AI Act 2026 : guide complet du règlement européen sur l’IA pour les entreprises

Stéphane Graciet
Stéphane Graciet

Résumé

Le règlement européen sur l’intelligence artificielle est entré en vigueur. Mais entre les obligations déjà actives, celles attendues pour le 2 août 2026 et le récent accord politique du 7 mai 2026 qui modifie le calendrier, beaucoup de dirigeants naviguent à vue. Ce guide démêle le calendrier réel à la lumière du paquet Omnibus Numérique, identifie les entreprises concernées et pose les bases d’une préparation sérieuse, sans catastrophisme ni fausse sécurité.

  • L’AI Act (Règlement UE 2024/1689) est le premier cadre juridique mondial sur l’intelligence artificielle, fondé sur une approche par les risques à quatre niveaux.
  • Le 7 mai 2026, le Conseil de l’Union européenne et le Parlement européen ont conclu un accord politique provisoire (paquet Omnibus Numérique sur l’IA) qui reporte l’application des obligations haut risque : 2 décembre 2027 pour l’Annexe III, 2 août 2028 pour l’Annexe I.
  • Cet accord doit encore être formellement adopté par les co-législateurs avant le 2 août 2026, faute de quoi le calendrier initial s’appliquera.
  • Toute organisation qui fournit, déploie ou distribue des systèmes d’IA dans l’Union européenne est potentiellement concernée, qu’elle soit établie en Europe ou non. Au sens du règlement, dès qu’une entreprise utilise un système IA dans son activité professionnelle, elle est déployeur et porte des obligations propres.
  • Les shadow AI (usages d’IA non cartographiés en entreprise : ChatGPT côté équipes, copilotes intégrés aux SaaS, IA générative marketing) constituent l’exposition la plus sous-estimée des PME françaises.
  • Les sanctions vont jusqu’à 35 millions d’euros ou 7 % du chiffre d’affaires annuel mondial pour les violations les plus graves.
Passer le sommaire

Sommaire

  1. Résumé
  2. Qu’est-ce que l’AI Act ? Définition et objectifs du règlement européen
  3. Calendrier d’application de l’AI Act : les dates clés à retenir
  4. Les règles introduites par l’AI Act : de l’interdiction à la transparence
  5. Qui est concerné par l’AI Act ? Fournisseurs, déployeurs et distributeurs
  6. Conséquences de l’AI Act pour les entreprises : comment se préparer
  7. Questions fréquentes sur l’usurpation d’identité d’entreprise
  8. Notre position

Qu’est-ce que l’AI Act ? Définition et objectifs du règlement européen

Le Règlement (UE) 2024/1689, adopté le 13 juin 2024 et publié au Journal officiel le 12 juillet 2024, est le premier cadre juridique complet au monde encadrant le développement, la mise sur le marché et l’utilisation des systèmes d’intelligence artificielle. Son entrée en vigueur formelle date du 1er août 2024.

L’objectif est double : protéger les droits fondamentaux et la sécurité des citoyens européens, tout en préservant les conditions d’une innovation responsable. L’Union européenne ne cherche pas à freiner le déploiement de l’IA, mais à s’assurer que les systèmes qui affectent des décisions importantes sont suffisamment fiables, traçables et supervisés. C’est cette tension entre protection et compétitivité qui structure l’ensemble du texte et qui explique aussi les ajustements de calendrier en cours, à travers le paquet Omnibus Numérique présenté par la Commission européenne le 19 novembre 2025.

Les quatre catégories de systèmes d’IA

L’AI Act classe tous les systèmes d’IA selon leur niveau de risque potentiel. Cette hiérarchie détermine directement l’intensité des obligations qui s’appliquent.

  • Risque inacceptable : ces systèmes sont purement et simplement interdits. Parmi les pratiques prohibées figurent la notation sociale par les autorités publiques, l’identification biométrique à distance en temps réel dans les espaces publics (sauf exceptions strictement encadrées pour les enquêtes pénales graves), l’exploitation des vulnérabilités des personnes pour influencer leur comportement à leur détriment, la reconnaissance des émotions sur les lieux de travail et dans les établissements d’enseignement, et le moissonnage non ciblé de données biométriques sur internet ou via des systèmes de vidéosurveillance pour alimenter des bases de données de reconnaissance faciale. L’accord politique du 7 mai 2026 ajoute une nouvelle interdiction : les systèmes d’IA générant des contenus pédopornographiques ou intimes non consentis (dits nudifiers), avec une mise en conformité requise au 2 décembre 2026.
  • Risque élevé : ces systèmes peuvent être déployés, mais sous conditions strictes. Les domaines concernés couvrent la biométrie, l’éducation, l’emploi, la justice, les infrastructures critiques, les services essentiels et la gestion des migrations. Un algorithme de tri de CV, un système de notation de crédit ou une solution d’aide à la décision judiciaire entrent dans cette catégorie.
  • Risque limité : obligation de transparence uniquement. Les chatbots et les systèmes d’IA générative qui produisent des contenus destinés au public doivent clairement signaler l’origine artificielle du contenu. Les deepfakes et les textes publiés pour informer le public sur des sujets d’intérêt général doivent être étiquetés de façon visible.
  • Risque minimal ou nul : aucune obligation spécifique. La majorité des systèmes d’IA actuels relèvent de cette catégorie, notamment les filtres anti-spam ou les moteurs de recommandation dans les jeux vidéo.

Pourquoi une régulation de l’intelligence artificielle

La réponse tient à une réalité concrète : les législations existantes, conçues avant la généralisation de l’IA, ne permettaient pas de traiter les risques spécifiques que ces systèmes font peser sur les droits fondamentaux. Quand un algorithme refuse un prêt, oriente un parcours scolaire ou influence une décision médicale, les recours classiques sont insuffisants. L’opacité des décisions automatisées rendait impossible de savoir pourquoi une décision avait été prise, par quel système, sur la base de quelles données.

L’AI Act répond à cette lacune en imposant traçabilité, documentation et supervision humaine là où les enjeux sont les plus élevés.

Calendrier d’application de l’AI Act : les dates clés à retenir

C’est ici que la confusion est la plus grande. Le calendrier d’application de l’AI Act est échelonné sur plusieurs années, et le paquet Omnibus Numérique adopté politiquement le 7 mai 2026 a redessiné les échéances pour les systèmes à haut risque. Voici un état des lieux factuel adossé aux communiqués officiels du Conseil de l’UE et du Parlement européen.

Les phases de mise en œuvre

DateÉvénementStatut
1er août 2024Entrée en vigueur du Règlement UE 2024/1689Actif
2 février 2025Interdiction des systèmes d’IA à risque inacceptableActif
2 août 2025Règles sur les modèles d’IA à usage général (GPAI), désignation des autorités compétentes (CNIL, DGCCRF, Arcom en France), application des sanctionsActif
2 août 2026Obligations générales de transparence (Article 50), bacs à sable réglementairesMaintenu sauf accord Omnibus contraire
2 décembre 2026Mise en conformité pour la nouvelle interdiction des nudifiers / CSAM ; échéance du watermarking (Article 50 Paragraphe 2) pour les fournisseurs de systèmes d’IA générative déjà sur le marchéPrévu par l’accord du 7 mai 2026
2 décembre 2027Pleine applicabilité des obligations pour les systèmes à haut risque autonomes (Annexe III : RH, crédit, biométrie, éducation, infrastructures critiques)Reporté du 2 août 2026 par l’accord du 7 mai 2026
2 août 2028Application aux systèmes à haut risque intégrés dans des produits réglementés (Annexe I : dispositifs médicaux, jouets, machines, véhicules)Reporté du 2 août 2027 par l’accord du 7 mai 2026

Statut juridique de l’accord du 7 mai 2026

L’accord politique conclu le 7 mai 2026 entre le Conseil de l’UE et le Parlement européen demeure provisoire à ce stade. Pour produire ses effets, il doit encore franchir plusieurs étapes : endossement formel par les commissions parlementaires IMCO et LIBE, vote en plénière du Parlement, adoption formelle par le Conseil, révision juridico-linguistique, puis publication au Journal officiel de l’UE. Les co-législateurs ont annoncé leur intention d’achever ce processus avant le 2 août 2026, date à laquelle les obligations haut risque s’appliqueraient sinon dans leur version initiale.

Pour les organisations, le message est clair : les nouvelles dates (2 décembre 2027, 2 août 2028) peuvent servir de référence de planification, mais aucun programme de conformité ne peut être démantelé sur la base de cet accord tant que la publication au Journal officiel n’a pas eu lieu. La prudence opérationnelle reste de mise.

Ce qui n’est pas modifié par l’Omnibus

Plusieurs blocs du règlement ne sont pas touchés par l’accord du 7 mai 2026 et restent applicables selon le calendrier initial :

  • les interdictions de pratiques à risque inacceptable, effectives depuis février 2025
  • les règles sur les modèles GPAI, en vigueur depuis août 2025
  • les obligations générales de transparence prévues à l’Article 50 (information de l’utilisateur sur l’usage d’une IA, étiquetage des deepfakes côté déployeur), applicables au 2 août 2026
  • les sanctions, déjà actives pour les obligations GPAI depuis août 2025

Les règles introduites par l’AI Act : de l’interdiction à la transparence

Comprendre ce que l’AI Act impose concrètement suppose de distinguer trois régimes très différents selon le niveau de risque du système concerné.

Depuis le 2 février 2025, plusieurs catégories de systèmes d’IA sont interdites dans l’Union européenne. Toute entreprise qui développe ou déploie l’un de ces systèmes s’expose aux sanctions les plus lourdes prévues par le règlement.

Les interdictions couvrent notamment la manipulation comportementale à l’insu des utilisateurs, l’exploitation des vulnérabilités liées à l’âge ou au handicap, la notation sociale généralisée par les autorités publiques, et l’identification biométrique à distance en temps réel dans les espaces publics à des fins répressives, sauf dans des cas strictement définis par le texte.

Un point mérite attention : la reconnaissance des émotions sur les lieux de travail et dans les établissements d’enseignement est interdite. Des outils de surveillance du bien-être des employés ou de détection de l’engagement des élèves qui reposent sur l’analyse des expressions faciales ou du ton de voix tombent dans cette catégorie.

L’accord politique du 7 mai 2026 enrichit cette liste d’une nouvelle interdiction visant les systèmes d’IA générant des contenus pédopornographiques ou des images intimes non consenties, avec une mise en conformité requise au 2 décembre 2026.

C’est le cœur du dispositif pour la majorité des entreprises concernées. Un système d’IA à haut risque doit, avant toute mise sur le marché ou déploiement, satisfaire à sept exigences cumulatives.

  1. Système de gestion des risques documenté et mis à jour régulièrement tout au long du cycle de vie du système
  2. Gouvernance des données d’entraînement : les ensembles de données utilisés doivent être de haute qualité, représentatifs et exempts de biais susceptibles de produire des résultats discriminatoires
  3. Documentation technique complète permettant de comprendre le fonctionnement du système, son objectif et ses limites
  4. Journalisation automatique de l’activité du système pour assurer la traçabilité des résultats et permettre les audits
  5. Transparence envers les déployeurs : informations claires sur les capacités, limites et conditions d’utilisation du système
  6. Supervision humaine : mécanismes permettant à des personnes qualifiées de surveiller, comprendre, corriger ou interrompre le système
  7. Robustesse, précision et cybersécurité : niveau élevé de fiabilité technique maintenu dans le temps

À ces obligations techniques s’ajoutent deux démarches administratives obligatoires : l’obtention du marquage CE (attestant la conformité aux exigences de l’UE) et l’inscription dans la base de données de l’Union européenne dédiée aux systèmes d’IA à haut risque.

Pour les systèmes à risque limité, notamment les chatbots et les outils d’IA générative, l’obligation est plus légère mais non négligeable : les utilisateurs doivent savoir qu’ils interagissent avec une IA. Cette obligation prévue à l’Article 50 s’applique au 2 août 2026 pour les déployeurs.

L’accord du 7 mai 2026 introduit une particularité sur l’Article 50 Paragraphe 2, l’obligation de marquage lisible par machine des contenus générés par IA (watermarking). Pour les systèmes mis sur le marché à compter du 2 août 2026, l’obligation s’applique immédiatement. Pour les systèmes déjà commercialisés à cette date, une période transitoire est prévue jusqu’au 2 décembre 2026.

Pour les modèles GPAI (modèles d’IA à usage général, comme les grands modèles de langage), les fournisseurs ont des obligations spécifiques depuis août 2025 : documentation technique, respect des droits d’auteur pour les données d’entraînement, et publication d’un résumé des contenus utilisés pour l’entraînement. Les modèles présentant un risque systémique, défini par un seuil de puissance de calcul, sont soumis à des obligations renforcées incluant des évaluations adversariales.

L’escroc demande un virement de 400 euros présenté comme l’achat d’une imprimante nécessaire au poste, avec promesse de remboursement. Après paiement, le contact est bloqué et aucun matériel n’est envoyé.

Le règlement ne se limite pas à contraindre. Les bacs à sable réglementaires, dont la mise en place est prévue au 2 août 2026, offrent aux entreprises un cadre contrôlé pour développer, tester et valider des systèmes d’IA innovants sous la supervision d’une autorité compétente.

Ces espaces d’expérimentation permettent de bénéficier temporairement d’une souplesse sur certaines règles, tout en restant dans un cadre légal. L’objectif est explicitement de favoriser l’innovation des PME et des startups, qui n’ont pas toujours les ressources pour satisfaire immédiatement à l’ensemble des exigences du règlement. Pour une entreprise qui développe un système d’IA à haut risque, anticiper l’utilisation d’un bac à sable réglementaire peut faire partie d’une stratégie de conformité intelligente.

Qui est concerné par l’AI Act ? Fournisseurs, déployeurs et distributeurs

Le périmètre d’application de l’AI Act est large, et c’est l’une des sources de confusion les plus fréquentes. Le règlement ne s’adresse pas seulement aux géants de la tech qui développent des modèles fondationnels.

Les obligations des fournisseurs de systèmes d’IA

Sont concernés par le règlement : toute organisation qui fournit, distribue, importe ou déploie des systèmes ou modèles d’IA, dès lors que ces systèmes sont utilisés dans l’Union européenne. Cela inclut les entreprises établies hors de l’UE si leurs produits sont mis sur le marché européen ou si leurs systèmes affectent des personnes situées dans l’UE.

Les fournisseurs, c’est-à-dire ceux qui développent et mettent sur le marché un système d’IA, portent les obligations les plus lourdes : conformité technique, marquage CE, inscription dans la base de données, documentation complète.

Les importateurs et distributeurs ont des obligations de vérification : s’assurer que les systèmes qu’ils commercialisent ont bien été soumis aux procédures de conformité requises par le fournisseur. Ils ne peuvent pas se contenter de revendre un système sans s’interroger sur son niveau de risque.

Le statut de déployeur : l’angle mort majeur pour les PME françaises

Voici la qualification la plus mal comprise. Au sens de l’AI Act, est déployeur toute organisation qui utilise un système d’IA dans le cadre de son activité professionnelle. Pas besoin d’avoir développé quoi que ce soit. Si votre entreprise utilise un outil de recrutement automatisé, un scoring client, un chatbot sur votre site ou un outil d’analyse des performances de vos collaborateurs : vous êtes déployeur et vous portez des obligations propres, distinctes de celles du fournisseur.

Pour les systèmes à haut risque, le déployeur doit notamment assurer la supervision humaine, informer les personnes affectées par des décisions automatisées et signaler les incidents graves à l’autorité compétente. Une entreprise RH qui utilise un logiciel de tri de CV tiers à haut risque n’est pas exonérée par le fait qu’elle n’en est pas le développeur. Elle reste responsable du déploiement conforme de ce système dans son organisation.

Concrètement, une PME qui utilise un outil d’IA pour évaluer la solvabilité de ses clients, sélectionner des candidats ou prendre des décisions d’accès à ses services est directement dans le périmètre du règlement, même si elle n’a pas écrit une seule ligne de code.

Conséquences de l’AI Act pour les entreprises : comment se préparer

La question n’est plus de savoir si l’AI Act s’applique, mais comment les entreprises organisent leur réponse. Trois chantiers structurent une préparation sérieuse.

Cartographier les usages d’IA, y compris la Shadow AI

La première étape est une cartographie des usages IA dans l’organisation. Quels systèmes sont déjà en production ? Lesquels sont en développement ? Pour chacun, quelle est la catégorie de risque au sens de l’AI Act ?

Ce travail révèle systématiquement des shadow AI : des usages adoptés par les équipes sans validation formelle. Un commercial qui rédige ses propositions avec ChatGPT, une équipe RH qui s’appuie sur un copilote intégré à son ATS sans en avoir évalué les biais, une équipe marketing qui génère des contenus avec des outils d’IA générative sans étiquetage. Ces usages constituent l’exposition la plus sous-estimée des PME françaises, et la plus difficile à défendre en cas de contrôle.

La cartographie n’est pas un exercice purement théorique. Elle conditionne l’ensemble de la démarche de conformité : les systèmes à risque minimal ne nécessitent aucune action spécifique, tandis que les systèmes à haut risque déclenchent sept obligations techniques et deux démarches administratives obligatoires avant l’échéance applicable (2 août 2026 dans le texte initial, 2 décembre 2027 si l’accord Omnibus est formellement adopté).

Former mes équipes à l’IA est la première étape concrète pour que cette cartographie soit réalisée par des personnes capables d’identifier correctement les usages à risque dans leur contexte métier.

Découvrir la formation IA gouvernance et conformité

Gouvernance, conformité et documentation requise

Une fois les systèmes à haut risque identifiés, le travail de conformité peut démarrer. Il repose sur quatre piliers.

La documentation technique doit décrire le fonctionnement du système, les données d’entraînement utilisées, les performances mesurées et les limites connues. Ce n’est pas un document de communication : c’est un document d’audit, destiné aux autorités compétentes et aux organismes de certification.

Le système de gestion des risques doit être formalisé, maintenu à jour et intégré dans les processus de l’entreprise. Il ne s’agit pas d’un document statique produit une fois pour toutes, mais d’un dispositif vivant qui évolue avec le système d’IA.

La supervision humaine doit être organisée opérationnellement. Qui surveille le système ? Avec quels outils ? Selon quels protocoles d’intervention ? Ces questions doivent avoir des réponses documentées.

La formation des équipes est souvent le parent pauvre des démarches de conformité. L’AI Act introduit une notion d’AI literacy, c’est-à-dire un niveau minimal de compétence sur l’IA, attendu des personnes qui supervisent ou déploient ces systèmes. Cette exigence n’est pas anecdotique : elle conditionne la capacité de l’organisation à exercer réellement la supervision humaine requise par le règlement.

Me former à la gouvernance et conformité IA pour structurer cette montée en compétences dans mon organisation.

Découvrir la formation IA en entreprise

Les risques de non-conformité et les sanctions

L’AI Act prévoit trois niveaux de sanctions administratives, qui varient selon la gravité de la violation et la taille de l’entreprise.

Type de violationAmende maximaleApplication
Non-respect des interdictions (risque inacceptable)35 millions d’euros ou 7 % du CA annuel mondialLe montant le plus élevé s’applique
Non-respect des obligations pour systèmes à haut risque15 millions d’euros ou 3 % du CA annuel mondialLe montant le plus élevé s’applique
Fourniture d’informations inexactes aux autorités7,5 millions d’euros ou 1 % du CA annuel mondialLe montant le plus élevé s’applique

Pour les PME et les startups, les amendes sont calculées sur la base du pourcentage du chiffre d’affaires ou du montant fixe, selon le critère le plus élevé. L’accord Omnibus du 7 mai 2026 introduit par ailleurs une nouvelle catégorie de small mid-cap enterprises (SMC) qui pourra bénéficier d’une modulation des sanctions, dans la continuité des aménagements déjà prévus pour les PME.

Au-delà des amendes, les risques de non-conformité incluent l’interdiction de mise sur le marché d’un système, le retrait forcé d’un produit déjà commercialisé et l’atteinte à la réputation dans un contexte où la confiance dans les systèmes d’IA devient un critère de différenciation commerciale.

Auditer ma conformité IA pour évaluer votre exposition réelle avant que les autorités compétentes ne le fassent à votre place.

Découvrir l’audit IA gouvernance et conformité

Questions fréquentes sur l’usurpation d’identité d’entreprise

Le Règlement UE 2024/1689 est entré en vigueur le 1er août 2024. Son application est cependant échelonnée : les interdictions des pratiques à risque inacceptable sont effectives depuis le 2 février 2025, les règles sur les modèles d’IA à usage général depuis le 2 août 2025. La pleine applicabilité pour les systèmes à haut risque, initialement prévue au 2 août 2026, fait l’objet d’un report dans le cadre de l’accord politique Omnibus Numérique conclu le 7 mai 2026 : 2 décembre 2027 pour les systèmes autonomes de l’Annexe III, 2 août 2028 pour les systèmes intégrés à des produits réglementés de l’Annexe I. Cet accord doit encore être formellement adopté avant le 2 août 2026 pour produire ses effets.

Toute organisation qui fournit, distribue, importe ou déploie des systèmes d’intelligence artificielle utilisés dans l’Union européenne est potentiellement concernée, qu’elle soit établie en Europe ou non. Le point critique pour les PME : dès qu’une entreprise utilise un système d’IA dans le cadre de son activité professionnelle (chatbot, outil RH automatisé, scoring client), elle est déployeur au sens du règlement et porte des obligations propres, distinctes de celles du fournisseur.

Les sanctions varient selon la gravité de la violation. Le non-respect des interdictions (pratiques à risque inacceptable) expose à des amendes allant jusqu’à 35 millions d’euros ou 7 % du chiffre d’affaires annuel mondial. Le non-respect des obligations pour les systèmes à haut risque peut entraîner des amendes jusqu’à 15 millions d’euros ou 3 % du CA annuel mondial. Les autorités compétentes tiennent compte de la taille de l’entreprise, l’accord Omnibus du 7 mai 2026 prévoit notamment une modulation pour la nouvelle catégorie des small mid-cap enterprises, mais cette modulation ne dispense pas de la conformité.

La préparation commence par une cartographie des usages IA dans l’organisation : identifier tous les systèmes en production ou en développement, y compris les shadow AI non déclarés, déterminer leur niveau de risque au sens de l’AI Act, puis prioriser les actions selon les échéances. Pour les systèmes à haut risque, les chantiers prioritaires sont la documentation technique, le système de gestion des risques, l’organisation de la supervision humaine et la formation des équipes sur l’AI literacy. Un audit de conformité permet d’objectiver l’écart entre la situation actuelle et les exigences du règlement avant l’échéance applicable.

Les IA n’ont pas de jugement moral. Elles évaluent la cohérence, la fraîcheur et la densité des signaux EEAT. Si votre communication officielle est cohérente, ancienne, interconnectée et volumineuse comparée aux contenus frauduleux, les IA favoriseront votre source. Sinon, elles peuvent accorder autant de poids au faux.

Notre position

Maison Graciet accompagne ses clients sur ces démarches de conformité depuis plusieurs années, dans la continuité de son expertise sur l’accessibilité numérique (RGAA), les certifications Opquast et Access42, et la gouvernance digitale. La conformité IA s’inscrit dans cette même logique : pas de conformité cosmétique, mais une intégration réelle dans les pratiques et les processus de l’organisation. C’est précisément ce que recouvre notre signature, Bienvenue dans le numérique utile : transformer une contrainte réglementaire en levier de robustesse opérationnelle.

Vous souhaitez faire le point sur votre situation ?

Nous contacter