AI Act : ce que les entreprises doivent savoir avant août 2026
Le 2 août 2026 reste à ce jour la date légale d'entrée en application des obligations les plus strictes de l'AI Act — même si un report à décembre 2027 est proposé et discuté au niveau européen, sans être encore formellement adopté.
Ce qu'est l'AI Act, en une phrase
Le règlement européen sur l'intelligence artificielle (Règlement UE 2024/1689), entré en vigueur en août 2024, classe les systèmes d'IA en quatre niveaux de risque — inacceptable, haut, limité, minimal — et impose des obligations proportionnelles au niveau de risque identifié. Les systèmes à risque inacceptable sont interdits depuis février 2025 ; les obligations pour les modèles d'IA à usage général (GPT, Claude, Gemini, Mistral) s'appliquent depuis août 2025.
L'échéance du 2 août 2026
À cette date, les obligations les plus structurantes entrent en application pour les systèmes classés à haut risque — typiquement des outils utilisés en ressources humaines, finance, éducation, biométrie ou services essentiels. Concrètement, ces obligations couvrent :
- Traçabilité — journalisation automatique des décisions prises par le système.
- Transparence — documentation claire sur le fonctionnement du système.
- Supervision humaine réelle — un opérateur humain doit pouvoir surveiller, intervenir et désactiver le système à tout moment ; une supervision purement formelle ne suffit pas.
- Robustesse technique — fiabilité, précision et résistance aux cyberattaques.
- Enregistrement dans la base de données européenne centralisée.
L'incertitude à connaître avant d'agir
Un projet de report, discuté sous l'appellation "Digital Omnibus", propose de décaler cette échéance au 2 décembre 2027 pour les systèmes à haut risque de l'Annexe III. Le Parlement européen a soutenu cette orientation par un vote le 18 mars 2026, mais aucun texte officiel n'a été publié au Journal officiel de l'Union européenne à ce jour. Tant que ce n'est pas le cas, le 2 août 2026 reste la date légale en vigueur — attendre une confirmation du report avant d'agir expose à un risque réel si le report n'aboutit finalement pas à temps.
Qui est concerné, concrètement
Toute entreprise qui développe ou utilise un système d'IA classé à haut risque est concernée — y compris une entreprise qui se contente d'utiliser un outil tiers (CRM, logiciel RH, marketing automation) intégrant de l'IA sans l'avoir développé elle-même, considérée comme "déployeuse" au sens du règlement. Le Digital Omnibus a par ailleurs étendu certaines facilités initialement réservées aux PME (bacs à sable réglementaires, accompagnement national, allègement documentaire) aux entreprises de moins de 750 salariés.
Les sanctions encourues
Les amendes peuvent atteindre 35 millions d'euros ou 7% du chiffre d'affaires mondial annuel pour les infractions les plus graves — un niveau de sanction qui dépasse celui du RGPD, signal de l'importance accordée par l'Union européenne à ce texte.
Les premières étapes concrètes
- Recensez tous les systèmes d'IA utilisés dans votre organisation, y compris ceux intégrés dans des logiciels tiers déjà en place.
- Pour chacun, déterminez le niveau de risque selon la classification du règlement — en cas de doute, la catégorie la plus contraignante s'applique par précaution.
- Pour tout système identifié à haut risque, engagez la mise en conformité documentaire et de supervision sans attendre une confirmation définitive du calendrier.