L'EU AI Act entre en phase d'application : ce qu'il faut savoir

Gerónimo
Gerónimo
Fractional CTO
8 min de lecture

Cela fait des années qu’on entend parler de l’EU AI Act comme de quelque chose qui « finira par arriver ». Eh bien, c’est fait : le 2 août 2026 était la date fixée dès le départ comme le jour de pleine application du règlement, et même si le calendrier a changé ces derniers mois (on le verra dans la frise chronologique), cela reste un tournant pour toute entreprise qui utilise l’IA en Europe, ou qui propose ses services à des utilisateurs européens.

J’ai échangé avec pas mal d’entreprises ces derniers mois et je retrouve deux extrêmes : celles qui pensent que ça ne les concerne pas parce qu’elles « ne font pas d’IA », et celles qui gèlent leurs initiatives par peur de la réglementation. Je pense que ces deux postures partent d’une mauvaise compréhension du règlement, donc cet article se veut une introduction aux idées clés, sans entrer dans le détail juridique.

Avant toute chose, deux détails souvent négligés. L’AI Act (Règlement UE 2024/1689) est un règlement, pas une directive : il s’applique directement dans tous les États membres sans attendre de lois nationales. Et il a une portée extraterritoriale : si votre entreprise est basée hors de l’UE mais que vos systèmes d’IA sont utilisés sur le territoire européen, il s’applique aussi à vous. C’est le même effet Bruxelles que l’on a déjà connu avec le RGPD.

Comment il se déploie : le calendrier actualisé

Le règlement n’entre pas en vigueur d’un coup, il se déploie par phases. Et c’est là que se situe la principale source de confusion : en mai 2026, l’accord politique sur le « Digital Omnibus » a reporté les obligations liées au risque élevé. Beaucoup de contenus publiés avant cette date affirment que « tout le risque élevé » entre en application en août 2026, ce qui n’est plus exact. Voici le calendrier actualisé :

1er août 2024
Entrée en vigueur
Le règlement entre en vigueur et le calendrier d'application progressive démarre.
2 février 2025
Interdictions et sensibilisation
Les pratiques à risque inacceptable deviennent interdites et la formation à l'IA du personnel devient obligatoire (Article 4).
2 août 2025
Modèles à usage général
Les obligations pour les fournisseurs de modèles GPAI (grands modèles de langage) s'appliquent, et la gouvernance européenne démarre (AI Office).
2 août 2026 Estás aquí
Transparence
Les obligations de transparence de l'Article 50 entrent en application : signaler qu'une IA est impliquée et étiqueter le contenu synthétique.
2 décembre 2027
Risque élevé (Annexe III)
Reporté par l'Omnibus : obligations pour les systèmes à haut risque dans l'emploi, l'éducation, le crédit, la biométrie, la migration, etc.
2 août 2028
Risque élevé dans les produits (Annexe I)
Également reporté : IA intégrée comme composant de sécurité dans des produits réglementés (dispositifs médicaux, machines, jouets...).

Les quatre niveaux de risque

C’est la première chose à intégrer : l’AI Act ne régule pas « l’IA » dans l’abstrait, il régule les usages qu’on en fait. Le même modèle peut n’avoir aucune obligation ou en avoir énormément selon l’usage qu’on en fait.

Le tableau suit la classification officielle de la Commission européenne (notez que la Commission appelle le troisième niveau « risque de transparence », et non « risque limité ») :

CategoríaRisque inacceptableRisque élevéRisque de transparenceRisque minimal ou nul
StatutInterditObligations strictesObligations de divulgationAucune obligation
Qu'est-ce que c'estMenace claire pour la sécurité, les moyens de subsistance ou les droits des personnesUsages pouvant présenter des risques sérieux pour la santé, la sécurité ou les droits fondamentauxUsages où les personnes doivent savoir qu'une IA est impliquée, pour préserver la confianceLa grande majorité des systèmes d'IA utilisés aujourd'hui dans l'UE
Exemples
Le règlement interdit 8 pratiques :
  • Manipulation et tromperie nuisibles
  • Exploitation de vulnérabilités
  • Notation sociale
  • Prédiction de délits individuels
  • Scraping massif pour des bases de données de reconnaissance faciale
  • Reconnaissance des émotions au travail et dans l'éducation
  • Catégorisation biométrique de caractéristiques protégées
  • Identification biométrique à distance en temps réel dans les espaces publics à des fins répressives
  • Composants de sécurité des infrastructures critiques
  • Accès à l'éducation (p. ex. correction d'examens)
  • Emploi et gestion des travailleurs (p. ex. tri de CV)
  • Accès aux services essentiels (p. ex. scoring de crédit)
  • Biométrie
  • Application de la loi
  • Migration et contrôle des frontières
  • Justice
  • Chatbots
  • IA générative
  • Deepfakes et textes générés par IA publiés pour informer sur des sujets d'intérêt public
  • Jeux vidéo avec IA
  • Filtres anti-spam
  • Recommandeurs basiques
  • La majeure partie de l'outillage interne
ObligationsAucune : ils sont directement interdits
  • Évaluation et atténuation des risques
  • Qualité des jeux de données
  • Enregistrement de l'activité et traçabilité
  • Documentation technique
  • Information au déployeur
  • Supervision humaine
  • Robustesse, cybersécurité et précision
  • Informer que l'on interagit avec une IA
  • Rendre identifiable le contenu généré
  • Étiqueter de façon visible les deepfakes et les contenus d'intérêt public
Aucune. Codes de conduite volontaires
S'applique depuisFévrier 2025Décembre 2027 (Annexe III) et août 2028 (IA intégrée dans des produits)Août 2026

D’après la classification officielle de la Commission européenne : digital-strategy.ec.europa.eu/en/policies/regulatory-framework-ai

À cela s’ajoute un régime propre aux modèles à usage général (GPAI). Si vous êtes une entreprise qui utilise ces modèles via une API, ces obligations ne sont pas les vôtres, elles reviennent au fournisseur. Les vôtres dépendent de l’usage que vous en faites.

Ce qui entre en vigueur le 2 août 2026

Ce qui entre en application maintenant, et qui n’a pas été reporté, ce sont les obligations de transparence de l’Article 50 :

  • Interaction avec une IA : si votre système interagit avec des personnes (un chatbot, par exemple), elles doivent savoir qu’elles parlent à une IA, sauf si cela est évident du fait du contexte.
  • Contenu synthétique : si vous générez ou manipulez avec de l’IA des images, vidéos ou audios pouvant sembler authentiques (deepfakes), vous devez les étiqueter comme tels.
  • Textes d’intérêt public : les textes générés par IA publiés pour informer sur des sujets d’intérêt public doivent être identifiés, sauf s’il y a une révision et une responsabilité éditoriale humaines.
  • Marquage technique : les fournisseurs d’IA générative doivent marquer techniquement leurs sorties comme générées artificiellement, dans un format lisible par machine.

Cela concerne beaucoup plus d’entreprises qu’il n’y paraît. Pas besoin d’entraîner des modèles ni de faire du scoring de crédit : il suffit d’avoir un chatbot de support client ou de publier du contenu généré par IA.

Sanctions

Le régime de sanctions est l’un des plus sévères du droit numérique européen. Les amendes se calculent sur le montant fixe ou le pourcentage du chiffre d’affaires mondial annuel, le montant le plus élevé étant retenu :

35M€ / 7%
Pratiques d'IA interdites
15M€ / 3%
Non-respect des obligations de risque élevé, de transparence ou GPAI
7,5M€ / 1%
Fournir des informations incorrectes aux autorités
Des critères de proportionnalité sont prévus pour les PME, mais l'obligation de se conformer reste la même.

FAQ

L'AI Act s'applique-t-il si j'utilise seulement de l'IA de tiers ?
Très probablement oui. Le règlement couvre à la fois les fournisseurs et les déployeurs de systèmes d'IA utilisés dans l'UE, y compris les entreprises qui ne font qu'intégrer des modèles tiers. Vos obligations dépendent du niveau de risque de l'usage que vous en faites.
Que change exactement le 2 août 2026 ?
Les obligations de transparence de l'Article 50 entrent en application : informer lorsque quelqu'un interagit avec une IA et étiqueter le contenu synthétique. Les interdictions et les règles GPAI étaient déjà applicables auparavant.
Tout n'avait-il pas été reporté avec le Digital Omnibus ?
Pas tout. L'Omnibus (accord politique de mai 2026) a reporté le risque élevé de l'Annexe III à décembre 2027 et celui de l'Annexe I à août 2028. La transparence de l'Article 50 n'a pas été reportée et s'applique depuis août 2026.
Que se passe-t-il si j'utilise un chatbot de support client ?
C'est un cas typique de risque de transparence : vous devez informer les utilisateurs qu'ils parlent à une IA, sauf si cela est évident du fait du contexte. C'est l'une des obligations qui entrent en application maintenant.
L'utilisation de modèles hébergés hors de l'UE est-elle interdite ?
Non, l'AI Act n'interdit pas d'utiliser des modèles ou fournisseurs d'IA hébergés hors de l'UE. Ce qui l'interdit en général, c'est le RGPD : transférer des données personnelles vers des pays hors de l'Espace économique européen (EEE) sans qu'il existe un mécanisme de transfert valide (comme une décision d'adéquation ou les clauses contractuelles types). C'est une question de protection des données, pas de l'AI Act.

L’AI Act va bientôt entrer en phase d’application, il n’est donc pas recommandé de continuer à retarder le travail visant à s’assurer de sa conformité au règlement.

Pour la plupart des entreprises, la première étape est simple et ne nécessite pas d’avocats : faire l’inventaire des systèmes d’IA utilisés (propres et tiers), les classer par niveau de risque et, à partir de là, voir quelles obligations s’appliquent et à partir de quand.

Cet article est une introduction à visée pédagogique, pas un conseil juridique. Pour classer vos systèmes et connaître vos obligations précises, consultez un conseil juridique spécialisé.

IA régulation IA EU AI Act conformité union européenne