AI Act : ce que le premier règlement mondial sur l'IA change concrètement pour votre entreprise

Une réglementation déjà en vigueur — que la plupart des dirigeants ignorent

Le 1er août 2024, l'Union européenne a adopté le règlement UE 2024/1689 — connu sous le nom d'AI Act. C'est le premier texte au monde à encadrer juridiquement l'intelligence artificielle. Il est entré en vigueur immédiatement. Et il s'applique progressivement à toutes les organisations qui fournissent, distribuent ou déploient des systèmes d'IA — entreprises de toutes tailles incluses.

Le calendrier d'application — ce qui change et quand

La date à retenir : 2 août 2026. C'est la pleine applicabilité. À partir de ce jour, les entreprises qui utilisent ou déploient des systèmes d'IA classés à haut risque doivent être en conformité totale.

Quatre niveaux de risque — sous lequel se trouve votre IA ?

1. 1Risques inacceptables (interdits) : manipulation, exploitation des vulnérabilités, catégorisation biométrique non autorisée. Ces systèmes sont purement et simplement bannis.
2. 2Systèmes à haut risque : impact significatif sur les personnes — biométrie, sécurité, éducation, emploi, dispositifs médicaux. Ce sont eux qui portent le plus d'obligations.
3. 3Risques limités : obligation d'informer les utilisateurs qu'ils interagissent avec une IA (chatbots, contenu généré).
4. 4Risques minimaux ou inexistants : peu ou pas d'obligations (filtres anti-spam, IA dans les jeux vidéo).

Sept obligations à compter du 2 août 2026 (haut risque)

Pour les entreprises qui utilisent ou déploient des systèmes à haut risque, l'AI Act impose un cadre exigeant :

1. 1Inscription dans la base de données de l'Union européenne
2. 2Obtention du marquage CE avant commercialisation
3. 3Établissement d'un système de gestion des risques, documenté et tenu à jour
4. 4Documentation complète sur le fonctionnement du système (notice, transparence, traçabilité)
5. 5Mise en place d'un contrôle humain avant la mise en service, avec mécanisme d'information de la personne en charge du contrôle
6. 6Tenue d'un registre pour la protection des données et l'évaluation de la conformité réglementaire
7. 7Veille permanente sur la qualité, la robustesse, l'exactitude et la cybersécurité du système

Ces obligations ne sont pas négociables. Elles sont assorties de sanctions administratives dont le montant varie selon la catégorie de risque et la taille de l'entreprise.

L'objectif officiel : une IA « digne de confiance »

“L'objectif de l'AI Act est d'aboutir à une IA « digne de confiance ».”

— service-public.fr

Derrière cette formule diplomatique, l'enjeu est clair : l'Europe veut éviter que des systèmes d'IA opaques, biaisés ou dangereux ne se déploient sans cadre. Pour les entreprises, cela signifie qu'utiliser une IA n'est plus un acte technique neutre — c'est un acte juridiquement encadré.

Les bacs à sable réglementaires — une opportunité méconnue

À partir du 2 août 2026, les États membres devront mettre à disposition des « bacs à sable réglementaires » — des espaces d'expérimentation contrôlés où les entreprises peuvent tester leurs systèmes d'IA avant déploiement, sous la supervision des autorités compétentes.

“Ces espaces d'expérimentation constituent un environnement contrôlé facilitant pour les entreprises le développement, l'entraînement, la mise à l'essai et la validation de systèmes d'IA innovants.”

— service-public.fr

Ce que vous devez faire avant août 2026

1. 1Cartographier tous les systèmes d'IA déjà utilisés dans votre entreprise — y compris ceux que vos équipes utilisent sans que vous le sachiez (ChatGPT personnel, plugins Office IA, outils SaaS embarquant de l'IA).
2. 2Classifier chacun selon les 4 niveaux de risque définis par le règlement.
3. 3Pour les systèmes à haut risque : mettre en place dès maintenant la documentation, le contrôle humain et le système de gestion des risques.
4. 4Désigner un responsable interne de la conformité IA — quelqu'un qui suit l'évolution du règlement et veille à son application.