L'alternative aux agences web et digitales classiques. Création de site internet, refonte, SEO/GEO, consulting et automatisation IA.
Un collectif d'experts indépendants seniors, piloté par un directeur technique engagé.

Nous contacter
Téléphone +33 6 74 94 64 34
E-mail contact@adevweb.com
Adresse 57000 METZ
Nous suivre

L'alternative aux agences web et digitales classiques. Création de site internet, refonte, SEO/GEO, consulting et automatisation IA.
Un collectif d'experts indépendants seniors, piloté par un directeur technique engagé.

Nous contacter
Téléphone +33 6 74 94 64 34
E-mail contact@adevweb.com
Adresse 57000 METZ
Nous suivre
Un projet ?
Un projet ?

AI Act : guide pour les entreprises en 2026

Accueil Ressources AI Act entreprise 2026
Par Adrien Weiser · Publié le 24 avril 2026 · 12 min de lecture

Le règlement européen AI Act (UE 2024/1689) est la première régulation mondiale encadrant l'intelligence artificielle. En vigueur depuis le 1er août 2024, il devient pleinement applicable le 2 août 2026 pour les systèmes IA à haut risque. Sanctions en cas de non-conformité : jusqu'à 35 millions d'euros ou 7% du chiffre d'affaires mondial.

Ce guide s'adresse aux dirigeants, DSI, DPO et équipes IA des entreprises qui développent ou utilisent de l'intelligence artificielle. Il couvre : la classification des systèmes IA en 4 niveaux de risque, les obligations concrètes pour les systèmes haut risque, le calendrier 2026, le budget indicatif et les pièges opérationnels. Sources officielles : règlement UE 2024/1689, Commission européenne, ANSSI, service-public.fr.

Le calendrier d'application de l'AI Act

L'AI Act n'entre pas en vigueur en une fois. Le règlement prévoit une application échelonnée, avec des dates clés qui rythment la conformité.

Dates clés

  • 1er août 2024 : entrée en vigueur du règlement UE 2024/1689.
  • 2 février 2025 : les pratiques interdites (risque inacceptable) deviennent effectives : social scoring, manipulation comportementale, notation sociale, identification biométrique en temps réel dans l'espace public (sauf exceptions).
  • 2 août 2025 : obligations pour les modèles d'IA à usage général (GPAI) : GPT, Claude, Mistral, Gemini. Transparence sur les données d'entraînement, respect du droit d'auteur, évaluation des risques systémiques.
  • 2 août 2026 : obligations pour les systèmes IA à haut risque pleinement applicables. CE marking, documentation technique, contrôle humain, enregistrement européen.
  • 2 août 2027 : obligations pour les systèmes IA intégrés à des produits réglementés (santé, transports, machines).

Pour les entreprises qui déploient ou développent des systèmes IA haut risque, il reste moins de quatre mois au moment où ce guide est publié pour atteindre la conformité du 2 août 2026. Les obligations sont substantielles : démarrer maintenant est la dernière fenêtre raisonnable.

Les quatre niveaux de risque

L'AI Act classe les systèmes IA selon leur niveau de risque. Le niveau détermine les obligations applicables. Connaître à quelle catégorie appartient votre usage IA est la première étape.

1. Risque inacceptable (interdit depuis le 2 février 2025)

Systèmes IA dont l'usage est totalement interdit dans l'Union européenne : scoring social à la chinoise, manipulation comportementale subliminale, exploitation des vulnérabilités de groupes (enfants, personnes handicapées), identification biométrique en temps réel dans l'espace public (avec exceptions strictes pour la sécurité), notation de confiance généralisée des citoyens. Sanctions maximales : 35 M€ ou 7% du CA mondial.

2. Risque élevé (pleinement applicable 2 août 2026)

Systèmes IA utilisés dans les 8 domaines listés à l'annexe III du règlement et dont l'impact sur les personnes est significatif :

  • Identification biométrique à distance (reconnaissance faciale, empreintes, voix).
  • Infrastructures critiques : énergie, eau, transport, gestion du trafic.
  • Éducation et formation : évaluation des apprenants, admission, allocation de moyens.
  • Emploi et RH : tri de CV, évaluation des performances, décisions d'embauche ou de promotion.
  • Accès aux services essentiels : crédit bancaire, assurance, aides sociales, services d'urgence.
  • Application de la loi : prédiction d'infractions, évaluation de preuves.
  • Contrôle des frontières et immigration : évaluation de demandes d'asile ou de visa.
  • Administration de la justice et processus démocratiques.

3. Risque limité (obligations de transparence)

Systèmes IA qui interagissent avec des humains (chatbots, assistants virtuels) ou génèrent du contenu (texte, image, audio, vidéo synthétiques). Obligation principale : informer clairement l'utilisateur qu'il interagit avec une IA ou que le contenu est généré ou manipulé par IA (deepfakes). Les systèmes de génération de contenu marketing, chatbots client standards, assistants conversationnels sont dans cette catégorie. Obligations légères, pas de CE marking.

4. Risque minimal (pas d'obligation spécifique)

Filtres anti-spam, recommandations de contenu basiques, IA dans les jeux vidéo, usages internes sans impact sur des tiers. La grande majorité des usages IA courants. Aucune obligation spécifique au titre de l'AI Act, mais les règles RGPD, cybersécurité et droit du travail restent applicables.

Les obligations pour un système IA haut risque

Si votre système IA tombe dans la catégorie haut risque (annexe III), voici les six obligations concrètes à remplir avant le 2 août 2026.

1. Système de gestion des risques

  • Identification et évaluation des risques pour la santé, la sécurité et les droits fondamentaux.
  • Processus itératif mis à jour pendant toute la durée de vie du système IA.
  • Tests réguliers, analyse des biais, mitigation documentée.

2. Documentation technique exhaustive

  • Description détaillée du système IA, architecture, modèles sous-jacents.
  • Données d'entraînement, de validation et de test : sources, méthodes de collecte, qualité, biais connus.
  • Performances attendues, limites, cas d'usage prévus et cas d'usage explicitement déconseillés.
  • Notice d'utilisation à destination du déployeur.

3. Transparence et traçabilité

  • Journalisation automatique des événements (logs) sur toute la durée de vie.
  • Conservation des logs permettant l'audit et l'explication des décisions du système.
  • Information claire à l'utilisateur final qu'il interagit avec un système IA haut risque.

4. Contrôle humain effectif (article 26)

  • Les décisions significatives du système doivent pouvoir être revues, contestées et corrigées par un humain compétent.
  • Formation des personnes qui supervisent ou déploient le système.
  • Mécanisme d'arrêt d'urgence permettant de désactiver le système en cas de dysfonctionnement.

5. Robustesse, précision et cybersécurité

  • Niveau de précision documenté, acceptable pour l'usage prévu.
  • Résilience aux erreurs, aux attaques adversariales, à la manipulation des entrées.
  • Mesures de cybersécurité techniques et organisationnelles alignées avec l'état de l'art.

6. CE marking et enregistrement européen

  • Évaluation de conformité avant mise sur le marché (auto-évaluation ou par organisme notifié selon le type).
  • Apposition du marquage CE sur le système.
  • Enregistrement du système dans la base de données européenne des systèmes IA haut risque.
  • Déclaration de conformité UE signée, tenue à disposition des autorités.

Qui est responsable : fournisseur ou déployeur

Le règlement distingue plusieurs rôles avec des obligations distinctes. Comprendre lequel s'applique à votre situation est essentiel.

Fournisseur (provider)

Entité qui développe le système IA ou le fait développer, et qui le met sur le marché sous son propre nom. Exemples : OpenAI pour GPT, Anthropic pour Claude, Mistral pour ses modèles. Si vous fine-tunez un modèle open source pour un usage haut risque et le commercialisez, vous devenez fournisseur. Obligations complètes : documentation technique, conformité des données d'entraînement, CE marking, enregistrement européen, surveillance post-commercialisation.

Déployeur (deployer)

Entité qui utilise le système IA dans le cadre de son activité professionnelle, sous sa propre autorité. Exemples : une entreprise qui utilise un outil de tri de CV basé sur IA, un cabinet RH qui déploie un système d'évaluation des candidats, une banque qui automatise le scoring de demandes de crédit avec une solution tierce. Obligations principales : garantir le contrôle humain effectif, respecter la notice d'utilisation du fournisseur, informer les personnes impactées, analyse d'impact AIPD (si données personnelles), journalisation.

Importateur et distributeur

L'importateur met sur le marché européen un système IA fabriqué hors UE. Le distributeur met à disposition sur le marché un système fourni par un tiers. Obligations de vérification de la conformité CE avant commercialisation, coopération avec les autorités, retrait du marché en cas de non-conformité constatée.

Les obligations se cumulent, ne se partagent pas. Une entreprise qui utilise ChatGPT Enterprise pour trier des CV doit respecter ses obligations de déployeur même si OpenAI respecte ses obligations de fournisseur. Le déployeur ne peut pas s'exonérer en renvoyant sur le fournisseur.

Sanctions et autorités de contrôle

Trois niveaux de sanctions

  • Pratiques interdites (risque inacceptable) : jusqu'à 35 millions d'euros ou 7% du CA mondial annuel, le montant le plus élevé étant retenu.
  • Autres infractions aux obligations (système haut risque non conforme, défaut de CE marking, transparence manquante) : jusqu'à 15 millions d'euros ou 3% du CA mondial.
  • Informations incorrectes ou trompeuses fournies aux autorités : jusqu'à 7,5 millions d'euros ou 1% du CA mondial.

En France, l'ANSSI (Agence nationale de sécurité des systèmes d'information) a reçu des compétences d'application de l'AI Act, notamment pour les aspects cybersécurité et infrastructures critiques. La CNIL conserve son rôle sur les aspects protection des données personnelles (interaction RGPD). L'AI Office européen coordonne la surveillance des modèles GPAI au niveau de l'Union.

Les PME bénéficient de conditions particulières : les sanctions sont plafonnées en tenant compte de leur taille (le pourcentage du CA mondial s'applique intégralement, mais les montants absolus peuvent être adaptés). Le règlement prévoit aussi des mécanismes de soutien : sandboxes réglementaires, accompagnement par les autorités nationales, documents types.

Par où commencer : méthodologie en 5 étapes

Étape 1 : Inventaire des systèmes IA en usage

Recenser tous les systèmes IA utilisés dans l'entreprise : IA intégrée à des outils SaaS (ChatGPT Enterprise, Claude, outils marketing IA, ATS, logiciels RH), IA développée en interne, IA via intégrateurs. Ne pas oublier les usages informels (équipes qui utilisent ChatGPT gratuit en "shadow IT"). Livrable : registre des systèmes IA.

Étape 2 : Classification du risque

Pour chaque système : usage réel, données traitées, personnes impactées. Classification en inacceptable, haut risque, limité ou minimal selon les critères des annexes du règlement. Arbitrage des cas ambigus (par exemple un outil de génération de contenu marketing qui sert aussi à analyser des CV devient haut risque dans le second usage). Livrable : cartographie des risques.

Étape 3 : Gap analysis vs obligations

Pour les systèmes classés haut risque, audit par rapport aux six obligations : documentation disponible, système de gestion des risques en place, transparence et logs, contrôle humain effectif, robustesse démontrée, CE marking obtenu (ou en cours). Livrable : plan de mise en conformité priorisé.

Étape 4 : Mise en conformité

Selon les gaps : production de la documentation technique manquante, mise en place des procédures de contrôle humain, ajout de la journalisation, évaluation de conformité (auto ou par organisme notifié), obtention du CE marking, enregistrement européen. Formation des équipes qui déploient ou supervisent. Budget : 20 000 à 150 000 € HT selon complexité.

Étape 5 : Gouvernance continue

L'AI Act impose une gouvernance continue, pas un projet unique. Mise en place d'un comité IA, revue régulière des systèmes, surveillance des évolutions réglementaires (guidelines AI Office), mise à jour de la documentation. Désignation d'un responsable IA Act dans l'organisation (parfois fusionné avec le rôle DPO).

Durée totale typique : 4 à 7 mois pour une organisation moyenne avec 2 à 5 systèmes haut risque identifiés. Plus long pour les entreprises avec cartographie complexe ou forte culture IA shadow.

FAQ

Questions fréquentes

Le règlement est en vigueur depuis le 1er août 2024 avec une application échelonnée. Les pratiques interdites sont effectives depuis le 2 février 2025. Les obligations pour les modèles GPAI (GPT, Claude, Mistral) depuis le 2 août 2025. Les obligations pour les systèmes IA haut risque deviennent pleinement applicables le 2 août 2026. La conformité complète doit être achevée à cette date.

L'annexe III liste 8 domaines où les systèmes IA sont à haut risque : identification biométrique à distance, infrastructures critiques, éducation, emploi et RH, accès aux services essentiels (crédit, assurance, aides sociales), application de la loi, contrôle des frontières, justice et processus démocratiques. Un système IA utilisé dans ces domaines pour prendre ou influencer des décisions significatives affectant des personnes est considéré à haut risque.

Six obligations : 1) Système de gestion des risques documenté. 2) Documentation technique exhaustive. 3) Transparence et traçabilité (journalisation). 4) Contrôle humain effectif (article 26) : les décisions significatives doivent pouvoir être revues, contestées et corrigées. 5) Robustesse, précision et cybersécurité. 6) CE marking avant mise sur le marché + enregistrement européen.

Le règlement distingue plusieurs rôles : fournisseur (qui développe le système), déployeur (qui l'utilise), importateur, distributeur. Une entreprise qui utilise ChatGPT pour trier des CV est déployeur d'un système haut risque et doit garantir le contrôle humain, même sans avoir développé le modèle. Les obligations se cumulent, ne se partagent pas.

Trois niveaux. Pratiques interdites : jusqu'à 35 M€ ou 7% du CA mondial. Autres infractions aux obligations (haut risque non conforme, absence de CE marking) : jusqu'à 15 M€ ou 3% du CA. Informations incorrectes aux autorités : jusqu'à 7,5 M€ ou 1% du CA. En France, l'ANSSI applique pour la cybersécurité, la CNIL pour les données personnelles.

Toute entreprise qui développe, fournit ou utilise un système IA est concernée, sans seuil de taille. Les PME sur des systèmes à risque limité (chatbot, contenu marketing) ont des obligations légères. Les PME qui déploient un système haut risque (tri CV, scoring crédit) doivent se mettre en conformité au 2 août 2026, même avec 10 salariés. Le règlement prévoit des mécanismes de soutien (sandboxes, accompagnement) mais pas d'exemption.
Ressources liées

Pour aller plus loin

NIS2 : guide de mise en conformité 2026

L'autre grande directive 2026 côté cybersécurité. Calendrier, seuils PME/ETI, obligations, méthodologie. Sanctions jusqu'à 10 M€.

Agence IA, intégrateur ou développeur IA : qui fait quoi en 2026

Grille des 3 segments du marché IA français 2026. Utile pour identifier le bon profil de prestataire sur votre projet IA (et sa conformité).

Notre offre automatisation IA

Intégrateur IA orienté automatisation métier : N8N, agents IA, intégrations CRM/ERP. Mise en œuvre compatible AI Act (contrôle humain, logs, transparence).

Automatisation IA pour PME : guide complet

Cas d'usage concrets, ROI typique, méthodologie de déploiement. Pour savoir ce qui relève du risque limité vs haut risque dans votre cas.

Ressources AI Act Conformité IA Règlement UE CE marking IA
  • Partager :

Un projet de mise en conformité AI Act ?
Parlons-en directement.

Échanger sur votre conformité IA
Parlons de votre conformité AI Act