AS
ActScan

Analyse ActScan

EU AI Act : guide complet pour les entreprises françaises (2026)

5 mai 2026Louis VEILLE, CEO ActScan

Le 2 août 2026 marque une échéance majeure de l'EU AI Act pour les entreprises françaises. Voici les obligations, les niveaux de risque et les travaux à engager dès maintenant.

L'EU AI Act entre désormais dans une phase très concrète pour les entreprises françaises. Après l'entrée en vigueur du règlement en 2024, plusieurs obligations s'appliquent progressivement et le 2 août 2026 constitue la date de bascule la plus structurante pour la majorité des organisations qui conçoivent, intègrent ou utilisent des systèmes d'intelligence artificielle. Pour un dirigeant, un DAF, un DPO ou un responsable conformité, la question n'est plus de savoir si le sujet va arriver, mais comment s'y préparer de manière méthodique.

L'enjeu est double. D'une part, le règlement impose une logique de maîtrise des risques, de transparence et de documentation qui va modifier les pratiques d'achat, de déploiement et de gouvernance des solutions IA. D'autre part, le niveau de sanction est significatif, avec des amendes pouvant aller jusqu'à 35 millions d'euros pour certaines infractions les plus graves. En pratique, les entreprises françaises doivent dès 2026 être capables d'identifier leurs cas d'usage, leur rôle juridique et les obligations applicables.

Ce guide vous donne une lecture opérationnelle du texte pour éviter deux erreurs fréquentes : penser que l'AI Act ne concerne que les grands éditeurs technologiques, ou attendre 2026 pour commencer l'inventaire. Si vous déployez de l'IA dans les RH, la relation client, la notation, la sécurité ou la production documentaire, vous êtes probablement déjà concerné à un degré ou à un autre.

1. Qu'est-ce que l'EU AI Act ?

L'EU AI Act est le règlement européen qui encadre la mise sur le marché, la mise en service et l'utilisation de certains systèmes d'IA dans l'Union européenne. Son principe central est simple : plus le risque est élevé, plus les obligations sont exigeantes. Ce n'est donc pas une interdiction générale de l'intelligence artificielle, mais un cadre juridique fondé sur la criticité des usages.

Pour les entreprises, les articles 5 à 15 constituent le coeur opérationnel du dispositif. L'article 5 interdit certaines pratiques jugées inacceptables. L'article 6, complété par l'Annexe III, permet d'identifier de nombreux cas de haut risque. Les articles 8 à 15 détaillent ensuite les exigences applicables aux systèmes à haut risque : gouvernance des données, gestion des risques, documentation, traçabilité, supervision humaine, robustesse, précision et cybersécurité.

Le texte s'applique à plusieurs acteurs : les fournisseurs d'un système d'IA, les déployeurs qui l'utilisent dans leur activité, certains importateurs, distributeurs et représentants autorisés, ainsi que les fournisseurs de modèles d'IA à usage général. Cette logique est importante, car une même entreprise française peut cumuler plusieurs rôles selon les cas d'usage. Par exemple, une PME peut être déployeur d'un outil RH acheté à un éditeur, tout en étant fournisseur d'un moteur interne d'aide à la décision développé pour ses filiales.

2. Êtes-vous concerné ? Déployeur, fournisseur, ou les deux ?

La première étape consiste à déterminer votre position dans la chaîne de valeur. Vous êtes généralement fournisseur si vous développez un système d'IA et le mettez sur le marché ou en service sous votre nom ou votre marque. Vous êtes déployeur si vous utilisez un système d'IA sous votre propre autorité dans le cadre de votre activité, sans être à l'origine du produit.

Cette distinction est essentielle, car les obligations ne sont pas identiques. Le fournisseur porte la responsabilité la plus lourde en matière de conception, de conformité, de documentation technique et, pour certains systèmes, d'évaluation avant mise sur le marché. Le déployeur, lui, doit surtout s'assurer que l'usage du système reste conforme, documenté et proportionné dans son environnement réel.

Quelques cas concrets permettent d'y voir clair :

  • PME industrielle : vous achetez un outil d'IA pour trier les CV ou noter des candidats. Vous êtes déployeur. Le sujet est potentiellement sensible, car le recrutement fait partie des domaines explicitement visés au titre des usages à haut risque.
  • ETI de services : vous utilisez un assistant conversationnel pour répondre à vos clients. Vous êtes en principe déployeur d'un système à risque limité, avec des enjeux de transparence et d'encadrement contractuel.
  • Société de logiciels : vous intégrez dans votre produit un moteur d'aide à la souscription qui influence l'accès à un service essentiel. Vous pouvez devenir fournisseur d'un système à haut risque, même si vous vous appuyez sur des briques tierces.
  • Groupe multi-entités : une direction centrale développe un modèle interne puis le diffuse aux filiales. Selon l'organisation, l'entité qui met le système à disposition peut être qualifiée de fournisseur, tandis que les filiales deviennent déployeurs.

En pratique, si votre entreprise utilise l'IA pour prendre, recommander ou influencer une décision ayant un effet sur une personne, un salarié, un candidat, un client ou un usager, vous devez au minimum réaliser une qualification réglementaire. L'idée selon laquelle seules les grandes plateformes américaines seraient concernées est donc erronée.

3. Les 4 niveaux de risque expliqués

Le règlement classe les systèmes d'IA en quatre grandes catégories. Cette lecture est utile pour dialoguer avec vos équipes métiers et prioriser les travaux.

Risque interdit

Il s'agit des pratiques prohibées par l'article 5, car elles sont considérées comme incompatibles avec les valeurs européennes. On y retrouve notamment certaines formes de manipulation préjudiciable, d'exploitation de vulnérabilités, de notation sociale, ainsi que certains usages biométriques ou d'inférence d'émotions dans des contextes spécifiques. Si un cas d'usage tombe dans cette catégorie, la bonne approche n'est pas l'adaptation : c'est l'arrêt.

Risque haut

Les systèmes à haut risque sont ceux qui peuvent affecter de manière significative la santé, la sécurité ou les droits fondamentaux. L'Annexe III cite par exemple des usages liés au recrutement, à l'éducation, à l'accès à certains services essentiels, à l'application de la loi ou à l'administration de la justice. Pour une entreprise française, c'est souvent la catégorie la plus importante à analyser, car elle crée des obligations substantielles de conformité.

Risque limité

Cette catégorie couvre surtout les systèmes soumis à des obligations de transparence. C'est le cas lorsque l'utilisateur doit être informé qu'il interagit avec une IA, ou lorsqu'un contenu généré ou manipulé doit être signalé dans certaines situations. Beaucoup d'outils conversationnels, d'assistants rédactionnels ou de génération de contenu se situent ici, sous réserve qu'ils ne basculent pas dans un usage à haut risque.

Risque minimal

La majorité des usages courants de l'IA restent dans une zone de risque faible ou minimal. Le règlement n'impose alors pas un régime lourd de conformité produit. Cela ne signifie pas pour autant une absence totale de gouvernance : la sécurité, la protection des données, les clauses contractuelles, les contrôles d'accès et la validation métier restent indispensables.

4. Vos obligations concrètes : Annexe III, Annexe IV et documentation

Pour les entreprises françaises, la question décisive n'est pas seulement de comprendre la théorie du règlement, mais de savoir quels livrables produire. Si votre système relève du haut risque, l'Annexe III vous aide à vérifier si votre cas d'usage entre bien dans le périmètre. Ensuite, l'Annexe IV décrit le contenu de la documentation technique attendue.

Cette documentation ne doit pas être vue comme une formalité administrative. Elle sert à démontrer que le système a été conçu, paramétré, testé et déployé avec un niveau suffisant de maîtrise. En pratique, vous devez être en mesure de documenter :

  • la finalité du système et ses limites d'usage ;
  • l'architecture générale, les modèles ou composants utilisés et les dépendances tierces ;
  • les sources de données mobilisées, leur gouvernance et les contrôles de qualité ;
  • les méthodes d'évaluation, les métriques de performance et les limites connues ;
  • les mécanismes de supervision humaine, d'escalade et de reprise en main ;
  • les journaux, traces et éléments de traçabilité utiles en cas d'audit ;
  • les mesures de cybersécurité, de robustesse et de surveillance post-déploiement.

Du côté du déployeur, l'obligation est plus opérationnelle mais tout aussi stratégique. Vous devez vérifier que le système est utilisé conformément à sa destination, que les personnes concernées sont informées lorsque c'est requis, que les incidents sont remontés, et que vos équipes savent quand une intervention humaine est nécessaire. Si l'outil influence des décisions RH, de solvabilité, d'accès à un service ou de sécurité, il faut aussi organiser la preuve documentaire de vos contrôles internes.

Pour une PME ou une ETI, le point de blocage n'est généralement pas le texte lui-même, mais la dispersion des informations entre DSI, métiers, achats, juridique, conformité et DPO. C'est pourquoi un registre centralisé des systèmes d'IA devient rapidement un actif de gouvernance.

5. Calendrier des échéances 2025-2026

Le calendrier de mise en application est progressif, mais il ne faut pas le lire comme une permission d'attendre le dernier moment.

  • 2 février 2025 : application des règles relatives aux pratiques interdites et à l'obligation de formation et de sensibilisation des équipes à l'IA. Les entreprises doivent déjà commencer à encadrer les usages des personnes qui conçoivent, sélectionnent ou exploitent des systèmes d'IA.
  • 2 août 2025 : entrée en application des obligations concernant les modèles d'IA à usage général et de certains éléments de gouvernance et de sanction.
  • 2 août 2026 : application de la majeure partie du régime AI Act, notamment pour de nombreux systèmes d'IA à haut risque listés à l'Annexe III.

Pour les entreprises françaises, cela signifie que l'année 2026 n'est pas une année de découverte, mais une année de démonstration. Au 2 août 2026, vous devrez pouvoir présenter une cartographie des systèmes, un raisonnement de qualification, une gouvernance claire et, pour les cas concernés, une documentation suffisamment robuste pour résister à un audit ou à un contrôle.

6. Comment se préparer en 5 étapes

  1. Inventoriez vos usages IA. Commencez par recenser les outils achetés, développés et expérimentaux. Incluez les assistants embarqués dans des logiciels tiers, les outils RH, les moteurs de notation, les agents conversationnels, les systèmes d'aide à la décision et les automatisations internes.
  2. Qualifiez chaque système. Pour chaque cas d'usage, déterminez votre rôle, la finalité, le niveau de risque et l'impact potentiel sur les personnes. C'est ici que l'on distingue les projets anecdotiques des systèmes réellement sensibles.
  3. Priorisez les systèmes exposés. Les usages RH, conformité, fraude, sécurité, service essentiel, santé ou accès à des droits doivent remonter en tête de liste. L'objectif n'est pas d'être exhaustif en un jour, mais de traiter d'abord ce qui crée le plus grand risque réglementaire.
  4. Constituez votre dossier de preuve. Rassemblez contrats éditeurs, notices, évaluations, paramètres d'usage, procédures internes, contrôles métiers, éléments RGPD et documentation technique. Sans preuve, la conformité reste théorique.
  5. Mettez en place une gouvernance continue. Désignez des responsables, créez un processus d'entrée pour tout nouvel outil d'IA, formez les équipes et prévoyez des revues régulières. L'AI Act n'est pas un exercice ponctuel, mais un dispositif durable.

Cette méthode permet d'avancer rapidement sans immobiliser l'entreprise. Elle est particulièrement adaptée aux PME et ETI qui doivent structurer leur conformité avec des équipes réduites et des budgets contraints. L'objectif n'est pas de créer une usine à gaz, mais une trajectoire crédible, documentée et défendable.

Conclusion

L'EU AI Act va redéfinir la manière dont les entreprises françaises sélectionnent, déploient et gouvernent leurs systèmes d'IA. Le risque principal n'est pas seulement la sanction financière ; c'est aussi la perte de maîtrise sur des usages déjà présents dans l'organisation. En commençant dès maintenant, vous pouvez transformer une contrainte réglementaire en cadre de pilotage plus robuste pour vos métiers, vos achats et votre conformité.

Si vous souhaitez objectiver rapidement votre exposition, le bon point de départ reste une cartographie structurée de vos systèmes et de vos rôles. C'est cette base qui vous permettra ensuite de décider où documenter davantage, où contractualiser, où former et, le cas échéant, où arrêter un usage.

Évaluez vos systèmes IA en 15 minutes → lancer l'audit gratuit

Prochaine étape

Passez du contenu à l'action

Utilisez ActScan pour qualifier vos usages IA et préparer vos travaux de conformité en quelques minutes.

Évaluez vos systèmes IA gratuitement →