L'EU AI Act entre en phase d'application : ce qu'il faut savoir

Cela fait des années qu’on entend parler de l’EU AI Act comme de quelque chose qui « finira par arriver ». Eh bien, c’est fait : le 2 août 2026 était la date fixée dès le départ comme le jour de pleine application du règlement, et même si le calendrier a changé ces derniers mois (on le verra dans la frise chronologique), cela reste un tournant pour toute entreprise qui utilise l’IA en Europe, ou qui propose ses services à des utilisateurs européens.
J’ai échangé avec pas mal d’entreprises ces derniers mois et je retrouve deux extrêmes : celles qui pensent que ça ne les concerne pas parce qu’elles « ne font pas d’IA », et celles qui gèlent leurs initiatives par peur de la réglementation. Je pense que ces deux postures partent d’une mauvaise compréhension du règlement, donc cet article se veut une introduction aux idées clés, sans entrer dans le détail juridique.
Avant toute chose, deux détails souvent négligés. L’AI Act (Règlement UE 2024/1689) est un règlement, pas une directive : il s’applique directement dans tous les États membres sans attendre de lois nationales. Et il a une portée extraterritoriale : si votre entreprise est basée hors de l’UE mais que vos systèmes d’IA sont utilisés sur le territoire européen, il s’applique aussi à vous. C’est le même effet Bruxelles que l’on a déjà connu avec le RGPD.
Comment il se déploie : le calendrier actualisé
Le règlement n’entre pas en vigueur d’un coup, il se déploie par phases. Et c’est là que se situe la principale source de confusion : en mai 2026, l’accord politique sur le « Digital Omnibus » a reporté les obligations liées au risque élevé. Beaucoup de contenus publiés avant cette date affirment que « tout le risque élevé » entre en application en août 2026, ce qui n’est plus exact. Voici le calendrier actualisé :
Les quatre niveaux de risque
C’est la première chose à intégrer : l’AI Act ne régule pas « l’IA » dans l’abstrait, il régule les usages qu’on en fait. Le même modèle peut n’avoir aucune obligation ou en avoir énormément selon l’usage qu’on en fait.
Le tableau suit la classification officielle de la Commission européenne (notez que la Commission appelle le troisième niveau « risque de transparence », et non « risque limité ») :
| Categoría | Risque inacceptable | Risque élevé | Risque de transparence | Risque minimal ou nul |
|---|---|---|---|---|
| Statut | Interdit | Obligations strictes | Obligations de divulgation | Aucune obligation |
| Qu'est-ce que c'est | Menace claire pour la sécurité, les moyens de subsistance ou les droits des personnes | Usages pouvant présenter des risques sérieux pour la santé, la sécurité ou les droits fondamentaux | Usages où les personnes doivent savoir qu'une IA est impliquée, pour préserver la confiance | La grande majorité des systèmes d'IA utilisés aujourd'hui dans l'UE |
| Exemples | Le règlement interdit 8 pratiques :
|
|
|
|
| Obligations | Aucune : ils sont directement interdits |
|
| Aucune. Codes de conduite volontaires |
| S'applique depuis | Février 2025 | Décembre 2027 (Annexe III) et août 2028 (IA intégrée dans des produits) | Août 2026 | — |
D’après la classification officielle de la Commission européenne : digital-strategy.ec.europa.eu/en/policies/regulatory-framework-ai
À cela s’ajoute un régime propre aux modèles à usage général (GPAI). Si vous êtes une entreprise qui utilise ces modèles via une API, ces obligations ne sont pas les vôtres, elles reviennent au fournisseur. Les vôtres dépendent de l’usage que vous en faites.
Ce qui entre en vigueur le 2 août 2026
Ce qui entre en application maintenant, et qui n’a pas été reporté, ce sont les obligations de transparence de l’Article 50 :
- Interaction avec une IA : si votre système interagit avec des personnes (un chatbot, par exemple), elles doivent savoir qu’elles parlent à une IA, sauf si cela est évident du fait du contexte.
- Contenu synthétique : si vous générez ou manipulez avec de l’IA des images, vidéos ou audios pouvant sembler authentiques (deepfakes), vous devez les étiqueter comme tels.
- Textes d’intérêt public : les textes générés par IA publiés pour informer sur des sujets d’intérêt public doivent être identifiés, sauf s’il y a une révision et une responsabilité éditoriale humaines.
- Marquage technique : les fournisseurs d’IA générative doivent marquer techniquement leurs sorties comme générées artificiellement, dans un format lisible par machine.
Cela concerne beaucoup plus d’entreprises qu’il n’y paraît. Pas besoin d’entraîner des modèles ni de faire du scoring de crédit : il suffit d’avoir un chatbot de support client ou de publier du contenu généré par IA.
Sanctions
Le régime de sanctions est l’un des plus sévères du droit numérique européen. Les amendes se calculent sur le montant fixe ou le pourcentage du chiffre d’affaires mondial annuel, le montant le plus élevé étant retenu :
FAQ
L'AI Act s'applique-t-il si j'utilise seulement de l'IA de tiers ?
Que change exactement le 2 août 2026 ?
Tout n'avait-il pas été reporté avec le Digital Omnibus ?
Que se passe-t-il si j'utilise un chatbot de support client ?
L'utilisation de modèles hébergés hors de l'UE est-elle interdite ?
L’AI Act va bientôt entrer en phase d’application, il n’est donc pas recommandé de continuer à retarder le travail visant à s’assurer de sa conformité au règlement.
Pour la plupart des entreprises, la première étape est simple et ne nécessite pas d’avocats : faire l’inventaire des systèmes d’IA utilisés (propres et tiers), les classer par niveau de risque et, à partir de là, voir quelles obligations s’appliquent et à partir de quand.
–
Cet article est une introduction à visée pédagogique, pas un conseil juridique. Pour classer vos systèmes et connaître vos obligations précises, consultez un conseil juridique spécialisé.