Bottom Line. L’EU AI Act entre en application progressive depuis août 2024. En 2026, les obligations pour les déployeurs de systèmes IA à haut risque sont effectives — avec des amendes pouvant atteindre 35 millions d’euros ou 7 % du CA mondial. Pourtant, seules 3 des 27 autorités nationales compétentes sont opérationnelles, et aucune sanction AI Act n’a encore été prononcée. Ce moment de répit réglementaire est une fenêtre — pas une garantie.
Le calendrier d’application
| Période | Obligations actives |
|---|---|
| Août 2024 | Interdictions absolues (manipulations subliminales, scoring social) |
| Août 2025 | Obligations GPAI (General Purpose AI) — Code de pratique |
| Août 2026 | Obligations systèmes à haut risque (Annexe III) |
| 2027+ | Application complète, enforcement renforcé |
Source : eu-ai-act-gpai · Observatoire IA Brain · avril 2026
En avril 2026, nous sommes dans la phase critique : les obligations pour les systèmes GPAI (seuil 10²⁵ FLOPs) et les systèmes à haut risque sont effectives — mais l’enforcement reste limité par la non-désignation de la majorité des autorités nationales compétentes.
État de désignation des autorités nationales compétentes (NCA) — avril 2026
Seuls 3 États membres ont complété leur désignation. La majorité reste en retard sur l'échéance d'août 2025.
Les 8 catégories de systèmes à haut risque
L’Annexe III de l’EU AI Act liste les catégories de systèmes IA classés à haut risque :
- Infrastructures critiques
- Éducation et formation professionnelle
- Emploi et gestion des ressources humaines (recrutement, scoring, promotions)
- Services publics essentiels
- Application des lois
- Gestion des migrations et des frontières
- Administration de la justice
- Processus démocratiques
Pour les DSI enterprise, la catégorie 3 (RH) est la plus directement concernée. Tout système IA utilisé pour le recrutement, l’évaluation des performances ou les décisions d’emploi est classé à haut risque — avec des obligations de documentation, d’audit et de supervision humaine.
Les obligations concrètes pour les déployeurs (Article 26)
1. Système de gestion des risques. AIMS (AI Management System) — documentation des risques identifiés, mesures d’atténuation, suivi continu.
2. Gouvernance des données. Documentation des données d’entraînement, validation de la qualité, vérification des biais.
3. Documentation technique. Registre de toutes les informations techniques sur le système IA déployé.
4. Transparence envers les utilisateurs. Obligation d’informer les utilisateurs qu’ils interagissent avec un système IA dans certains contextes.
5. Supervision humaine. Pour les systèmes à haut risque, mise en place de mécanismes permettant à des opérateurs humains de surveiller, corriger et arrêter le système.
6. Gestion des incidents. Signalement des incidents graves aux autorités nationales compétentes dans des délais définis.
Le contexte d’enforcement : 3/27 NCAs opérationnelles
Aucune sanction EU AI Act n’a encore été prononcée.
Ce contexte crée une fenêtre de mise en conformité progressive — mais pas une immunité durable. Le pattern RGPD est éclairant : les premières amendes RGPD sont arrivées 18 mois après l’entrée en vigueur, puis ont escaladé rapidement. Le pattern AI Act suivra vraisemblablement la même trajectoire.
La jurisprudence la plus proche disponible : OpenAI condamné à 15 M EUR par l’autorité italienne (Garante) sur le fondement RGPD en 2025. Clearview AI à ~100 M EUR sur le même fondement.
Ce qui change pour les outils RH
| Outil | Statut AI Act | Action requise |
|---|---|---|
| HireVue | Haut risque confirmé | AIMS + supervision humaine obligatoire |
| Eightfold AI | En cours d’évaluation | Documentation technique urgente |
| SAP SuccessFactors (AI) | Haut risque probable | Audit conformité Q3 2026 |
| Workday AI | En cours d’évaluation | Attente guidance NCAs |
Source : eu-ai-act-hr-scoring · Observatoire IA Brain
Implication stratégique : L’EU AI Act n’est pas une contrainte future — c’est une réalité présente dont l’enforcement est retardé par des facteurs institutionnels, pas réglementaires. Le moment de mise en conformité optimal est maintenant : avant que les NCAs soient pleinement opérationnelles, avant les premières amendes, pendant que les guidelines sont encore en cours de construction. Attendre l’enforcement complet pour agir, c’est payer le prix maximum — amendes + urgence de mise en conformité simultanées.