Qu'est-ce que l'EU AI Act ?
L'EU AI Act est le premier cadre horizontal adopté par l'Union européenne pour encadrer la mise sur le marché, la mise en service et l'utilisation des systèmes d'intelligence artificielle. Il s'agit du Règlement (UE) 2024/1689, souvent présenté comme le règlement européen sur l'intelligence artificielle. Son ambition est simple : permettre l'innovation, tout en fixant des garde-fous lorsque l'IA peut affecter la sécurité, les droits fondamentaux ou l'accès à des services essentiels.
Pour une entreprise française, ce texte ne concerne pas seulement les grands laboratoires d'IA ou les géants américains. Il s'applique aussi à l'éditeur d'un outil RH qui trie des candidatures, à la banque qui automatise une partie de son scoring de crédit, au groupe industriel qui déploie de l'IA dans une infrastructure critique, ou encore à la société de services qui intègre un modèle tiers dans son offre. En pratique, la question n'est plus seulement : utilisons-nous de l'IA ? La vraie question est : dans quelle catégorie réglementaire tombent nos systèmes ?
Le règlement adopte une logique par niveaux de risque. Plus les conséquences potentielles d'un système sont lourdes pour les personnes, plus les obligations sont élevées. Ce choix est important, car il évite d'imposer la même charge à un chatbot marketing et à un système qui influence un recrutement, une orientation scolaire ou une décision de crédit. C'est aussi ce qui rend la conformité AI Act 2026 très opérationnelle : votre premier chantier consiste à qualifier correctement vos cas d'usage.
Autrement dit, l'EU AI Act n'est pas un texte théorique réservé aux juristes. C'est un cadre de gouvernance très concret, qui oblige les entreprises à documenter leurs systèmes, à clarifier les responsabilités entre fournisseur et déployeur, à organiser le contrôle humain et à démontrer la robustesse des modèles. C'est précisément sur ce terrain qu'une entreprise française doit se préparer dès maintenant, avant l'échéance générale du 2 août 2026.
À retenir
Point de départ utile : la conformité ne se joue pas d'abord sur le choix d'un outil, mais sur la capacité à cartographier vos usages IA et à qualifier leur niveau de risque.
Qui est concerné en France ?
La portée du texte est large. Sont concernés les fournisseurs de systèmes d'IA, c'est-à-dire les acteurs qui développent un système ou le mettent sur le marché sous leur nom. Sont également concernés les déployeurs, autrement dit les entreprises qui utilisent un système d'IA dans leurs opérations. À cela s'ajoutent les importateurs, distributeurs, mandataires et, dans certains cas, les entreprises qui modifient substantiellement un outil existant.
Pour une PME française, le cas typique est celui d'un logiciel tiers branché sur un processus métier sensible. Beaucoup d'équipes pensent alors que la conformité relève uniquement de l'éditeur. C'est une erreur. Même si vous n'avez pas entraîné le modèle, vous pouvez avoir des obligations de transparence, de supervision humaine, de tenue de documentation interne et d'organisation du suivi. Dès qu'un système influe sur une décision humaine importante, votre responsabilité opérationnelle augmente nettement.
Les ETI et les grands groupes cumulent souvent plusieurs rôles en parallèle. Ils peuvent être déployeurs pour des outils achetés sur étagère, fournisseurs pour des systèmes développés en interne et intégrateurs pour des solutions packagées à destination de filiales ou de clients. Dans ces configurations, le risque principal n'est pas seulement juridique : c'est la dispersion. Sans inventaire centralisé des systèmes IA, les équipes achats, conformité, sécurité, juridique, RH et métier travaillent chacune avec une vision partielle.
En France, les secteurs les plus exposés sont déjà bien identifiables : ressources humaines, banque, assurance, enseignement, santé, infrastructures critiques, services publics, sécurité et justice. Mais il faut éviter une lecture trop restrictive. Une entreprise de e-commerce, de logistique ou de conseil peut aussi entrer dans le champ si elle automatise le profilage de personnes, le tri de candidatures, l'évaluation d'une solvabilité ou l'affectation à un service essentiel.
- Vous êtes probablement concerné si vous concevez un système d'IA pour un client ou pour vos propres opérations.
- Vous êtes également concerné si vous déployez un outil d'IA dans un processus qui touche l'emploi, l'éducation, le crédit, l'accès à un service public ou la sécurité.
- Le fait d'utiliser un outil d'un tiers ne supprime pas vos obligations internes de contrôle, de documentation et de gouvernance.
Les 4 niveaux de risque expliqués simplement
Le règlement européen sur l'intelligence artificielle repose sur quatre niveaux de risque. Cette grille est essentielle, car elle détermine la profondeur des obligations. Une entreprise française a tout intérêt à l'utiliser comme un langage commun entre direction, juridique, DSI, RSSI, RH et métiers.
Risque 1
Risque inacceptable
Ces pratiques sont interdites. On parle par exemple de certaines formes de manipulation, de scoring social, de police prédictive fondée uniquement sur le profilage, ou de certains usages biométriques jugés trop intrusifs.
Risque 2
Haut risque
Ce sont les systèmes susceptibles d'affecter la sécurité ou les droits fondamentaux. C'est ici que se trouvent les obligations les plus lourdes, notamment la gestion des risques, la documentation technique, la supervision humaine et la robustesse.
Risque 3
Risque limité
Le système reste autorisé, mais il faut respecter des obligations de transparence. C'est le cas d'un agent conversationnel ou d'un outil génératif lorsque l'utilisateur doit être informé qu'il interagit avec une IA ou que le contenu est synthétique.
Risque 4
Risque minimal ou nul
La majorité des usages courants relèvent de cette catégorie. Les obligations formelles sont faibles, mais il reste recommandé d'adopter des bonnes pratiques de gouvernance, de sécurité et de documentation.
À retenir
Une erreur de classement coûte cher : sous-classer un système haut risque expose à un défaut de conformité, tandis que sur-classer tous les cas d'usage bloque inutilement l'innovation.
Focus Annexe III : les 8 domaines haut risque avec exemples français
L'Annexe III est le coeur opérationnel du dispositif pour de nombreuses entreprises. Elle liste les domaines dans lesquels un système d'IA est présumé à haut risque lorsqu'il remplit certains usages. C'est souvent là que les directions découvrent que leur outil apparemment technique est en réalité réglementairement sensible.
Voici les huit domaines à surveiller en priorité, avec des exemples parlants pour le marché français. Les cas mentionnés ci-dessous n'ont pas tous le même statut juridique selon leur implémentation exacte, mais ils donnent une grille de lecture immédiatement exploitable pour vos audits internes.
1
Biométrie
Identification biométrique, catégorisation ou reconnaissance d'émotions. Exemple français : analyse vidéo ou faciale déployée dans un site sensible, un terminal de transport ou un environnement de contrôle d'accès.
2
Infrastructures critiques
Systèmes utilisés pour la sécurité ou la gestion du transport, de l'énergie, de l'eau ou des réseaux numériques. Exemple : IA de pilotage ou de maintenance prédictive sur un réseau ferroviaire ou électrique.
3
Éducation et formation
Admission, affectation, évaluation ou surveillance. Les références françaises les plus parlantes sont Parcoursup, les outils d'aide à l'orientation, le proctoring ou la notation automatisée.
4
Emploi et gestion des travailleurs
Tri de CV, ciblage d'offres, évaluation de candidats, notation de performance, promotion ou licenciement. C'est le cas d'école du recrutement assisté par IA en entreprise.
5
Services essentiels privés et publics
Accès au crédit, à l'assurance-vie, à la santé, à des prestations ou à des services publics. Exemple : scoring de crédit, priorisation de dossiers d'aides ou outil d'éligibilité à une prestation.
6
Application de la loi
Profilage, évaluation du risque, analyse de preuves ou détection de comportements. Domaine très encadré, surtout lorsqu'il touche à la liberté individuelle ou à la sécurité publique.
7
Migration, asile et contrôle aux frontières
Évaluation de demandes, détection de fraude, gestion de contrôles et traitement de situations migratoires. Les implications sur les droits fondamentaux justifient le classement élevé.
8
Justice et processus démocratiques
Aide à la décision judiciaire, qualification juridique, résolution extrajudiciaire ou influence sur un scrutin. Les outils de justice prédictive et certains mécanismes de recommandation politique sont ici particulièrement sensibles.
À retenir
Les exemples français les plus souvent cités dans les entreprises sont Parcoursup pour l'éducation, le scoring de crédit pour les services essentiels et les outils de recrutement IA pour les RH.
Les obligations concrètes des articles 9 à 15
Lorsqu'un système est classé à haut risque, le débat s'arrête sur la qualification et commence sur l'exécution. Les articles 9 à 15 décrivent le socle de conformité à mettre en place. Ils ne demandent pas seulement un dossier juridique : ils imposent un dispositif vivant, qui mobilise produit, data, sécurité, conformité et métiers.
Pour une entreprise française, la bonne méthode consiste à traduire ces articles en livrables internes : registre des systèmes, cartographie des usages, analyse des risques, documentation des données, procédures de supervision humaine, tests de robustesse et preuves de pilotage. Voici la lecture la plus concrète à retenir.
Article 9
Gestion des risques
Vous devez identifier les risques prévisibles, les évaluer, définir des mesures de réduction et réexaminer régulièrement le système. En pratique, cela ressemble à une boucle de gestion des risques documentée.
Article 10
Données et gouvernance des données
Les jeux de données doivent être pertinents, aussi complets que possible et gouvernés. Il faut documenter les sources, les limites, les biais connus et les contrôles de qualité appliqués.
Article 11
Documentation technique
Le système doit être décrit de manière suffisamment précise pour démontrer la conformité. Architecture, finalité, version, logique de fonctionnement, hypothèses, limites et preuves de contrôle doivent être traçables.
Article 12
Enregistrement et traçabilité
Le système doit permettre la conservation de journaux et d'éléments utiles à l'audit. Sans logs, il devient très difficile de reconstituer une décision ou d'expliquer un incident.
Article 13
Transparence et information
Les utilisateurs professionnels doivent recevoir des informations claires pour comprendre le fonctionnement, les conditions d'usage, les limites du système et les précautions à respecter.
Article 14
Contrôle humain
L'IA ne doit pas être laissée seule dans un processus critique. Il faut définir qui surveille, qui peut interrompre, corriger ou invalider une recommandation, et dans quels délais.
Article 15
Exactitude, robustesse et cybersécurité
Le système doit atteindre un niveau de performance compatible avec sa finalité et résister aux erreurs comme aux attaques. Cela suppose des tests, des seuils, une surveillance et une hygiène de sécurité adaptées.
- La documentation n'est pas un livrable de fin de projet : elle doit suivre les évolutions du système.
- Le contrôle humain n'a de valeur que s'il est réel, formé et opérationnel, pas seulement mentionné dans une procédure.
- Les obligations IA doivent être articulées avec le RGPD, la sécurité de l'information et vos contrôles internes existants.
Le calendrier : pourquoi le 2 août 2026 est la date clé
Le calendrier de l'AI Act est progressif. Le règlement est entré en vigueur le 1er août 2024, mais toutes les obligations ne s'appliquent pas le même jour. Cette progressivité a pu donner une impression de délai confortable. En réalité, elle impose un phasage précis, surtout pour les organisations qui doivent inventorier plusieurs dizaines de systèmes.
Pour les entreprises françaises, la date qui structure le plan d'action reste le 2 août 2026. C'est à partir de ce moment que la grande majorité des règles devient applicable. Attendre l'été 2026 pour commencer serait une erreur, car l'essentiel du travail porte sur l'identification des cas d'usage, la collecte de preuves et la mise à niveau des processus internes.
1 août 2024
Entrée en vigueur du règlement
Le texte est officiellement entré en vigueur au niveau européen. C'est le point de départ du calendrier.
2 février 2025
Pratiques interdites et culture IA
Les interdictions de l'article 5 et les obligations de littératie IA commencent à s'appliquer. Les entreprises doivent déjà sensibiliser les équipes qui conçoivent ou utilisent ces systèmes.
2 août 2025
Gouvernance et GPAI
Entrée en application des règles de gouvernance et des obligations liées aux modèles d'IA à usage général. Les acteurs qui s'appuient sur ces briques doivent clarifier leurs responsabilités contractuelles.
2 août 2026
Application générale
C'est l'échéance structurante pour la plupart des entreprises. Les obligations applicables aux systèmes haut risque et à de nombreux autres usages deviennent un sujet de conformité pleinement opposable.
2 août 2027
Certains produits réglementés
Les systèmes haut risque intégrés dans certains produits déjà soumis à une réglementation sectorielle bénéficient d'une transition plus longue.
À retenir
Si vous voulez être prêt au 2 août 2026, le bon créneau pour agir est maintenant : cartographier au deuxième trimestre 2026, corriger au troisième est déjà trop tard pour les organisations complexes.
Les amendes : jusqu'à 35 M€ ou 7 % du chiffre d'affaires mondial
Le régime de sanction a été conçu pour être dissuasif. Les montants maximaux les plus élevés concernent les violations liées aux pratiques interdites. D'autres manquements, notamment relatifs aux obligations applicables aux systèmes d'IA, peuvent aussi entraîner des sanctions très importantes. Le message du législateur est clair : l'IA n'est pas un sujet de communication, c'est un sujet de conformité stratégique.
Pour les groupes internationaux, le plafond calculé sur le chiffre d'affaires mondial peut dépasser de très loin une simple logique d'amende administrative. Pour une PME, le risque est différent mais réel : mise en cause contractuelle, difficulté à répondre à un appel d'offres, gel d'un projet, surcharge d'audit interne, exposition à la presse ou à l'autorité de contrôle. La conformité AI Act 2026 doit donc être traitée comme un chantier de réduction de risque global, et non comme une formalité documentaire.
- Jusqu'à 35 millions d'euros ou 7 % du chiffre d'affaires annuel mondial pour les violations les plus graves.
- Autres niveaux de sanctions pour les manquements aux obligations applicables aux systèmes ou pour la fourniture d'informations incorrectes aux autorités.
- Au-delà de l'amende, le risque opérationnel inclut l'arrêt d'un usage, le blocage d'un déploiement ou la perte de confiance de clients et partenaires.
Comment se mettre en conformité en 3 étapes avec ActScan
La plupart des entreprises n'ont pas besoin d'un chantier théorique de douze mois pour commencer. Elles ont besoin d'une méthode simple, documentée et défendable. L'objectif n'est pas de produire un manuel de conformité abstrait, mais de décider rapidement quels systèmes exigent une attention prioritaire et quelles preuves doivent être réunies.
Chez ActScan, nous recommandons une approche en trois étapes qui colle à la réalité des directions conformité, innovation et métiers. Elle permet de transformer le règlement européen sur l'intelligence artificielle en un plan d'action concret, priorisé et traçable.
Étape 1
Cartographier et qualifier
Recensez vos systèmes IA, leurs finalités, les métiers concernés et les décisions qu'ils influencent. L'objectif est d'identifier rapidement les cas relevant d'un risque limité, d'un haut risque ou d'une vigilance renforcée.
Étape 2
Documenter les obligations
Pour chaque système prioritaire, constituez le dossier minimum viable : base réglementaire, articles applicables, gouvernance des données, supervision humaine, documentation technique et traçabilité.
Étape 3
Piloter dans la durée
La conformité ne s'arrête pas après un audit. Il faut mettre à jour les dossiers, suivre les changements de version, organiser les revues périodiques et embarquer les équipes métiers.
À retenir
ActScan vous aide à qualifier vos systèmes, à identifier les obligations applicables et à produire un premier socle documentaire exploitable avant les audits internes ou externes.
FAQ
Une PME française qui utilise seulement des outils d'IA tiers est-elle concernée ?
Oui. Le fait de ne pas développer le modèle en interne ne suffit pas à sortir du champ. Si l'outil intervient dans un processus sensible, vous devez au minimum clarifier votre rôle, vos obligations de déployeur et vos exigences vis-à-vis du fournisseur.
Tous les chatbots sont-ils des systèmes à haut risque ?
Non. Beaucoup de chatbots relèvent plutôt d'obligations de transparence. En revanche, si un système conversationnel intervient dans une décision sur l'emploi, le crédit, l'éducation ou un service essentiel, l'analyse doit être approfondie.
Le recrutement assisté par IA est-il automatiquement interdit ?
Non. Il n'est pas interdit par principe, mais il relève très souvent du haut risque. Cela implique des exigences fortes sur les données, la supervision humaine, la documentation et la traçabilité.
Faut-il attendre août 2026 pour lancer un audit de conformité ?
Non. Attendre la date d'application générale revient à concentrer trop de travail sur une période trop courte. L'inventaire des systèmes, la qualification des cas d'usage et la collecte des preuves demandent du temps.
L'AI Act remplace-t-il le RGPD ?
Non. Les deux cadres se complètent. Si votre système traite des données personnelles, l'AI Act ne supprime ni les obligations RGPD ni les attentes de la CNIL en matière de minimisation, d'explicabilité et de gouvernance.
Quel premier indicateur suivre au comité de direction ?
Le meilleur indicateur de départ est le pourcentage de systèmes IA effectivement cartographiés et classés. Sans cet inventaire, toute discussion sur la conformité reste théorique.
Références officielles
Passage à l'action
Évaluez gratuitement vos systèmes IA
Cartographiez vos usages, identifiez les systèmes potentiellement concernés par l'Annexe III et obtenez un premier niveau de qualification avant vos travaux de conformité détaillés.