Deadline AI Act 2026
Si votre entreprise fournit ou déploie une IA dans les RH, la santé, le crédit, l'éducation, le secteur public ou les infrastructures critiques, cette page répond à la question la plus urgente du moment: que faut-il avoir prêt avant la deadline EU AI Act du 2 août 2026 ?
L'enjeu n'est pas de produire une présentation interne de plus. Il faut arriver à cette date avec une qualification propre de vos systèmes, une documentation défendable, une supervision humaine crédible et une gouvernance qui tient en contrôle. Pour replacer cette échéance dans l'ensemble du règlement, consultez aussi le calendrier complet de l'AI Act.
Compte à rebours EU AI Act
Le délai vise ici la bascule du 2 août 2026 pour les systèmes IA à haut risque de l'Annexe III. Les mois restants doivent servir à produire des preuves, pas seulement une note d'intention.
Lecture opérationnelle
Si vous n'avez ni cartographie des usages, ni qualification fournisseur/deployeur, ni documentation article 11, ni protocole de supervision humaine, votre projet n'est probablement pas prêt pour un contrôle.
Entrée en vigueur
Le 2 août 2026 n'est pas une date symbolique. C'est le moment où les obligations centrales applicables aux systèmes à haut risque de l'Annexe III deviennent le point de référence opérationnel pour les entreprises qui veulent continuer à déployer ou commercialiser ces usages sans exposition excessive.
Annexe III
À compter du 2 août 2026, les systèmes listés dans les huit domaines sensibles de l'Annexe III doivent être exploités avec un cadre de conformité complet. Cela vise notamment les usages RH, éducation, crédit, secteur public, infrastructures critiques et certains cas santé.
Article 9
Votre entreprise doit pouvoir démontrer qu'elle identifie, mesure, réduit et réévalue les risques du système sur tout son cycle de vie, y compris après mise en production et après chaque évolution de modèle ou de paramétrage.
Article 10
Les jeux de données, les variables d'entrée et les procédures de préparation doivent être contrôlés. Le sujet n'est pas seulement technique: biais, représentativité, qualité métier et cohérence avec l'usage réel deviennent des points de contrôle concrets.
Article 11
Le dossier technique doit être suffisamment structuré pour expliquer l'objectif du système, son architecture, ses limites, ses métriques, ses tests, son monitoring et ses conditions normales d'utilisation. Sans ce socle, aucun audit sérieux n'est défendable.
Article 12
Les logs doivent permettre de reconstituer les décisions, incidents, alertes, versions et interventions humaines significatives. Pour une entreprise française, c'est souvent le point le plus sous-estimé avant une échéance réglementaire.
Article 13
Les personnes qui utilisent l'outil dans votre organisation doivent connaître son objet, ses limites, ses taux d'erreur, ses hypothèses et les conditions d'usage appropriées. Une consigne vague dans un contrat SaaS ne suffit pas.
Article 14
Une validation purement théorique ne protège pas votre entreprise. Il faut des rôles nommés, un droit d'override, une procédure de revue manuelle, une formation adaptée et la capacité de suspendre l'usage en cas d'anomalie.
Article 15
Le niveau de performance attendu doit être documenté, surveillé et défendu. Les dérives, erreurs prévisibles, failles et comportements inattendus du système doivent être traités comme un sujet de conformité, pas seulement d'IT.
Les obligations du 2 août 2026 ne se résument pas à une question documentaire. Elles touchent la manière dont votre entreprise gouverne l'usage de l'IA, choisit ses fournisseurs, maintient la qualité des données, surveille les résultats et arbitre les décisions quand l'humain doit reprendre la main. C'est précisément pour cela que la conformité AI Act se gagne en amont, avant que les projets ne soient trop diffus dans les métiers.
Si vous avez déjà commencé à bâtir un dossier technique, vous pouvez approfondir le sujet sur la page documentation technique article 11. Si vous partez de zéro, le plus efficace reste souvent de passer d'abord par un audit de cadrage pour hiérarchiser les écarts réellement bloquants.
Périmètre
La bonne question n'est pas seulement “faisons-nous de l'IA ?” mais “notre IA influence-t-elle l'accès à un emploi, à un soin, à un crédit, à une éducation, à une prestation publique ou à une infrastructure sensible ?”. Si la réponse est oui, le niveau d'urgence monte immédiatement.
Tri de CV, scoring candidat, matching, mobilité interne, surveillance des performances et allocation algorithmique des tâches.
Voir la page dédiée →Diagnostic assisté, triage, imagerie, CDSS, aide à la priorisation et outils qui influencent la trajectoire de soin ou l'accès à une prise en charge.
Voir la page dédiée →Évaluation de solvabilité, score de crédit, octroi de prêt, onboarding sensible, tarification et décisions qui conditionnent l'accès à un service essentiel.
Voir la page dédiée →Admission, orientation, notation, surveillance d'examens, détection de comportements interdits et outils qui affectent la progression d'un apprenant.
Voir la page dédiée →Aides sociales, priorisation administrative, accès à des prestations publiques, contrôle ou décision assistée dans un parcours impactant pour des personnes physiques.
Voir la page dédiée →Systèmes d'IA utilisés comme composants de sécurité dans l'énergie, l'eau, le transport ou d'autres environnements où une erreur peut créer un risque majeur.
Voir la page dédiée →Fournisseur, déployeur, intégrateur
Une entreprise qui développe son propre système, qui le commercialise sous sa marque ou qui le modifie substantiellement n'a pas la même position qu'un simple utilisateur SaaS. Mais le déployeur ne disparaît pas pour autant: qualité des données d'entrée, usage conforme, supervision humaine, remontée des incidents et contrôle contractuel restent bien à sa charge.
Signal d'alerte
Beaucoup de solutions IA se présentent comme de simples aides à la décision. Pourtant, dès lors qu'elles classent, scorent, recommandent ou filtrent dans un processus sensible, leur impact réel peut les faire entrer dans le coeur du sujet haut risque. C'est pour cela que les pages RH, santé et finance doivent être lues par usage et non par étiquette marketing.
Sanctions
L'AI Act change la conversation budgétaire autour de l'IA. La question n'est plus seulement “combien coûte un audit ?”, mais “combien coûte l'absence de preuves quand un client, un régulateur ou un incident force l'entreprise à justifier son système ?”.
Pratiques interdites
C'est le plafond maximal. Il vise notamment les usages interdits par l'article 5. Même si votre projet n'entre pas dans ce cas, ce niveau fixe le ton du règlement: l'AI Act n'est pas un simple guide de bonnes pratiques.
Manquements haut risque
C'est le niveau que les entreprises doivent garder à l'esprit pour les obligations de conformité applicables aux systèmes à haut risque. En pratique, il sanctionne surtout l'absence de dispositif probant autour des articles 9 à 15.
Informations inexactes aux autorités
Sous-déclarer un usage, transmettre un dossier incomplet ou fournir des réponses imprécises lors d'un contrôle crée un risque distinct. La faiblesse documentaire devient alors un risque financier autonome.
RH
Un moteur de présélection de candidatures sans piste d'audit, sans contrôle humain documenté et sans revue des biais crée un risque direct de contestation, de blocage client et de mise en cause réglementaire.
Finance
Un score de crédit ou de solvabilité non explicité, mal journalisé ou alimenté par des données non maîtrisées expose immédiatement l'établissement sur un terrain très sensible du règlement.
Santé
Un outil clinique ou de triage sans cadrage de responsabilité, sans documentation sérieuse et sans procédure claire d'override humain devient difficile à défendre dès qu'un incident ou une erreur remonte.
Plan d'action
Cette checklist est pensée pour une entreprise qui veut avancer vite sans perdre la rigueur. Chaque étape produit une preuve exploitable et prépare la suivante. L'objectif n'est pas d'avoir un classeur rempli, mais un socle qui résiste à un vrai examen.
Commencez par une cartographie précise des cas d'usage réellement déployés. Il faut lier chaque outil à son processus métier, à son impact sur des personnes physiques, à ses sources de données et à l'équipe responsable. Beaucoup d'entreprises échouent ici parce qu'elles ne voient que le logiciel, pas l'usage décisionnel.
Vous devez distinguer les usages interdits, haut risque, transparence limitée et usages plus faibles. Cette qualification doit être faite système par système, puis rôle par rôle: fournisseur, déployeur, intégrateur ou simple utilisateur avancé.
Pour les systèmes haut risque, la préparation documentaire doit couvrir la logique article 11 et l'ensemble des preuves d'exploitation: notices, limites, versioning, journaux, tests, risques, incidents, procédures de contrôle humain et revue fournisseur.
Désignez les responsables, formalisez les validations, préparez les escalades, définissez les points de contrôle avec les métiers, la DSI, le juridique et les achats. Une conformité sans gouvernance tient rarement au-delà du premier changement de produit.
Si vous êtes fournisseur d'un système à haut risque concerné, l'enregistrement dans la base de données européenne doit être anticipé avec vos autres obligations de conformité. Si vous êtes déployeur, vérifiez aussi l'état de conformité du fournisseur et les pièces qu'il met réellement à votre disposition.
Si vous cherchez une méthode simple, commencez par l'audit, enchaînez sur la qualification, puis basculez vers la collecte de preuves article 11 et la gouvernance. C'est exactement la logique des parcours internes ActScan: audit, classification et plan de conformité. Ce séquencement évite de rédiger trop tôt des documents qui ne correspondent pas encore au bon niveau de risque.
Audit prioritaire
Si votre portefeuille IA contient déjà des outils de scoring, de recommandation ou de filtrage dans un domaine sensible, le bon moment pour cadrer la conformité est maintenant. En dix minutes, vous pouvez obtenir un premier diagnostic, repérer les écarts les plus critiques et prioriser le travail avant la date du 2 août 2026.
FAQ
Ces réponses donnent une lecture opérationnelle pour des entreprises françaises qui doivent arbitrer vite. Si vous avez un portefeuille IA complexe, utilisez-les comme point de départ, pas comme substitut à un vrai cadrage.
Oui, une PME peut être pleinement concernée si elle développe, fournit, intègre ou déploie un système d'IA dans un domaine à haut risque. La taille de l'entreprise ne retire pas le caractère réglementaire de l'usage. En revanche, la bonne stratégie consiste à cibler d'abord les cas d'usage les plus exposés et à monter la conformité par priorité.
Le risque n'est pas seulement financier. Il comprend les amendes administratives, les demandes de preuves, les clauses clients plus dures, les retards de mise sur le marché, l'exposition contractuelle et la difficulté à défendre un outil lors d'un incident ou d'une contestation. Plus la documentation est faible, plus l'entreprise est vulnérable.
Pour une entreprise déjà structurée, un premier cadrage peut être réalisé rapidement. En revanche, la collecte des contrats, la qualification des usages, la revue fournisseur, la documentation technique, la gouvernance et la supervision humaine demandent souvent plusieurs semaines, parfois plusieurs mois pour les portefeuilles IA étendus.
Le règlement prévoit des mécanismes de soutien et une logique de proportionnalité sur certains sujets, mais il ne faut pas lire cela comme une exemption générale. Une PME qui déploie un système à haut risque doit quand même pouvoir démontrer un socle sérieux de conformité et de maîtrise opérationnelle.