Mis à jour en juin 2026
L’AI Act n’est plus un texte de prospective. Il est entré en vigueur le 1er août 2024, ses premières obligations s’appliquent déjà, et l’échéance de l’été 2026 approche. Pourtant, la situation est plus mouvante qu’il n’y paraît : un report majeur a été négocié au printemps 2026, mais il n’est pas encore juridiquement acté. Cet article fait le point, sans approximation, sur ce qui s’applique aujourd’hui et ce qui arrive. Et sur ce que cela change concrètement pour les entreprises qui déploient de l’IA, dont nos clients.
L’essentiel en trois phrases
L’AI Act (règlement UE 2024/1689) classe les systèmes d’IA en quatre niveaux de risque et impose des obligations croissantes selon le niveau. Les interdictions et l’obligation de littératie IA s’appliquent déjà depuis février 2025. Les règles de transparence et les obligations « haut risque » devaient suivre en août 2026. Un accord politique du 7 mai 2026 (le « Digital Omnibus ») repousse le haut risque à décembre 2027. Mais tant qu’il n’est pas publié au Journal officiel, c’est le calendrier d’origine qui reste légalement contraignant.
Qu’est-ce que l’AI Act, et qui est concerné
L’AI Act est le premier cadre juridique complet au monde sur l’intelligence artificielle. Son objectif est double : protéger les droits fondamentaux et la sécurité des citoyens, tout en préservant les conditions d’une innovation responsable.
Le point qui surprend souvent : le règlement ne concerne pas que les géants de la tech. Dès qu’une entreprise utilise un système d’IA dans le cadre de son activité, elle devient « déployeur » au sens du règlement. À ce titre, elle porte ses propres obligations, distinctes de celles du fournisseur. Un chatbot sur votre site, un outil RH qui trie des CV, un scoring client : tout cela vous fait entrer dans le champ du texte. Et il s’applique à toute organisation dont les systèmes sont utilisés dans l’Union, qu’elle soit établie en Europe ou non.
Deux rôles structurent les responsabilités, et il faut savoir lequel vous endossez :
Le fournisseur développe le système et le met sur le marché sous sa marque. C’est lui qui porte les obligations les plus lourdes pour le haut risque : gestion des risques, qualité des données, documentation technique, marquage CE.
Le déployeur utilise le système dans son activité professionnelle. Ses obligations sont réelles mais différentes : supervision humaine, conservation des journaux, information des personnes concernées.
Une même entreprise peut être les deux à la fois, par exemple si elle met une IA sur le marché sous sa marque tout en l’utilisant en interne. Dans ce cas, les obligations des deux rôles s’additionnent.
Les quatre niveaux de risque
L’architecture du règlement repose sur une idée simple : plus un système menace les droits fondamentaux, plus les obligations sont strictes, jusqu’à l’interdiction.
Risque inacceptable, interdit. L’article 5 bannit la notation sociale, la manipulation comportementale subliminale et l’identification biométrique en temps réel dans l’espace public (sauf exceptions). Ces interdictions s’appliquent depuis le 2 février 2025 et sont déjà sanctionnables.
Haut risque, autorisé mais très encadré. Ce sont les systèmes listés à l’annexe III, qui touchent à des domaines sensibles : biométrie, infrastructures critiques, éducation, emploi et gestion des travailleurs, accès aux services essentiels, répression, migration, justice. L’exemple classique est l’outil de tri de CV : il influence directement l’accès à l’emploi, donc il est haut risque. C’est ici que se concentrent les obligations les plus lourdes.
Risque limité, obligations de transparence. Les chatbots, l’IA générative et les deepfakes relèvent de cette catégorie. Une seule obligation centrale : informer clairement l’utilisateur qu’il interagit avec une IA, ou qu’un contenu a été généré par une IA.
Risque minimal, pas d’obligation spécifique. La grande majorité des usages (filtres anti-spam, recommandation de contenu basique) ne relèvent d’aucune des catégories précédentes.
Un point important pour ne pas se tromper de classification : un système de l’annexe III peut échapper au régime haut risque si le fournisseur démontre, documents à l’appui, qu’il ne présente pas de risque significatif. Mais cette porte de sortie se referme dès qu’il y a profilage de personnes, dans ce cas, le haut risque s’applique sans exception possible.
Le calendrier : ce qui s’applique, et la zone grise de 2026
C’est le point le plus délicat, et celui où beaucoup d’articles se trompent. Voici l’état réel des choses, que vous pouvez recouper avec le calendrier officiel de mise en œuvre publié par la Commission européenne.
Ce qui s’applique déjà
Déjà en vigueur :
- 1er août 2024 : entrée en vigueur du règlement.
- 2 février 2025 : interdictions de l’article 5 et obligation de littératie IA (article 4, votre personnel doit disposer d’un niveau de compétence suffisant en IA).
- 2 août 2025 : obligations applicables aux fournisseurs de modèles d’IA à usage général (GPAI).
Le report de 2027, négocié mais pas encore acté
La fameuse date du 2 août 2026. Le calendrier d’origine prévoyait à cette date l’application des obligations « haut risque » de l’annexe III et des règles de transparence de l’article 50. C’est la date que la plupart des entreprises avaient en tête.
Le report négocié, mais pas encore acté. Le 7 mai 2026, le Parlement et le Conseil ont conclu un accord politique provisoire dans le cadre du « Digital Omnibus ». Cet accord repousse les obligations haut risque de l’annexe III au 2 décembre 2027, et celles des produits réglementés de l’annexe I au 2 août 2028.
Voici le piège, et la phrase à retenir : tant que ce texte n’est pas formellement publié au Journal officiel de l’Union européenne, le 2 août 2026 reste juridiquement la date contraignante. Un risque procédural existe : si l’adoption finale traîne au-delà de l’été, les échéances d’origine restent inscrites dans le texte, et les entreprises non préparées n’auront aucun recours. La stratégie la plus saine consiste donc à se préparer comme si août 2026 était réel, tout en planifiant comme si décembre 2027 était la date probable.
Les échéances qui ne bougent pas
Ce qui n’est pas reporté. Attention à ne pas surinterpréter le répit. Plusieurs échéances restent fixées à fin 2026 :
- Le marquage des contenus générés par IA (watermarking, article 50§2) est attendu pour la fin 2026.
- L’obligation de transparence des chatbots entre en application autour de novembre 2026.
- Une nouvelle interdiction visant les applications de « nudification » (génération d’images sexuelles non consenties) a été ajoutée.
Et surtout : la classification de vos systèmes ne dépend d’aucune norme harmonisée et ne change pas. Savoir si votre IA est à haut risque est une étape préalable que rien ne reporte.
Les obligations concrètes pour le haut risque
Si un système tombe dans le haut risque, voici ce que cela implique, réparti selon le rôle.
Côté fournisseur : un système de gestion des risques tenu à jour sur tout le cycle de vie ; une exigence de qualité sur les données d’entraînement, de validation et de test (sources, méthodes, biais connus) ; une documentation technique détaillée ; la journalisation automatique ; la conception pour permettre une supervision humaine ; le marquage CE et l’enregistrement dans la base de données européenne.
Côté déployeur : assurer la supervision humaine, conserver les journaux générés par le système (au moins six mois), informer les personnes soumises à une décision influencée par le système, et utiliser l’outil conformément aux instructions du fournisseur. Pour le secteur public et certains opérateurs de services essentiels (banques, assurances), s’ajoute une analyse d’impact sur les droits fondamentaux (FRIA) avant tout déploiement.
Les sanctions
Le régime est l’un des plus sévères de l’histoire réglementaire européenne, structuré en niveaux. Pour les pratiques interdites (article 5), les amendes atteignent 35 millions d’euros ou 7 % du chiffre d’affaires mondial annuel, le montant le plus élevé étant retenu. Pour le non-respect des obligations haut risque, le plafond est de 15 millions d’euros ou 3 %. Les manquements aux obligations de transparence de l’article 50 relèvent du même ordre de grandeur (jusqu’à 15 millions ou 3 %).
À titre indicatif, une étude de la DGE chiffre le coût annuel de conformité pour une PME déployeuse de systèmes à haut risque. Il se situe entre 2 000 et 8 000 euros, audit et formation compris. C’est un ordre de grandeur sans commune mesure avec les sanctions encourues.
Ce que cela change pour nos clients, et comment Narathèque vous accompagne
La plupart de nos clients sont des déployeurs. Ils intègrent l’IA générative et des assistants conversationnels dans leurs processus métier. Leur exposition principale tient à trois choses : la maîtrise de leurs données, la transparence vis-à-vis des utilisateurs, et la capacité à documenter et superviser leurs usages.
Narathèque est conçu pour réduire cette exposition. Sans prétendre vous rendre « conformes clé en main » (la conformité reste votre responsabilité de déployeur), notre plateforme vous donne les bons leviers techniques :
Le cloisonnement des bases de connaissances. Chaque base reste isolée, ce qui vous permet de maîtriser quelles données alimentent quel usage. C’est un fondement de la gouvernance des données que l’AI Act attend, et qui prolonge directement vos obligations RGPD, lesquelles, rappelons-le, ne sont en rien allégées par le report du Digital Omnibus.
Le multi-LLM. Ne pas dépendre d’un modèle unique vous laisse le choix du fournisseur le mieux documenté et le mieux adapté à votre niveau de risque, et facilite la traçabilité de ce qui est utilisé où.
L’anonymisation (à venir). En limitant l’exposition des données personnelles dans vos traitements, cette capacité réduira mécaniquement votre surface de risque, tant côté AI Act que côté RGPD.
À cela s’ajoute notre conformité CE, qui atteste du sérieux de notre démarche produit et constitue un point d’appui dans votre propre documentation.
Que faire maintenant : la to-do list minimale
Le report ne doit pas être lu comme une autorisation de mettre la conformité en pause. Quatre actions concrètes, par ordre de priorité :
- Cartographiez vos systèmes d’IA. Listez tous les outils utilisés, logiciels RH, chatbots, outils de génération de contenu, scoring, tout SaaS mentionnant « IA ». La « shadow AI » (ChatGPT côté équipes, copilotes intégrés) est l’angle mort le plus sous-estimé.
- Classez chaque système selon les quatre niveaux. C’est l’étape que rien ne reporte.
- Mettez en place la transparence. Ajoutez les mentions requises sur vos chatbots et contenus générés. C’est l’action la plus rapide et la moins coûteuse.
- Documentez et désignez un référent. Un registre de vos systèmes est votre preuve de bonne foi en cas de contrôle. Selon votre taille, le référent peut être le DPO, le DSI ou le dirigeant.
Moins de 30 % des PME européennes ont entamé une démarche de conformité. Le temps gagné par le report est exactement cela : du temps. À utiliser, pas à perdre.
Pour aller plus loin
- Cadre réglementaire de l’IA, Commission européenne : la page de référence officielle.
- Calendrier de mise en œuvre, AI Act Service Desk : les dates d’application officielles, mises à jour.
- Texte intégral du règlement (UE) 2024/1689 : tous les articles et annexes, en version consolidée.
Cet article a une vocation d’information générale et ne constitue pas un conseil juridique. Le calendrier de l’AI Act évolue rapidement ; vérifiez les échéances applicables à votre situation auprès d’une source à jour ou d’un conseil spécialisé.
