AI Act 2026 : le guide complet de la conformité IA en entreprise
Tout ce que votre organisation doit savoir, faire et prouver pour se conformer au règlement européen sur l'intelligence artificielle (Règlement UE 2024/1689). Sept chapitres opérationnels, des échéances déjà actives, des sanctions jusqu'à 35 millions d'euros.
L'essentiel en 7 points
- Entrée en vigueur : 1er août 2024. Application progressive jusqu'au 2 août 2027.
- Pratiques interdites (Article 5) : en vigueur depuis le 2 février 2025 — scoring social, manipulation, reconnaissance des émotions au travail.
- Article 4 — formation IA obligatoire : en vigueur depuis le 2 août 2025 pour toutes les organisations qui déploient ou utilisent un système d'IA.
- Systèmes à haut risque : obligations complètes applicables à partir du 2 août 2026 (RH, crédit, santé, éducation, justice, infrastructures critiques).
- Sanctions : jusqu'à 35 millions d'euros ou 7 % du chiffre d'affaires mondial — soit plus que le RGPD.
- Aucun seuil de taille : TPE, PME, ETI et grands groupes sont concernés dès qu'ils utilisent un chatbot, un outil de traduction ou un assistant IA.
- Extraterritorialité : le règlement s'applique aux entreprises non-européennes dont l'IA produit des effets sur des résidents de l'UE.
Qu'est-ce que l'AI Act ?
L'AI Act est le nom usuel du Règlement (UE) 2024/1689 du Parlement européen et du Conseil, adopté le 13 juin 2024 et publié au Journal officiel de l'Union européenne le 12 juillet 2024. Il établit un cadre juridique harmonisé pour la mise sur le marché, la mise en service et l'utilisation des systèmes d'intelligence artificielle dans l'Union européenne. C'est le premier texte au monde à réguler l'IA de façon transverse, tous secteurs et tous usages confondus.
Le règlement répond à trois objectifs explicites de la Commission européenne : protéger les droits fondamentaux et la sécurité des personnes, garantir la sécurité juridique pour les acteurs économiques qui développent ou déploient de l'IA, et stimuler l'innovation en créant un marché unique de l'IA digne de confiance. Il complète — sans le remplacer — le RGPD, la directive NIS 2, le règlement sur les services numériques (DSA) et le règlement sur les marchés numériques (DMA).
La spécificité de l'AI Act tient à son approche par les risques (risk-based approach). Plutôt qu'imposer des règles uniformes à tous les systèmes d'IA, le règlement les classe en quatre niveaux — risque inacceptable, haut risque, risque limité, risque minimal — et adapte les obligations en conséquence. Cette gradation est unique dans le paysage réglementaire mondial : ni le cadre américain (essentiellement sectoriel et fondé sur des décrets), ni le modèle chinois (centré sur le contrôle des contenus génératifs), ni les approches britannique et japonaise (volontaires) ne proposent une telle architecture.
Le texte fait plus de 400 pages, contient 113 articles et 13 annexes. Il introduit aussi des dispositifs nouveaux : un Bureau européen de l'IA (AI Office) au sein de la Commission, des autorités nationales compétentes dans chaque État membre, des bacs à sable réglementaires (regulatory sandboxes) pour les PME, et des codes de bonne pratique pour les modèles d'IA à usage général. Le texte officiel est consultable en français sur EUR-Lex.
À qui s'applique l'AI Act ?
L'AI Act vise toute organisation qui développe, met sur le marché, met en service ou utilise un système d'IA dont les effets se produisent dans l'Union européenne. La définition est volontairement large : un système d'IA est un système automatisé conçu pour fonctionner avec des niveaux d'autonomie variables et capable, à partir des entrées qu'il reçoit, de générer des prédictions, des contenus, des recommandations ou des décisions. Un assistant conversationnel, un moteur de recommandation, un correcteur orthographique avancé, un outil de traduction automatique ou un système de scoring entrent dans cette définition.
Quatre catégories d'acteurs sont visées : les fournisseurs (ceux qui développent et mettent à disposition des systèmes d'IA), les déployeurs (ceux qui les utilisent dans leurs opérations), les importateurs et les distributeurs. Dans la pratique, la quasi-totalité des entreprises européennes est déployeur dès lors qu'elles utilisent un outil intégrant de l'IA — y compris des solutions tierces comme une suite bureautique avec assistant IA intégré.
Le règlement est extraterritorial. Une entreprise basée hors de l'UE est concernée si les sorties (outputs) de son système d'IA sont utilisées dans l'Union — même sans établissement européen. Un éditeur californien dont le SaaS analyse des candidatures pour un client français devient ainsi soumis aux obligations de fournisseur d'un système à haut risque.
Aucun seuil de taille n'est prévu. Contrairement à d'autres réglementations européennes, l'AI Act ne fixe pas de plancher de chiffre d'affaires ou d'effectif en deçà duquel les obligations ne s'appliqueraient pas. Une PME de dix salariés qui utilise un chatbot pour pré-qualifier des candidats à l'embauche est soumise aux mêmes obligations qu'un grand groupe — avec des assouplissements pratiques (bacs à sable, accompagnement renforcé, modulation des sanctions). Les secteurs les plus exposés sont les ressources humaines, la banque et l'assurance, la santé, le secteur public et l'éducation, dont les usages tombent fréquemment dans la catégorie haut risque.
Les 4 niveaux de risque de l'AI Act
Le règlement classe les systèmes d'IA en quatre catégories. Plus l'impact potentiel sur les droits fondamentaux, la santé ou la sécurité est élevé, plus les obligations sont strictes. Cette pyramide est le cœur opérationnel de l'AI Act : avant toute action de conformité, vous devez savoir dans quelle case se trouve chacun de vos systèmes.
| Niveau de risque | Exemples concrets | Obligations | Échéance |
|---|---|---|---|
| Inacceptable | Scoring social, manipulation subliminale, exploitation des vulnérabilités, reconnaissance des émotions au travail, scraping facial massif | Interdiction totale (Article 5) | 2 février 2025 |
| Haut risque | Tri de CV automatisé, scoring de crédit, aide au diagnostic médical, notation d'examens, infrastructures critiques | Évaluation de conformité, gestion des risques, documentation technique, contrôle humain, transparence (Articles 9 à 15 et 26) | 2 août 2026 |
| Risque limité | Chatbots clients, deepfakes, contenus générés par IA, systèmes de reconnaissance d'émotions hors interdiction | Obligations de transparence : informer clairement l'utilisateur (Article 50) | 2 août 2026 |
| Minimal | Filtres anti-spam, recommandations produits, correcteurs orthographiques, IA dans les jeux vidéo | Aucune obligation spécifique. L'Article 4 (formation) reste applicable. | — |
Un même outil peut changer de catégorie selon son contexte d'usage. Un modèle d'IA à usage général comme GPT-4 est par défaut à risque limité, mais devient un composant d'un système à haut risque s'il est intégré à un processus de recrutement, à un outil d'aide au diagnostic médical ou à un moteur de scoring de crédit. La classification est donc contextuelle, pas seulement technique — c'est l'usage qui détermine l'obligation.
Les 7 chapitres du guide AI Act
Chaque chapitre traite un volet opérationnel de la conformité, avec citations légales précises, exemples sectoriels et actions à mener.
Guide AI Act : le guide complet pour les entreprises
Tout comprendre sur l'AI Act en 6 chapitres. Obligations, classification, sanctions, timeline et checklist pour être en conformité.
Article 4 : l'obligation de former tous vos collaborateurs à l'IA
L'AI Act impose aux entreprises de garantir un niveau suffisant de maîtrise de l'IA pour tous les collaborateurs. Qui est concerné, quelles preuves fournir, quelles sanctions.
Classification des systèmes IA : êtes-vous concerné par le haut risque ?
L'AI Act classe les systèmes d'IA en 4 niveaux de risque. Recrutement, crédit, santé : découvrez si vos outils IA sont considérés à haut risque.
Pratiques IA interdites : ce que votre entreprise ne peut plus faire
L'AI Act interdit certaines utilisations de l'IA dès février 2025. Scoring social, manipulation, reconnaissance des émotions : le point complet.
Sanctions AI Act : jusqu'à 35 millions d'euros d'amende
Les sanctions de l'AI Act peuvent atteindre 35M€ ou 7% du CA mondial. Détail des amendes par type d'infraction et comparaison avec le RGPD.
Calendrier AI Act : toutes les échéances de 2024 à 2027
Les dates clés de l'AI Act : pratiques interdites (février 2025), obligation de formation (août 2025), systèmes à haut risque (août 2026), application complète (août 2027).
Checklist conformité AI Act par rôle : DPO, DRH, DSI, COMEX
Checklist interactive pour vérifier votre conformité AI Act selon votre rôle dans l'organisation. DPO, DRH, DSI, COMEX et dirigeants de PME.
FAQ — Questions fréquentes sur l'AI Act
Quand l'AI Act entre-t-il en vigueur ?
Le règlement est entré en vigueur le 1er août 2024 et s'applique progressivement. Les pratiques interdites le sont depuis le 2 février 2025, l'obligation de formation IA depuis le 2 août 2025, les obligations sur les systèmes à haut risque à partir du 2 août 2026, et l'application complète au 2 août 2027.
Quelles sont les sanctions de l'AI Act ?
Trois paliers prévus à l'Article 99 : jusqu'à 35 millions d'euros ou 7 % du chiffre d'affaires mondial pour les pratiques interdites, 15 millions ou 3 % pour les violations sur les systèmes à haut risque et l'Article 4, et 7,5 millions ou 1,5 % pour les informations inexactes fournies aux autorités. Le montant le plus élevé est retenu.
Mon entreprise est-elle concernée par l'AI Act ?
Oui, dès lors que votre organisation utilise un système d'IA — chatbot, outil de traduction automatique, assistant intégré à votre suite bureautique, moteur de recommandation. L'AI Act ne prévoit aucun seuil de taille : TPE, PME et grands groupes sont soumis aux mêmes obligations de base, dont l'Article 4 sur la formation des équipes.
Qu'est-ce qu'un système d'IA à haut risque ?
Un système classé à haut risque par l'Annexe III du règlement : tri de CV automatisé, scoring de crédit, aide au diagnostic médical, notation d'examens, justice prédictive, contrôle aux frontières, infrastructures critiques. Ces systèmes sont soumis aux Articles 9 à 15 (gestion des risques, données, documentation, contrôle humain) et à l'Article 26 pour les déployeurs.
Que demande l'Article 4 de l'AI Act ?
L'Article 4 impose aux fournisseurs et déployeurs de garantir un niveau suffisant de maîtrise de l'IA pour leurs équipes : connaissance des outils utilisés, des risques associés, des bonnes pratiques et des limites. L'obligation est en vigueur depuis le 2 août 2025 et concerne toutes les organisations sans exception de taille.
L'AI Act remplace-t-il le RGPD ?
Non. L'AI Act et le RGPD sont complémentaires. Le RGPD encadre le traitement des données personnelles, l'AI Act régit les systèmes d'IA quel que soit le type de données utilisé. Un même système peut être soumis aux deux : un outil de scoring de candidats traite des données personnelles (RGPD) et constitue un système à haut risque (AI Act). Les deux régimes de sanctions s'appliquent indépendamment.
L'AI Act s'applique-t-il aux PME ?
Oui, intégralement. Le règlement ne prévoit aucune exemption de taille. Les PME bénéficient toutefois d'aménagements : accès aux bacs à sable réglementaires (Article 57), modulation des sanctions selon la viabilité économique, accompagnement renforcé par les autorités nationales. La priorité opérationnelle pour une PME est l'Article 4 (formation IA documentée).
L'AI Act s'applique-t-il à ChatGPT ?
Oui. ChatGPT, Claude, Gemini, Mistral et les autres modèles d'IA à usage général relèvent des Articles 51 à 56. OpenAI, Anthropic et leurs concurrents sont soumis aux obligations des fournisseurs de modèles à usage général. Côté entreprise utilisatrice, l'usage de ChatGPT déclenche l'obligation de formation (Article 4) et peut transformer un usage en système à haut risque selon le contexte (recrutement, scoring, diagnostic).
Comment savoir si mon IA est conforme ?
La méthode standard se déroule en quatre étapes : inventorier tous les systèmes d'IA utilisés (y compris ceux embarqués dans des logiciels tiers), classer chaque système selon les niveaux de risque, identifier les écarts par rapport aux obligations applicables (Articles 9 à 15, 26 pour le haut risque ; Article 50 pour le risque limité ; Article 4 pour tous), et documenter les actions menées. Notre diagnostic en ligne pose les bonnes questions.
Comment se former à l'AI Act ?
L'Article 4 exige une formation contextualisée, mesurable et continue. Une session unique générique ne suffit pas. Les autorités attendent un parcours adapté au rôle de chaque collaborateur, avec évaluation du niveau acquis, traçabilité des participations et mise à jour régulière. Les preuves documentées (attestations, scores, registres) sont la première ligne de défense en cas de contrôle.
Ressources officielles
Pour aller plus loin, consultez les sources primaires des autorités compétentes :
- EUR-Lex — Règlement (UE) 2024/1689 (texte officiel français)
- Commission européenne — Cadre réglementaire pour l'IA
- Bureau européen de l'IA (AI Office)
- CNIL — Intelligence artificielle (France)
- AESIA — Agencia Española de Supervisión de la Inteligencia Artificial (Espagne)
- BfDI — Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (Allemagne)
Évaluez votre conformité AI Act
Répondez à quelques questions et obtenez votre score de conformité.
Lancer le diagnostic →Guide mis à jour le 12 mai 2026