AI Act – Règlement européen sur l’intelligence artificielle

    1. Home  - 
    2. AI Act – Règlement européen sur l’intelligence artificielle

    Mise à jour (mai 2026) : Le Digital Omnibus on AI, publié le 19 novembre 2025 et en accord politique provisoire depuis le 7 mai 2026, reporte les obligations les plus contraignantes du règlement. Les systèmes à haut risque de l’annexe III, qui devaient être conformes au 2 août 2026, bénéficient d’un sursis jusqu’au 2 décembre 2027. Ceux de l’annexe I jusqu’au 2 août 2028. Attention au piège : tant que le texte de trilogue n’est pas publié au Journal officiel de l’UE, le calendrier initial reste juridiquement applicable. Une page de fond détaille les implications de l’omnibus pour votre organisation.

    L’AI Act (Règlement UE 2024/1689) est le premier cadre juridique horizontal au monde dédié à l’intelligence artificielle. Il s’applique à tout fournisseur, déployeur, importateur ou distributeur de systèmes d’IA dont les résultats sont utilisés dans l’UE, y compris depuis l’étranger.

    Son principe central : une approche par les risques. L’IA n’est pas interdite, ses usages sont classés et chaque classe porte des obligations proportionnées, du social scoring interdit à l’IA bureautique sans contrainte, en passant par les systèmes RH ou de crédit fortement encadrés.

    Image de juriste étudiant NIS2, DORA, le cadre cyber européen

    AI Act : ce qu’une entreprise doit comprendre immédiatement :

    • L’AI Act est déjà partiellement applicable.
    • L’AI Literacy concerne toute entreprise utilisant de l’IA.
    • Les obligations GPAI sont déjà en vigueur.
    • Les systèmes à haut risque ne sont pas le seul sujet.
    • La gouvernance des usages IA se construit sur 12 à 24 mois.

    Qui est concerné ?

    Situation

    Concerné par l’AI Act ?

    Niveau d’attention

    Utilisation de ChatGPT/Claude/Mistral/etc. par les collaborateurs

    Oui

    Modéré

    IA RH / recrutement

    Oui

    Élevé

    IA de scoring

    Oui

    Très élevé

    Chatbot client

    Oui

    Transparence obligatoire

    Développement d’un modèle IA

    Oui

    Potentiellement critique

    Nature juridique du texte

    Consulter directement le Règlement européen (UE) 2024/1689.

    Application directe dans tous les États membres sans loi de transposition. Publié au Journal officiel le 12 juillet 2024, entré en vigueur le 1er août 2024, avec une application échelonnée jusqu’en 2027-2028 selon les catégories de systèmes.

    En France, trois autorités se partagent les compétences : la CNIL pour les enjeux liés aux données personnelles et à la biométrie, la DGCCRF pour la surveillance du marché, l’Arcom pour les contenus génératifs et les très grandes plateformes. Un point de coordination national doit être désigné.

    L’AI Act constitue le premier grand cadre horizontal mondial spécifiquement dédié à la régulation de l’intelligence artificielle. Il s’inscrit dans une logique « troisième voie » européenne entre l’approche très libérale américaine et l’approche dirigiste chinoise.

    Présentation générale

    L’AI Act ne raisonne pas par technologie mais par usage. Un même modèle peut être déployé dans un contexte sans contrainte (rédaction d’emails internes) et dans un contexte à haut risque (présélection de candidats à un poste). Ce sont l’usage et son contexte qui déterminent les obligations.

    Le texte classe les systèmes en quatre catégories :

    Risque inacceptable (art. 5). Pratiques purement interdites : notation sociale par les autorités publiques, manipulation cognitive exploitant les vulnérabilités, identification biométrique à distance en temps réel dans l’espace public (sauf exceptions strictes : recherche d’enfants disparus, prévention de menaces terroristes imminentes). L’accord politique de mai 2026 ajoute deux catégories : les systèmes générant des contenus sexuels non consentis (« nudifiers ») et les contenus pédopornographiques de synthèse (CSAM).

    Haut risque (art. 6). Systèmes ayant un impact significatif sur la sécurité, les droits fondamentaux, l’accès aux services essentiels, l’emploi, la justice, la santé ou les infrastructures critiques. L’annexe III liste huit domaines : biométrie, infrastructures critiques, éducation, emploi et RH, accès aux services essentiels (crédit, assurance, aides sociales), application de la loi, migration et contrôle des frontières, justice et processus démocratiques.

    Obligations de transparence (art. 50). Obligations de transparence pour les chatbots, les générateurs de contenus, les deepfakes. L’utilisateur doit savoir qu’il interagit avec une IA, et les contenus synthétiques doivent être étiquetés.

    Risque minimal. Aucune obligation spécifique. La majorité des usages bureautiques tombe dans cette catégorie.

    À côté de cette pyramide, un régime spécifique s’applique aux modèles d’IA à usage général (GPAI), avec un sous-régime renforcé pour ceux présentant un « risque systémique » : les très grands modèles entraînés avec une puissance de calcul supérieure à 10^25 FLOPs.

    Contexte et champ d’application

    L’AI Act a été proposé en avril 2021, à une époque où l’IA générative grand public n’existait pas. ChatGPT est arrivé en novembre 2022, en plein milieu des négociations. Le texte a été massivement réécrit en 2023 pour intégrer les modèles d’IA à usage général, ce qui a retardé son adoption mais lui a permis de rester pertinent.

    Sa philosophie n’est pas d’interdire l’IA, mais de :

    • classifier les usages selon leur niveau de risque ;
    • imposer des obligations proportionnées ;
    • protéger les droits fondamentaux ;
    • favoriser un marché européen harmonisé et une « IA de confiance ».

    Le règlement s’applique :

    • aux fournisseurs qui développent ou mettent sur le marché un système d’IA, qu’ils soient établis dans l’UE ou non ;
    • aux déployeurs, soit toute entreprise ou organisation utilisant un système d’IA dans son activité professionnelle ;
    • aux importateurs et distributeurs qui mettent un système d’IA en circulation ;
    • aux fournisseurs hors UE dès lors que les résultats produits par leurs systèmes sont utilisés dans l’Union.

    L’extraterritorialité est large, comparable à celle du RGPD. Une PME française qui utilise ChatGPT pour automatiser une partie de son support client est déployeur d’un système IA tiers, avec ses propres obligations.

    Sont exclus du champ : la recherche scientifique sans objectif commercial, les systèmes militaires et de défense, les usages strictement personnels.

    Une même entreprise peut cumuler plusieurs rôles : utiliser Copilot (déployeur), intégrer un modèle dans son produit (fournisseur), redistribuer une solution IA (distributeur). Comprendre quel rôle on tient pour quel système est le premier travail de mise en conformité.

    Les obligations varient massivement selon le rôle (fournisseur, déployeur) et le niveau de risque. Plusieurs grands principes traversent l’ensemble du texte : gouvernance, documentation, traçabilité, supervision humaine, transparence, cybersécurité, gestion des risques.

    Interdictions (art. 5). Aucune exception possible. Les pratiques listées sont prohibées en tant que telles. En vigueur depuis le 2 février 2025.

    Systèmes à haut risque (chapitre III). Les obligations forment un bloc complet :

    • système de gestion des risques tout au long du cycle de vie ;
    • gouvernance des données d’entraînement (pertinence, représentativité, qualité, absence de biais documentée) ;
    • documentation technique permettant de démontrer la conformité ;
    • journalisation automatique des événements ;
    • transparence vis-à-vis du déployeur sur le fonctionnement et les limites ;
    • supervision humaine effective, pas un simple bouton d’arrêt ;
    • exigences de robustesse, exactitude et cybersécurité ;
    • marquage CE ;
    • enregistrement dans la base de données européenne des systèmes IA.

    Les fournisseurs portent l’essentiel de la charge documentaire. Les déployeurs ont leurs propres obligations : utiliser le système conformément à sa notice, assurer la supervision humaine prévue, conserver les logs, informer les personnes concernées dans certains cas (notamment en RH).

    Obligations de transparence (art. 50). Tout système conversationnel doit informer l’utilisateur qu’il interagit avec une IA. Tout contenu généré ou substantiellement modifié par IA (texte, image, audio, vidéo) doit être étiqueté comme tel, avec une exception pour les œuvres manifestement artistiques. Les deepfakes doivent être déclarés.

    Modèles GPAI (chapitre V). Tout fournisseur de modèle à usage général doit :

    • produire une documentation technique ;
    • respecter le droit d’auteur, notamment via l’exception TDM ;
    • publier un résumé suffisamment détaillé des contenus utilisés à l’entraînement.

    Pour les modèles à risque systémique :

    • évaluations de modèle, y compris adversariales (red teaming) ;
    • analyse et atténuation des risques systémiques ;
    • signalement des incidents graves à l’AI Office ;
    • protection de la cybersécurité du modèle.

    AI Literacy (art. 4). Obligation transversale souvent sous-estimée : les organisations doivent s’assurer que les personnes utilisant des systèmes d’IA dans leur activité disposent d’un niveau de compréhension approprié. Cette obligation s’applique à toutes les entreprises, quelle que soit leur taille, dès lors qu’elles utilisent de l’IA. En vigueur depuis février 2025.

    Bacs à sable réglementaires (art. 57). Chaque État membre doit mettre en place au moins un bac à sable réglementaire d’ici le 2 août 2026, soit un environnement contrôlé permettant à des fournisseurs de tester et valider leurs systèmes avant mise sur le marché.

    Le système de conformité de l’AI Act repose sur une infrastructure qui n’est pas encore complète, et c’est précisément ce qui a justifié le report de mai 2026.

    Normes harmonisées. Le texte prévoit que les entreprises peuvent bénéficier d’une « présomption de conformité » si elles respectent des normes techniques élaborées par le CEN et le CENELEC (organismes européens de normalisation). Sans ces normes, l’entreprise doit démontrer sa conformité par d’autres voies, ce qui est beaucoup plus lourd. La production des normes a pris un retard considérable : c’est le motif principal du report.

    Autorités nationales. Au moment de l’accord de mai 2026, seuls 8 des 27 États membres avaient désigné leurs autorités compétentes pour appliquer le règlement. La gouvernance opérationnelle reste à construire.

    AI Office. Bureau européen de l’IA logé au sein de la Commission, créé pour superviser les modèles GPAI au niveau européen et coordonner l’application du règlement.

    Évaluation de conformité. Pour les systèmes à haut risque, deux voies coexistent : auto-évaluation (la plupart des cas) ou évaluation par un organisme notifié tiers (cas listés à l’annexe VII et systèmes biométriques). Audit tiers obligatoire et documentation exhaustive dans les domaines les plus sensibles.

    Marquage CE. Comme pour les produits réglementés (jouets, dispositifs médicaux), les systèmes IA à haut risque mis sur le marché européen doivent porter un marquage CE attestant de leur conformité.

    Référentiels de gouvernance. En l’absence de normes harmonisées, le référentiel ISO/IEC 42001 (système de management de l’IA, publié fin 2023) sert d’appui de facto pour construire une gouvernance crédible. C’est aujourd’hui le meilleur cadre opérationnel disponible.

    Point pratique : la cartographie des systèmes IA et leur classification au regard de l’annexe III est l’exercice qui prend le plus de temps dans une organisation multi-entités. Plusieurs mois en moyenne. C’est un travail collaboratif entre Direction IA, Direction juridique, DPO et équipes métiers.

    DateÉtape
    Avril 2021Proposition initiale de la Commission
    13 mars 2024Adoption par le Parlement européen
    12 juillet 2024Publication au Journal officiel de l’UE
    1er août 2024Entrée en vigueur
    2 février 2025Interdictions (art. 5) + obligation AI Literacy (art. 4)
    2 août 2025Obligations GPAI, désignation des autorités nationales
    19 nov. 2025Publication par la Commission du Digital Omnibus on AI
    26 mars 2026Position du Parlement européen (569 voix pour, 45 contre)
    7 mai 2026Accord politique provisoire Conseil / Parlement sur l’omnibus IA
    2 août 2026Application des règles de transparence (art. 50) – maintenue
    2 déc. 2027[Accord provisoire] Nouvelle date d’application des systèmes haut risque annexe III (initialement 2 août 2026)
    2 août 2027Date initiale annexe I – désormais reportée
    2 août 2028[Accord provisoire] Nouvelle date d’application des systèmes haut risque annexe I

    Attention au piège : tant que l’accord politique du 7 mai 2026 n’est pas formellement adopté par le Conseil et le Parlement puis publié au Journal officiel, le calendrier initial reste juridiquement applicable. Une organisation contrôlée au 3 août 2026 ne pourra pas opposer un accord politique non encore publié. Trois mois minimum d’écart entre l’accord et la publication, davantage probable.

    RGPD. Articulation centrale. Dès qu’un système IA traite des données personnelles, le RGPD s’applique en plus de l’AI Act. L’article 10 sur la gouvernance des données d’entraînement s’articule directement avec les principes de licéité et de minimisation. Une AIPD est souvent nécessaire pour un système IA à haut risque, en complément de la documentation AI Act. L’AI Act ne remplace jamais le RGPD, les deux textes se cumulent.

    NIS2. Convergence sur les enjeux de cybersécurité. Les exigences de robustesse et de cybersécurité des systèmes IA à haut risque (art. 15) rejoignent les obligations de gestion des risques techniques et organisationnels de NIS2. Pour les entités essentielles ou importantes utilisant des systèmes IA critiques, les deux régimes se cumulent.

    DORA. Dans le secteur financier, DORA encadre les risques TIC. Dès lors qu’un système IA participe à la résilience opérationnelle (scoring, détection de fraude, trading algorithmique), il entre dans le périmètre DORA. Les obligations de gestion des fournisseurs critiques s’appliquent aux fournisseurs de modèles IA.

    Cybersecurity Act. Articulation directe sur les exigences de cybersécurité des systèmes IA à haut risque (art. 15). Les schémas européens de certification cyber portés par l’ENISA peuvent fournir des références utiles pour évaluer la sécurité de composants IA, en particulier pour les systèmes intégrés dans une infrastructure critique ou un produit certifié. Pour le détail, voir Cybersecurity Act.

    CRA (Cyber Resilience Act). Lorsqu’un produit numérique embarque une IA, CRA et AI Act se cumulent. Le CRA porte sur la sécurité du produit, l’AI Act sur le système IA qu’il contient.

    Data Act. Le Data Act organise l’accès et le partage des données générées par les objets connectés. Ces données peuvent alimenter l’entraînement de modèles IA, ce qui crée une articulation directe avec les exigences de gouvernance des données d’entraînement.

    DSA / DMA. Les très grandes plateformes utilisent massivement l’IA pour la recommandation, la modération et la publicité. Les obligations DSA sur la transparence des algorithmes croisent les obligations AI Act sur les systèmes à risque limité.

    eIDAS 2. Articulation sur la vérification d’identité et la biométrie. Les systèmes d’authentification biométrique sont à haut risque au sens de l’AI Act.

    ePrivacy. Pertinent pour les usages IA dans le tracking et la publicité ciblée.

    Directive droit d’auteur (2019/790). L’article 4 sur l’exception TDM (text and data mining) encadre l’utilisation de contenus protégés pour l’entraînement des modèles IA. C’est l’un des points de friction majeurs avec les ayants droit.

    DGA et REC : pas d’articulation directe spécifique avec l’AI Act, au-delà de leur logique générale de gouvernance des données et de résilience.

    3CF : il peut s’appuyer sur le Cybersecurity Act pour évaluer la cybersécurité des systèmes IA à haut risque.

    L’AI Act est le texte le plus visiblement touché par l’omnibus, avec un paquet dédié : le Digital Omnibus on AI, distinct du Digital Omnibus principal qui touche le RGPD et les autres textes.

    Chronologie. Publication par la Commission le 19 novembre 2025. Position du Parlement européen adoptée le 26 mars 2026 (569 voix pour, 45 contre). Accord politique provisoire Conseil / Parlement dans la nuit du 6 au 7 mai 2026, après neuf heures de négociation.

    Report des délais d’application. Le cœur de l’accord. Les systèmes IA à haut risque de l’annexe III (biométrie, infrastructures critiques, éducation, emploi, services essentiels, application de la loi, contrôle des frontières, justice) bénéficient d’un report du 2 août 2026 au 2 décembre 2027. Ceux de l’annexe I (produits réglementés intégrant de l’IA, type ascenseurs, jouets) basculent du 2 août 2027 au 2 août 2028. Le motif officiel : les normes harmonisées CEN-CENELEC nécessaires à la mise en conformité ne seront pas disponibles à temps.

    Nouvelles pratiques interdites. Ajout des « nudifiers » (applications générant des deepfakes à caractère sexuel non consentis) et des contenus pédopornographiques de synthèse (CSAM) à la liste des pratiques interdites de l’article 5.

    Report du marquage des contenus génératifs. L’obligation de détection et de filigranage des sorties IA (art. 50§2) est reportée au 2 décembre 2026.

    Élargissement du traitement de données sensibles pour la détection des biais. La portée serait élargie pour permettre aux organisations de traiter des données personnelles sensibles dans le cadre de la détection et correction des biais, sous conditions strictes.

    Maintien des règles de transparence au 2 août 2026. Les obligations de l’article 50 (chatbots déclarés, contenus génératifs étiquetés) ne sont pas reportées.

    Ce que le report ne change pas. Les interdictions de l’article 5 restent en vigueur depuis février 2025. L’obligation d’AI Literacy (art. 4) reste applicable. Les obligations GPAI restent applicables depuis août 2025. La gouvernance IA, la cartographie des systèmes et leur classification ne dépendent pas des normes harmonisées et peuvent être construites dès maintenant. Une organisation qui attend décembre 2027 pour s’y mettre se condamne à un sprint impossible.

    L’adoption formelle finale par les co-législateurs est attendue dans les semaines qui suivent l’accord politique, avec publication au Journal officiel dans la foulée. Jusqu’à cette publication, le calendrier initial reste juridiquement opposable.

    L’erreur classique consiste à attendre que les normes soient publiées ou que la date d’application arrive. C’est précisément l’inverse de ce qu’il faut faire : la conformité AI Act se construit sur 12 à 24 mois, pas en trois semaines.

    Cartographier les usages IA. Première étape, souvent la plus longue. Combien d’IA différentes sont utilisées dans l’organisation ? ChatGPT, Copilot, Gemini, Claude, outils RH avec module IA, IA marketing, IA support, IA cybersécurité, fonctionnalités IA embarquées dans le CRM ou le CMS… La plupart des PME-ETI sont déjà déployeurs de 5 à 15 systèmes IA sans le savoir. Sans cartographie, aucune classification possible.

    Classifier au regard de l’annexe III. Chaque usage doit être positionné : risque minimal, limité, haut risque ou interdit. Un chatbot client : risque limité. Un outil de présélection de candidats : haut risque. Un système d’analyse de sentiment des emails : variable selon l’usage. Cette classification doit être documentée et réexaminée régulièrement.

    Identifier les rôles. Pour chaque système, l’entreprise est-elle déployeur, fournisseur, importateur, distributeur ? Les obligations diffèrent radicalement. Une entreprise qui intègre un modèle dans son propre produit devient fournisseur, avec une charge documentaire bien plus lourde que celle d’un simple déployeur.

    Établir une politique IA et une gouvernance. Comité de gouvernance IA (multidisciplinaire : juridique, IT, métier, sécurité), politique d’usage responsable, processus d’approbation des nouveaux cas d’usage, registre des systèmes IA. Ces éléments structurants ne dépendent pas des normes harmonisées et peuvent être construits dès maintenant. Le référentiel ISO/IEC 42001 fournit une base solide.

    Traiter l’AI Literacy. Obligation effective depuis février 2025, souvent oubliée. Les collaborateurs qui utilisent l’IA dans leur travail doivent disposer d’un niveau de compréhension approprié à leur usage. Cela passe par une sensibilisation différenciée selon les profils (utilisateurs occasionnels, équipes métier, équipes techniques) et par une documentation des actions menées.

    Encadrer les fournisseurs IA. Quelles données sont envoyées vers le fournisseur ? Sont-elles utilisées pour entraîner ses modèles ? Où sont-elles hébergées ? Quelles garanties contractuelles sur la confidentialité, la sécurité, l’auditabilité ? Pour un déployeur PME, la qualité du contrat fournisseur est souvent le levier principal de conformité.

    Croiser avec le RGPD. Dès qu’un système IA traite des données personnelles : revue des bases légales, AIPD obligatoire pour les systèmes à risque élevé, information des personnes concernées. La CNIL est l’une des trois autorités compétentes pour l’AI Act en France, et elle traite les sujets IA depuis 2017.

    Croiser avec la cybersécurité. Les systèmes IA introduisent de nouveaux risques : fuite de données via les prompts, prompt injection, exfiltration via les fonctions agentiques, supply chain logicielle des modèles, dépendance fournisseur, manipulation des sorties. L’IA devient un sujet de gouvernance SSI à part entière.

    Préparer la documentation pour les systèmes à haut risque. Pour les entreprises qui développent ou intègrent des systèmes à haut risque, la documentation technique exigée par l’annexe IV est conséquente. Mieux vaut la construire au fil de l’eau pendant le développement que la reconstituer en urgence.

    Charge réelle :

    Pour une PME utilisatrice d’IA bureautique sans système à haut risque, l’investissement initial représente 2 à 4 mois de travail accompagné, principalement de la cartographie, de la politique et de la formation.

    Pour une PME ou ETI ayant intégré l’IA dans son produit ou utilisant des systèmes à haut risque, on parle de 9 à 18 mois et d’un poste dédié, souvent partagé avec le DPO : le sujet n’est plus « Peut-on utiliser l’IA ? » mais « Sommes-nous capables de démontrer que nous l’utilisons de manière maîtrisée, explicable, sécurisée et gouvernée ? ».

    Pour les entités qui cumulent IA et obligations sectorielles, la conformité AI Act se construit avec les autres régimes : voir Conformité NIS2 pour les entités essentielles ou importantes utilisant des systèmes IA critiques, et Conformité DORA pour les entités financières.

    L’AI Act fixe trois plafonds, le montant retenu étant le plus élevé entre la somme absolue et le pourcentage du chiffre d’affaires mondial.

    35 millions d’euros ou 7 % du CA mondial pour violation des pratiques interdites de l’article 5 (notation sociale, manipulation subliminale, identification biométrique non autorisée, nudifiers, CSAM dès adoption de l’omnibus).

    15 millions d’euros ou 3 % du CA mondial pour manquement aux exigences applicables aux systèmes à haut risque et aux obligations des fournisseurs, déployeurs, importateurs, distributeurs et mandataires.

    7,5 millions d’euros ou 1 % du CA mondial (1,5 % selon certaines sources) pour non-conformité aux exigences de transparence (risque limité) et pour fourniture d’informations incorrectes ou trompeuses aux autorités.

    Régime particulier pour les PME et start-ups. Les amendes sont plafonnées au montant le plus faible entre le pourcentage du chiffre d’affaires et le seuil absolu, afin de garantir leur proportionnalité et de ne pas étouffer l’innovation. C’est l’inverse du régime général.

    Astreintes pour les modèles GPAI à risque systémique. Les fournisseurs peuvent se voir imposer des astreintes par l’AI Office en cas de non-coopération ou de non-respect des obligations spécifiques.

    À ces sanctions s’ajoutent des mesures correctrices : retrait du marché, rappel, interdiction de mise sur le marché, restriction d’usage. Pour un système à haut risque non conforme, l’enjeu n’est pas seulement financier : c’est l’accès même au marché européen qui est en cause.

    Côté contentieux : un système IA qui produit une décision préjudiciable (refus de crédit injustifié, présélection RH discriminatoire) expose l’organisation à des actions individuelles et collectives, y compris hors AI Act, sur le fondement du RGPD, du droit de la consommation ou du droit du travail.

    Au moment de l’accord de mai 2026, aucune sanction AI Act significative n’a encore été prononcée. Les premières affaires devraient émerger à partir de 2027, avec l’entrée en application complète des obligations haut risque et la montée en puissance des autorités nationales.

    Quand l’AI Act s’applique-t-il aux systèmes à haut risque ?

    L’accord politique provisoire du 7 mai 2026 sur le Digital Omnibus on AI reporte l’application des obligations aux systèmes à haut risque de l’annexe III (biométrie, infrastructures critiques, éducation, emploi, services essentiels, application de la loi, contrôle des frontières, justice) du 2 août 2026 au 2 décembre 2027. Les systèmes de l’annexe I (produits réglementés intégrant de l’IA) sont quant à eux reportés au 2 août 2028. Attention : tant que l’accord n’est pas formellement adopté et publié au Journal officiel, le calendrier initial reste juridiquement applicable.

    Pourquoi l’AI Act a-t-il été reporté ?

    Le report n’est pas une remise en cause du règlement sur le fond, mais une réponse pragmatique à un retard infrastructurel. Le système de conformité de l’AI Act repose sur des normes harmonisées élaborées par le CEN et le CENELEC, qui n’ont pas pu être produites à temps. Sans ces normes, les entreprises n’ont pas de présomption de conformité et la démonstration devient lourde. Le report de 16 mois donne aux organismes de normalisation le temps de finaliser leur travail.

    Quelles sanctions prévoit l’AI Act ?

    L’AI Act prévoit trois plafonds, le montant retenu étant le plus élevé entre la somme absolue et le pourcentage du chiffre d’affaires mondial : 35 millions d’euros ou 7 % du CA mondial pour les pratiques interdites (article 5), 15 millions d’euros ou 3 % pour les manquements aux obligations des systèmes à haut risque, 7,5 millions d’euros ou 1 % pour les manquements aux obligations de transparence. Les PME et start-ups bénéficient d’un régime particulier : leurs amendes sont plafonnées au montant le plus faible, et non au plus élevé.

    Qui est concerné par l’AI Act ?

    L’AI Act s’applique à tout fournisseur qui développe ou met sur le marché un système d’IA dans l’Union, à tout déployeur qui utilise un système d’IA dans son activité professionnelle, aux importateurs et distributeurs, ainsi qu’aux fournisseurs hors UE dont les résultats sont utilisés dans l’Union. Une PME française qui utilise ChatGPT pour automatiser son support client est déployeur d’un système IA, avec ses propres obligations. L’obligation d’AI Literacy (article 4) s’applique à toutes les entreprises utilisant de l’IA, sans seuil de taille, depuis février 2025.

    Que reste-t-il applicable malgré le report ?

    Le report de mai 2026 ne concerne que les systèmes à haut risque. Restent pleinement applicables : les interdictions de l’article 5 (en vigueur depuis février 2025), l’obligation d’AI Literacy (article 4, en vigueur depuis février 2025), les obligations pour les modèles GPAI (en vigueur depuis août 2025), et les obligations de transparence de l’article 50 (chatbots, contenus génératifs étiquetés), qui s’appliqueront au 2 août 2026 sans report.

    L’AI Act n’est pas seulement un texte juridique. Dans la pratique, il devient rapidement un sujet de cybersécurité et de gouvernance opérationnelle.

    L’usage d’IA générative dans les entreprises introduit déjà de nouveaux risques : fuite de données dans des chatbots, dépendance à des fournisseurs externes, prompt injection, réutilisation de contenus internes, journalisation insuffisante, automatisation d’actions sensibles ou difficulté à comprendre réellement comment certaines décisions sont produites.

    Ces problématiques touchent directement :

    • la gestion des accès ;
    • la protection des données ;
    • la maîtrise des fournisseurs ;
    • la supervision ;
    • la résilience opérationnelle ;
    • la gouvernance des actifs numériques.

    Le sujet devient particulièrement sensible lorsque l’IA intervient dans des fonctions critiques : RH, conformité, scoring, sécurité, relation client, finance ou détection de fraude.

    Beaucoup d’entreprises découvrent aujourd’hui qu’elles utilisent déjà plusieurs dizaines d’outils IA sans inventaire précis : copilots bureautiques, assistants de développement, IA intégrées aux SaaS, retranscription automatique, génération de contenus ou fonctions IA activées par défaut.

    Le problème n’est donc plus de savoir si l’IA est présente dans l’entreprise, elle l’est déjà. Le véritable enjeu devient la capacité à comprendre :

    • où l’IA est utilisée ;
    • quelles données elle manipule ;
    • quelles décisions elle influence ;
    • quels fournisseurs interviennent ;
    • quelles traces sont conservées ;
    • quel niveau de supervision humaine existe réellement.

    Pour beaucoup de RSSI, le sujet IA rejoint désormais des problématiques très classiques : gestion des tiers, classification des usages, IAM, observabilité, gestion des risques et résilience opérationnelle.

    Les entreprises qui commencent tôt disposent surtout d’un avantage très concret : elles ont le temps de structurer progressivement leur gouvernance avant que les exigences réglementaires, contractuelles ou clients ne deviennent beaucoup plus fortes.

    Où en êtes-vous sur l’AI Act ?

    Radical-SSI vous accompagne pour :

    • Cartographier vos usages IA;
    • Classifier vos systèmes selon l’AI Act ;
    • Construire une gouvernance IA pragmatique ;
    • Articuler AI Act, RGPD, NIS2 et DORA ;
    • Encadrer les usages d’IA générative ;
    • Structurer votre politique IA interne.
    Prenons rendez-vous pour une consultation sans engagement.

    Partagez cette page via :