

Une PME française est-elle concernée par l'AI Act ?

Toute entreprise qui développe, fournit ou utilise un système IA est concernée par le règlement, sans seuil de taille. Les PME qui utilisent l'IA uniquement sur des systèmes à risque limité (chatbot client, génération de contenu marketing) ont des obligations légères (transparence sur l'usage IA). Les PME qui déploient un système classé haut risque (par exemple un outil de tri de CV ou d'évaluation de demandes de crédit) doivent se mettre en conformité complète au 2 décembre 2027 (échéance repoussée par le Digital Omnibus), même avec 10 salariés. Le règlement prévoit des mécanismes de soutien aux PME (bacs à sable réglementaires, accompagnement) mais pas d'exemption.

Mon SaaS qui utilise ou intègre de l'IA doit-il faire une déclaration ?

Cela dépend du niveau de risque et du rôle. Si votre SaaS utilise l'IA pour un usage à risque limité (chatbot client, génération de contenu, recommandation), aucune déclaration n'est requise, juste informer l'utilisateur qu'il interagit avec une IA. Si votre SaaS intègre une IA classée haut risque (tri CV, scoring crédit, évaluation scolaire), vous devenez fournisseur d'un système haut risque : enregistrement obligatoire dans la base de données européenne, CE marking, documentation technique complète, audit de conformité. Cas du fine-tuning : un acteur en aval ne devient fournisseur GPAI à part entière que si la modification dépasse environ un tiers du compute d'entraînement du modèle d'origine (seuil indicatif Commission). En pratique, la plupart des fine-tunings réalisés par les entreprises ne franchissent pas ce seuil. La grande majorité des SaaS standards ne sont donc pas concernés par les déclarations.

AI Act 2026 : votre entreprise est-elle concernée ? Calendrier et sanctions

Par Adrien Weiser · Mis à jour le 12 mai 2026 · 12 min de lecture

Le règlement européen AI Act (UE 2024/1689) est la première régulation mondiale encadrant l'intelligence artificielle. En vigueur depuis le 1er août 2024, son calendrier d'application a été réajusté par le Digital Omnibus (accord provisoire Conseil/Parlement du 7 mai 2026) : les obligations pour les systèmes IA à haut risque de l'annexe III deviennent applicables le 2 décembre 2027. Sanctions en cas de non-conformité : jusqu'à 35 millions d'euros ou 7% du chiffre d'affaires mondial.

Mise à jour du 8 mai 2026 - Digital Omnibus sur l'IA. Le calendrier d'application de l'AI Act a été modifié par l'accord politique provisoire Conseil/Parlement du 7 mai 2026 (proposition initiale Commission européenne du 19 novembre 2025, publication officielle au Journal officiel de l'UE attendue dans les semaines à venir). Les obligations pour les systèmes IA à haut risque de l'annexe III (RH, crédit, santé, éducation, justice, biométrie) sont reportées du 2 août 2026 au 2 décembre 2027. Celles de l'article 6(1) (systèmes IA intégrés à des produits réglementés annexe I : santé, transports, machines, jouets) sont reportées du 2 août 2027 au 2 août 2028. Les obligations de marquage du contenu généré par IA (article 50(2), texte/image/audio) sont également repoussées au 2 décembre 2026 (au lieu du 2 août 2026 initialement prévu). Une clause d'activation anticipée est prévue : si la Commission européenne constate que les standards harmonisés sont prêts plus tôt, l'application peut intervenir 6 mois après cette décision pour l'annexe III, 12 mois après pour l'annexe I. Le présent guide reflète ces nouvelles échéances.

Au-delà du calendrier et des sanctions, ce règlement clarifie deux questions de fond pour les entreprises : la souveraineté des données qui circulent dans les systèmes IA, et la chaîne de responsabilité quand un outil prend une décision sur une personne. La question vaut autant pour les outils officiellement déployés que pour les usages informels (le "shadow IA"), puisque le règlement ne distingue pas les deux.

Ce guide s'adresse aux dirigeants, DSI, DPO et équipes IA des entreprises qui développent ou utilisent de l'intelligence artificielle. Il couvre : la classification des systèmes IA en 4 niveaux de risque, les obligations concrètes pour les systèmes haut risque, le calendrier 2026, les autorités compétentes en France et au Luxembourg, le budget indicatif. Sources officielles : règlement UE 2024/1689, Commission européenne, CNIL (France), CNPD (Luxembourg), AI Office.

En 30 secondes : suis-je concerné par l'AI Act ?

Tableau de décision rapide selon votre usage de l'IA. Si plusieurs lignes vous concernent, c'est la plus contraignante qui s'applique.

Votre situation IA	Vous êtes	Échéance	Premier geste
Usage prohibé : notation sociale, manipulation cognitive, biométrie en temps réel en espace public hors cas autorisés.	Interdit	Effectif depuis le 2 février 2025	Arrêter l'usage immédiatement.
Vous fournissez un modèle d'IA à usage général (GPAI) au-dessus des seuils Commission, ou un GPAI à risque systémique.	Concerné	Effectif depuis le 2 août 2025	Documenter le modèle (article 53), résumé des données d'entraînement, politique droit d'auteur.
Système IA haut risque annexe III : tri de CV, scoring crédit, diagnostic santé, évaluation scolaire, justice, biométrie d'identification.	Concerné	2 décembre 2027 (Digital Omnibus)	Inventaire + classification (méthodologie étapes 1 et 2).
Système IA intégré à un produit réglementé annexe I : dispositif médical, machine industrielle, jouet, véhicule, ascenseur.	Concerné	2 août 2028	Évaluation de conformité avec le régime sectoriel du produit.
Risque limité : chatbot client, génération de contenu marketing, recommandation produit, deepfake clairement identifié.	Obligations légères	Effectif depuis le 2 août 2025	Informer l'utilisateur qu'il interagit avec une IA ou que le contenu est synthétique.
Risque minimal : filtre antispam, IA de jeu, optimisation logistique interne sans impact sur des personnes.	Non concerné	-	Aucune obligation spécifique. Bonnes pratiques volontaires recommandées.

Cas particulier PME et entreprises de moins de 750 employés : le Digital Omnibus a étendu les facilités initialement réservées aux PME (sandboxes, accompagnement national, allègement documentaire) aux entreprises de moins de 750 salariés. Les montants des sanctions appliquent la règle du moindre entre pourcentage du CA mondial et plafond fixe (article 99(6)).

Cas particulier multi-rôles : si vous êtes à la fois fournisseur (vous mettez l'IA sur le marché sous votre marque) et déployeur (vous l'utilisez en interne), les obligations des deux rôles s'appliquent. Détail dans la section rôles et responsabilités plus bas.

Le calendrier d'application de l'AI Act

L'AI Act n'entre pas en vigueur en une fois. Le règlement prévoit une application échelonnée, avec des dates clés qui rythment la conformité.

Dates clés

1er août 2024 : entrée en vigueur du règlement UE 2024/1689.
2 février 2025 : les pratiques interdites (risque inacceptable) deviennent effectives : notation sociale, manipulation comportementale, identification biométrique en temps réel dans l'espace public (sauf exceptions).
2 août 2025 : obligations pour les modèles d'IA à usage général (GPAI) : GPT, Claude, Mistral, Gemini. Transparence sur les données d'entraînement, respect du droit d'auteur, évaluation des risques systémiques.
2 décembre 2027 (échéance repoussée par le Digital Omnibus, accord provisoire du 7 mai 2026) : application des obligations pour les systèmes haut risque de l'annexe III (RH, santé, crédit, justice, éducation, biométrie). CE marking, documentation technique, contrôle humain, enregistrement européen.
2 août 2028 (Digital Omnibus) : application de l'article 6(1) pour les systèmes IA intégrés à des produits réglementés annexe I (santé, transports, machines, jouets), avec mise en conformité des fournisseurs GPAI antérieurs à août 2025.

Le calendrier réajusté par le Digital Omnibus laisse aux entreprises qui déploient ou développent des systèmes IA haut risque jusqu'au 2 décembre 2027 pour atteindre la conformité (annexe III autonomes), et jusqu'au 2 août 2028 pour l'article 6(1) (systèmes intégrés annexe I). Les obligations sont substantielles : démarrer l'inventaire et la gap analysis dès 2026 reste la trajectoire raisonnable.

Les quatre niveaux de risque

L'AI Act classe les systèmes IA selon leur niveau de risque. Le niveau détermine les obligations applicables. Connaître à quelle catégorie appartient votre usage IA est la première étape.

1. Risque inacceptable (interdit depuis le 2 février 2025)

Systèmes IA dont l'usage est totalement interdit dans l'Union européenne par l'article 5 du règlement. Huit catégories couvertes :

Techniques subliminales ou manipulatrices qui altèrent le comportement et causent un préjudice significatif.
Exploitation des vulnérabilités liées à l'âge, au handicap ou à la situation économique.
Notation sociale (social scoring) entraînant un traitement préjudiciable injustifié.
Prédiction du risque criminel basée uniquement sur le profilage ou des traits de personnalité.
Création non ciblée de bases de reconnaissance faciale par scraping d'internet ou de CCTV.
Inférence des émotions sur le lieu de travail et dans les établissements éducatifs (sauf raisons médicales ou de sécurité).
Catégorisation biométrique déduisant la race, les opinions politiques, la religion ou l'orientation sexuelle.
Identification biométrique en temps réel dans l'espace public à des fins répressives, sauf exceptions strictes (recherche de victimes, menace imminente, suspects d'infractions graves) avec autorisation judiciaire ou administrative préalable.

Sanctions maximales pour ces pratiques : 35 M€ ou 7% du CA mondial annuel.

2. Risque élevé (applicable 2 décembre 2027 pour l'annexe III, post Digital Omnibus)

Systèmes IA utilisés dans les 8 domaines listés à l'annexe III du règlement et dont l'impact sur les personnes est significatif :

Identification biométrique à distance (reconnaissance faciale, empreintes, voix).
Infrastructures critiques : énergie, eau, transport, gestion du trafic.
Éducation et formation : évaluation des apprenants, admission, allocation de moyens.
Emploi et RH : tri de CV, évaluation des performances, décisions d'embauche ou de promotion.
Accès aux services essentiels : crédit bancaire, assurance, aides sociales, services d'urgence.
Application de la loi : prédiction d'infractions, évaluation de preuves.
Contrôle des frontières et immigration : évaluation de demandes d'asile ou de visa.
Administration de la justice et processus démocratiques.

3. Risque limité (obligations de transparence)

Systèmes IA qui interagissent avec des humains (chatbots, assistants virtuels) ou génèrent du contenu (texte, image, audio, vidéo synthétiques). Obligation principale : informer clairement l'utilisateur qu'il interagit avec une IA ou que le contenu est généré ou manipulé par IA (deepfakes). Les systèmes de génération de contenu marketing, chatbots client standards, assistants conversationnels sont dans cette catégorie. Obligations légères, pas de CE marking.

4. Risque minimal (pas d'obligation spécifique)

Filtres anti-spam, recommandations de contenu basiques, IA dans les jeux vidéo, usages internes sans impact sur des tiers. La grande majorité des usages IA courants. Aucune obligation spécifique au titre de l'AI Act, mais les règles RGPD, cybersécurité et droit du travail restent applicables.

Les obligations pour un système IA haut risque

Si votre système IA tombe dans la catégorie haut risque (annexe III), voici les six obligations concrètes à remplir avant le 2 décembre 2027 (échéance repoussée par le Digital Omnibus).

1. Système de gestion des risques

Identification et évaluation des risques pour la santé, la sécurité et les droits fondamentaux.
Processus itératif mis à jour pendant toute la durée de vie du système IA.
Tests réguliers, analyse des biais, mitigation documentée.

2. Documentation technique exhaustive

Description détaillée du système IA, architecture, modèles sous-jacents.
Données d'entraînement, de validation et de test : sources, méthodes de collecte, qualité, biais connus.
Performances attendues, limites, cas d'usage prévus et cas d'usage explicitement déconseillés.
Notice d'utilisation à destination du déployeur.

3. Transparence et traçabilité

Journalisation automatique des événements (logs) sur toute la durée de vie.
Conservation des logs permettant l'audit et l'explication des décisions du système.
Information claire à l'utilisateur final qu'il interagit avec un système IA haut risque.

4. Contrôle humain effectif (article 14)

Le fournisseur doit concevoir le système pour qu'il puisse être efficacement supervisé par des personnes physiques pendant son utilisation (article 14).
Interface homme-machine permettant de comprendre les capacités et limites du système.
Capacité d'intervenir, de revoir, contester et corriger les décisions significatives.
Mécanisme d'arrêt d'urgence permettant de désactiver le système en cas de dysfonctionnement.
Le déployeur (article 26) doit ensuite mettre en œuvre cette supervision avec des personnes formées et autorisées.

5. Robustesse, précision et cybersécurité

Niveau de précision documenté, acceptable pour l'usage prévu.
Résilience aux erreurs, aux attaques adversariales, à la manipulation des entrées.
Mesures de cybersécurité techniques et organisationnelles alignées avec l'état de l'art.

6. CE marking et enregistrement européen

Évaluation de conformité avant mise sur le marché (auto-évaluation ou par organisme notifié selon le type).
Apposition du marquage CE sur le système.
Enregistrement du système dans la base de données européenne des systèmes IA haut risque.
Déclaration de conformité UE signée, tenue à disposition des autorités.

Qui est responsable : fournisseur ou déployeur

Le règlement distingue plusieurs rôles avec des obligations distinctes. Comprendre lequel s'applique à votre situation est le prérequis de toute mise en conformité.

Fournisseur (provider)

Entité qui développe le système IA ou le fait développer, et qui le met sur le marché sous son propre nom. Exemples : OpenAI pour GPT, Anthropic pour Claude, Mistral pour ses modèles. Obligations complètes : documentation technique, conformité des données d'entraînement, CE marking, enregistrement européen, surveillance post-commercialisation.

Cas du fine-tuning : un acteur en aval (downstream modifier) ne devient fournisseur GPAI à part entière que si la modification atteint le seuil indicatif de la Commission, soit plus d'un tiers du compute ayant servi à entraîner le modèle d'origine (environ 3×10^21 FLOP avec les seuils actuels). En pratique, la grande majorité des fine-tunings réalisés par les entreprises ne franchit pas ce seuil. Quand il est franchi, seules s'appliquent les obligations spécifiques à la modification (documentation, résumé des données d'entraînement, politique de droit d'auteur) sur les données et le compute ajoutés.

Déployeur (deployer)

Entité qui utilise le système IA dans le cadre de son activité professionnelle, sous sa propre autorité. Exemples : une entreprise qui utilise un outil de tri de CV basé sur IA, un cabinet RH qui déploie un système d'évaluation des candidats, une banque qui automatise le scoring de demandes de crédit avec une solution tierce. Obligations principales (article 26) : utiliser le système conformément à la notice du fournisseur, assigner des personnes compétentes et formées à la supervision humaine, surveiller le fonctionnement et déclarer les incidents graves à l'autorité, conserver les logs au moins six mois, informer les travailleurs avant utilisation sur le lieu de travail, informer les personnes impactées par les décisions.

FRIA (Fundamental Rights Impact Assessment, article 27) : avant la première utilisation, certains déployeurs doivent réaliser une analyse d'impact sur les droits fondamentaux : organismes publics, entités privées fournissant un service public, et déployeurs de systèmes haut risque mentionnés aux points 5(b) et 5(c) de l'annexe III (services essentiels privés comme crédit, assurance vie/santé). Le FRIA est distinct du DPIA RGPD : un DPIA déjà réalisé peut le compléter mais ne le remplace pas.

Importateur et distributeur

L'importateur met sur le marché européen un système IA fabriqué hors UE. Le distributeur met à disposition sur le marché un système fourni par un tiers. Obligations de vérification de la conformité CE avant commercialisation, coopération avec les autorités, retrait du marché en cas de non-conformité constatée.

Les obligations se cumulent, ne se partagent pas. Une entreprise qui utilise ChatGPT Enterprise pour trier des CV doit respecter ses obligations de déployeur même si OpenAI respecte ses obligations de fournisseur. Le déployeur ne peut pas s'exonérer en renvoyant sur le fournisseur.

Chaîne de responsabilité et shadow IA

Cette logique de cumul forme une chaîne de responsabilité où chaque maillon doit pouvoir être identifié si une décision automatisée se trompe sur une personne : le fournisseur du modèle, le déployeur dans son contexte d'usage, et le manager ou l'employé qui utilise concrètement l'outil. Savoir qui assume quoi est précisément ce que le règlement vient mettre noir sur blanc.

En pratique, le sujet le plus difficile à traiter est le "shadow IA" : les usages informels d'outils grand public (ChatGPT gratuit, assistants intégrés à des outils SaaS divers) qui prennent ou aident à des décisions sur des personnes sans contrat, sans journalisation, sans visibilité au niveau direction. Le règlement ne distingue pas l'usage formel et l'usage informel. Dès qu'une décision touche une personne, les obligations s'imposent au déployeur, qu'il en ait eu conscience ou non.

Sanctions

Trois niveaux de sanctions

Pratiques interdites (risque inacceptable) : jusqu'à 35 millions d'euros ou 7% du CA mondial annuel, le montant le plus élevé étant retenu.
Autres infractions aux obligations (système haut risque non conforme, défaut de CE marking, transparence manquante) : jusqu'à 15 millions d'euros ou 3% du CA mondial.
Informations incorrectes ou trompeuses fournies aux autorités : jusqu'à 7,5 millions d'euros ou 1% du CA mondial.

Les PME et startups bénéficient d'une protection mathématique explicite (article 99) : le montant retenu est le moindre entre le pourcentage du CA mondial et le montant fixe en euros, alors que pour les grandes entreprises c'est le plus élevé qui s'applique. Le règlement prévoit aussi des mécanismes de soutien : bacs à sable réglementaires (chaque État membre doit en créer au moins un avant le 2 août 2026), accompagnement par les autorités nationales, documents types.

Autorités compétentes en France et au Luxembourg

Le règlement européen laisse à chaque État membre le soin de désigner ses autorités nationales compétentes. La France et le Luxembourg ont fait des choix différents : système distribué d'un côté, point de contact unique de l'autre.

France : la CNIL en chef de file, 15 autorités sectorielles

La CNIL (Commission nationale de l'informatique et des libertés) a été désignée autorité de référence pour l'application de l'AI Act en France. Le projet de loi DDADUE volet numérique, validé au Sénat le 17 février 2026, modifie la loi Informatique et libertés de 1978 pour donner à la CNIL ces nouvelles compétences.

Une quinzaine d'autorités sectorielles complètent le dispositif selon le domaine d'application du système IA : DGCCRF (consommation), Arcom (audiovisuel et numérique), ACPR (banque, assurance), AMF (marchés financiers), ANSM et HAS (santé), entre autres. L'ANSSI et le PEReN (Pôle d'expertise de la régulation numérique) interviennent en appui technique mutualisé sur les aspects cybersécurité et expertise IA, sans pouvoir d'application directe.

Luxembourg : la CNPD point de contact, projet de loi 8476 en cours

Le Luxembourg a fait un choix plus centralisé. La CNPD (Commission nationale pour la protection des données) a été désignée dès novembre 2024, plaçant le Luxembourg parmi les premiers États membres à clarifier son cadre national. Elle joue plusieurs rôles : point de contact unique et coordination nationale, autorité de surveillance du marché par défaut, et organisme notifié pour les systèmes IA haut risque utilisés par les autorités répressives, l'immigration ou l'asile.

Le projet de loi n° 8476 (introduit le 23 décembre 2024 à la Chambre des députés) précise la répartition entre autorités sectorielles : CSSF (services financiers), CAA (assurance), ILNAS (infrastructures critiques et marchés spécifiques), ALIA (contenu synthétique et deepfakes), ALMPS (dispositifs médicaux), JSA (systèmes IA dans la justice), OLAS (accréditation des organismes d'évaluation). L'ILR (Institut luxembourgeois de régulation) supervise les déployeurs de systèmes IA haut risque qui sont également opérateurs de services essentiels au sens NIS2 (recouvrement direct avec les obligations cybersécurité).

Au niveau européen

L'AI Office de la Commission européenne coordonne l'application au niveau de l'Union et supervise directement les fournisseurs de modèles d'IA à usage général (GPAI). Le European Artificial Intelligence Board (article 65), composé d'un représentant par État membre avec le Contrôleur européen de la protection des données comme observateur, assure la cohérence d'application entre les États membres.

Par où commencer : méthodologie en 5 étapes

Étape 1 : Inventaire des systèmes IA en usage

Recenser tous les systèmes IA utilisés dans l'entreprise : IA intégrée à des outils SaaS (ChatGPT Enterprise, Claude, outils marketing IA, ATS, logiciels RH), IA développée en interne, IA via intégrateurs. Ne pas oublier les usages informels (équipes qui utilisent ChatGPT gratuit en "shadow IA"). Livrable : registre des systèmes IA.

Étape 2 : Classification du risque

Pour chaque système : usage réel, données traitées, personnes impactées. Classification en inacceptable, haut risque, limité ou minimal selon les critères des annexes du règlement. Arbitrage des cas ambigus (par exemple un outil de génération de contenu marketing qui sert aussi à analyser des CV devient haut risque dans le second usage). Livrable : cartographie des risques.

Étape 3 : Gap analysis vs obligations

Pour les systèmes classés haut risque, audit par rapport aux six obligations : documentation disponible, système de gestion des risques en place, transparence et logs, contrôle humain effectif, robustesse démontrée, CE marking obtenu (ou en cours). Livrable : plan de mise en conformité priorisé.

Étape 4 : Mise en conformité

Selon les gaps : production de la documentation technique manquante, mise en place des procédures de contrôle humain, ajout de la journalisation, évaluation de conformité (auto ou par organisme notifié), obtention du CE marking, enregistrement européen. Formation des équipes qui déploient ou supervisent. Budget : 20 000 à 150 000 € HT selon complexité.

Étape 5 : Gouvernance continue

L'AI Act impose une gouvernance continue, pas un projet unique. Mise en place d'un comité IA, revue régulière des systèmes, surveillance des évolutions réglementaires (guidelines AI Office), mise à jour de la documentation. Désignation d'un responsable IA Act dans l'organisation (parfois fusionné avec le rôle DPO).

Durée totale typique : 4 à 7 mois pour une organisation moyenne avec 2 à 5 systèmes haut risque identifiés. Plus long pour les entreprises avec cartographie complexe ou forte culture IA shadow.

FAQ

Questions fréquentes

Le règlement est en vigueur depuis le 1er août 2024 avec une application échelonnée. Les pratiques interdites sont effectives depuis le 2 février 2025. Les obligations pour les modèles GPAI (GPT, Claude, Mistral) depuis le 2 août 2025. Suite au Digital Omnibus (accord provisoire Conseil/Parlement du 7 mai 2026), les obligations pour les systèmes IA haut risque de l'annexe III deviennent applicables le 2 décembre 2027. L'article 6(1) (produits réglementés annexe I) est repoussé au 2 août 2028, avec les fournisseurs GPAI antérieurs à août 2025.

L'annexe III liste 8 domaines où les systèmes IA sont à haut risque : identification biométrique à distance, infrastructures critiques, éducation, emploi et RH, accès aux services essentiels (crédit, assurance, aides sociales), application de la loi, contrôle des frontières, justice et processus démocratiques. Un système IA utilisé dans ces domaines pour prendre ou influencer des décisions significatives affectant des personnes est considéré à haut risque.

Six obligations pour le fournisseur : 1) Système de gestion des risques documenté. 2) Documentation technique exhaustive. 3) Transparence et traçabilité (journalisation). 4) Contrôle humain effectif (article 14) : le système doit être conçu pour pouvoir être supervisé efficacement par des personnes physiques. Le déployeur (article 26) met ensuite en œuvre cette supervision. 5) Robustesse, précision et cybersécurité. 6) CE marking avant mise sur le marché + enregistrement européen.

Le règlement distingue plusieurs rôles : fournisseur (qui développe le système), déployeur (qui l'utilise), importateur, distributeur. Une entreprise qui utilise ChatGPT pour trier des CV est déployeur d'un système haut risque et doit garantir le contrôle humain, même sans avoir développé le modèle. Les obligations se cumulent, ne se partagent pas.

Trois niveaux. Pratiques interdites : jusqu'à 35 M€ ou 7% du CA mondial. Autres infractions aux obligations (haut risque non conforme, absence de CE marking) : jusqu'à 15 M€ ou 3% du CA. Informations incorrectes aux autorités : jusqu'à 7,5 M€ ou 1% du CA. Les PME bénéficient d'adaptations sur les montants absolus (le pourcentage de CA reste applicable).

Toute entreprise qui développe, fournit ou utilise un système IA est concernée, sans seuil de taille. Les PME sur des systèmes à risque limité (chatbot, contenu marketing) ont des obligations légères. Les PME qui déploient un système haut risque (tri CV, scoring crédit) doivent se mettre en conformité au 2 décembre 2027 (échéance repoussée par le Digital Omnibus), même avec 10 salariés. Le règlement prévoit des mécanismes de soutien (sandboxes, accompagnement) mais pas d'exemption.

Cela dépend du niveau de risque et du rôle. SaaS à risque limité (chatbot, génération de contenu, recommandation) : aucune déclaration, juste informer l'utilisateur qu'il interagit avec une IA. SaaS haut risque (tri CV, scoring crédit, évaluation scolaire) : enregistrement obligatoire dans la base européenne, CE marking, documentation technique. Fine-tuning d'un modèle GPAI : vous ne devenez fournisseur GPAI à part entière que si la modification dépasse environ un tiers du compute d'entraînement du modèle d'origine (seuil indicatif Commission, ~3×10^21 FLOP). En pratique, la plupart des fine-tunings d'entreprise ne franchissent pas ce seuil. La majorité des SaaS standards ne sont donc pas concernés par les déclarations.

France : la CNIL est l'autorité de référence (loi DDADUE validée au Sénat le 17 février 2026), avec une quinzaine d'autorités sectorielles : DGCCRF, Arcom, ACPR, AMF, ANSM, HAS. L'ANSSI et le PEReN apportent un appui technique sans pouvoir d'application directe. Luxembourg : la CNPD a été désignée dès novembre 2024 comme autorité de référence et point de contact unique. Le projet de loi 8476 (déposé 23 décembre 2024) répartit les autorités sectorielles : CSSF (finance), CAA (assurance), ILNAS (infrastructures critiques), ALIA (deepfakes), ALMPS (dispositifs médicaux), JSA (justice), OLAS (accréditation), ILR (déployeurs haut risque + recouvrement NIS2). Au niveau européen : AI Office pour les GPAI.

Ressources liées

Un projet de mise en conformité AI Act ?
Parlons-en directement.

Échanger sur votre conformité IA

Nous contacter

Nous suivre