AI Act 2026 : comment évaluer la conformité de votre plateforme IA étape par étape

L'AI Act s'applique à votre plateforme IA dès lors qu'elle est déployée ou mise sur le marché dans l'Union européenne, quelle que soit la localisation de votre siège social. Entré en vigueur en août 2024 et pleinement applicable depuis février 2026, le Règlement (UE) 2024/1689 — dit AI Act — est désormais une réalité opérationnelle pour toutes les entreprises françaises. La question n'est plus "faut-il se conformer ?" mais bien "sommes-nous déjà en conformité, et si non, par où commencer ?"

Cet article vous propose un guide structuré pour évaluer concrètement le niveau de conformité de votre plateforme IA : classification par niveau de risque, obligations spécifiques par catégorie, checklist des étapes clés et sanctions encourues. Que vous soyez développeur, opérateur ou simple déployeur d'un système IA, ce guide vous donne les clés pour agir.

Contexte juridique

L'AI Act, pleinement applicable depuis le 1er février 2026, instaure un cadre réglementaire gradué selon le niveau de risque du système IA.

Le Règlement (UE) 2024/1689 a été publié au Journal officiel de l'Union européenne le 12 juillet 2024. Son application est progressive : - Février 2025 : interdiction des pratiques IA inacceptables (Article 5) - Août 2025 : obligations relatives aux modèles d'IA à usage général (Articles 51 à 56) - Février 2026 : application intégrale, y compris aux systèmes à haut risque (Annexes III et IV)

En France, la CNIL a été désignée comme autorité de surveillance de marché compétente pour les systèmes IA traitant des données personnelles, en coordination avec l'Autorité de régulation de la communication audiovisuelle et numérique (ARCOM). Selon le rapport du Parlement européen publié en janvier 2026, plus de 85 % des PME européennes n'avaient pas encore engagé de démarche formelle de conformité à l'AI Act à la date de son entrée en application complète — un chiffre alarmant qui concerne directement les entreprises françaises.

L'Article 3 du règlement définit le "système d'IA" de manière large : tout système fondé sur une machine, conçu pour fonctionner avec différents niveaux d'autonomie, capable de générer des résultats tels que des prédictions, des recommandations, des décisions ou du contenu influençant des environnements réels ou virtuels. Cette définition couvre la quasi-totalité des plateformes IA actuelles, des chatbots aux outils de scoring RH.

Analyse approfondie : la classification par niveau de risque

L'AI Act répartit les systèmes IA en quatre niveaux de risque, chacun entraînant des obligations radicalement différentes.

La première étape — et la plus déterminante — consiste à identifier dans quelle catégorie tombe votre système. Voici le tableau de référence :

Systèmes à risque inacceptable (Article 5)

Sont interdits depuis février 2025 les systèmes qui : - Exploitent les vulnérabilités d'individus (âge, handicap) pour influencer leur comportement de manière préjudiciable - Procèdent à une notation sociale généralisée des personnes physiques par les pouvoirs publics - Utilisent la reconnaissance biométrique en temps réel dans l'espace public à des fins répressives (sauf exceptions encadrées) - Emploient des techniques subliminales contournant la conscience

Systèmes à haut risque (Annexe III)

L'Annexe III liste huit domaines critiques où les systèmes IA sont présumés à haut risque : infrastructures critiques, éducation, emploi, accès aux services essentiels, maintien de l'ordre, gestion des migrations, administration de la justice et démocratie. Pour ces systèmes, les obligations sont lourdes :

• Article 9 : système de gestion des risques documenté et mis à jour en continu
• Article 10 : gouvernance des données d'entraînement (biais, représentativité)
• Article 11 : documentation technique complète
• Article 13 : transparence et information des utilisateurs
• Article 14 : supervision humaine effective
• Article 15 : robustesse, précision et cybersécurité
• Article 43 : procédure d'évaluation de conformité avant mise sur le marché

Modèles d'IA à usage général — GPAI (Articles 51-56)

Les modèles fondationnels (type LLM, modèles multimodaux) font l'objet d'obligations spécifiques. Tout fournisseur d'un modèle GPAI doit : - Publier une documentation technique sur les données d'entraînement - Respecter le droit d'auteur de l'UE (Directive 2019/790) - Mettre en place une politique de transparence accessible

Les modèles présentant un risque systémique (dépassant le seuil de 10²⁵ FLOPs défini à l'Article 51, paragraphe 1) sont soumis à des obligations additionnelles : évaluation adversariale, notification des incidents, mesures de cybersécurité renforcées.

Implications pratiques : ce que ça change concrètement

Fournisseurs et déployeurs ont des obligations distinctes : savoir qui vous êtes sous l'AI Act est le premier enjeu pratique.

Perspective du fournisseur (développeur/éditeur)

Si votre entreprise développe et commercialise un système IA, vous êtes fournisseur au sens de l'Article 3(3). Vous supportez l'essentiel des obligations : documentation technique (Annexe IV), marquage CE pour les systèmes à haut risque, enregistrement dans la base de données EU AI (opérationnelle depuis août 2025), et responsabilité en cas de modification substantielle du système.

La charge administrative est réelle. Selon une étude du cabinet Deloitte France publiée en mars 2026, le coût moyen de mise en conformité pour un système IA à haut risque est estimé entre 80 000 € et 350 000 € selon la complexité, sans compter les coûts de maintenance documentaire annuels.

Perspective du déployeur (utilisateur professionnel)

Si vous achetez et déployez un système IA développé par un tiers (ex : intégration d'une API de scoring RH), vous êtes déployeur au sens de l'Article 3(4). Vos obligations sont allégées mais non négligeables : - Vérifier que le fournisseur a accompli ses obligations (déclaration de conformité, marquage CE) - Assurer la supervision humaine lors de l'utilisation - Notifier les incidents graves à l'autorité nationale compétente - Informer les personnes concernées de l'utilisation d'un système IA (Article 26)

Le risque de requalification

Un déployeur qui modifie substantiellement un système IA acquis — par exemple en le ré-entraînant sur ses propres données — devient fournisseur au sens de l'Article 25(1) et endosse alors toutes les obligations afférentes. Ce point est crucial et souvent négligé dans les contrats de licence IA.

Checklist pratique : les 7 étapes pour évaluer votre conformité

Voici la démarche recommandée pour toute entreprise française en 2026 :

1. Inventorier tous les systèmes IA déployés ou en développement (y compris les outils SaaS tiers intégrant de l'IA)
2. Classifier chaque système selon les quatre niveaux de risque de l'AI Act (Articles 5, 6, 51)
3. Identifier votre rôle : fournisseur, déployeur ou les deux (Article 25)
4. Auditer la documentation existante au regard des exigences de l'Annexe IV
5. Évaluer la gouvernance des données d'entraînement (biais, sources, droits)
6. Mettre en place la supervision humaine et les procédures d'escalade
7. Enregistrer les systèmes à haut risque dans la base EU AI et conserver la déclaration de conformité UE

Points clés à retenir

• L'AI Act est pleinement applicable depuis le 1er février 2026 : l'attentisme n'est plus une option pour les entreprises françaises.
• La classification par niveau de risque est le premier déterminant de vos obligations : ne pas connaître la catégorie de son système IA est déjà une faute de gestion.
• Fournisseur et déployeur n'ont pas les mêmes obligations : la distinction doit figurer explicitement dans vos contrats IA.
• Les sanctions peuvent atteindre 35 millions d'euros ou 7 % du chiffre d'affaires mondial pour les violations les plus graves (Article 99).
• La modification substantielle d'un système IA requalifie automatiquement le déployeur en fournisseur, avec toutes les obligations qui en découlent.
• La CNIL joue un rôle central en France pour les systèmes IA traitant des données personnelles : une non-conformité AI Act peut cumuler avec une violation du RGPD.
• Les modèles GPAI dépassant 10²⁵ FLOPs sont soumis à des obligations renforcées, incluant des évaluations adversariales obligatoires avant déploiement.

Questions fréquentes

Mon chatbot de service client est-il concerné par l'AI Act ?

Oui, tout chatbot utilisant un système d'IA au sens de l'Article 3(1) est concerné. S'il se contente de réponses scriptées sans apprentissage automatique, il peut relever du risque minimal avec obligation d'information (Article 50). S'il utilise un LLM sous-jacent, son fournisseur est soumis aux règles GPAI des Articles 51 à 56.

Quelle est la différence entre fournisseur et déployeur sous l'AI Act ?

Le fournisseur (Article 3(3)) est celui qui développe ou fait développer un système IA pour le mettre sur le marché. Le déployeur (Article 3(4)) est celui qui utilise ce système dans un contexte professionnel. Cette distinction est fondamentale car les obligations de documentation, d'audit et d'enregistrement pèsent essentiellement sur le fournisseur.

Quelles sont les sanctions en cas de non-conformité à l'AI Act ?

L'Article 99 prévoit trois niveaux de sanctions : jusqu'à 35 M€ ou 7 % du CA mondial pour les violations des interdictions (Article 5) ; jusqu'à 15 M€ ou 3 % du CA pour les autres violations des obligations ; et jusqu'à 7,5 M€ ou 1 % du CA pour la fourniture d'informations inexactes aux autorités. Ces montants sont doublés pour les entreprises de plus de 500 salariés dans certains États membres.

Un système IA utilisé uniquement en interne est-il soumis à l'AI Act ?

Oui, si ce système relève de la catégorie haut risque (notamment pour les décisions RH), les obligations s'appliquent y compris pour un usage interne. L'Article 6(2) et l'Annexe III couvrent explicitement les systèmes de recrutement automatisé, d'évaluation des performances et de gestion des carrières, quel que soit leur périmètre de diffusion.

Comment prouver la conformité de mon système IA à un client ou à une autorité ?

La conformité se démontre par la déclaration de conformité UE (Article 47), la documentation technique (Annexe IV) et, pour certains systèmes à haut risque, par un audit tiers réalisé par un organisme notifié. L'enregistrement dans la base de données EU AI (Article 71) constitue également une preuve opposable.

L'AI Act s'applique-t-il à une startup française qui utilise l'API d'OpenAI ou d'un autre fournisseur américain ?

Absolument. Si votre produit final est déployé sur le marché européen, vous êtes déployeur au sens de l'AI Act, indépendamment de l'origine du modèle sous-jacent. Vous devez vérifier que votre fournisseur (OpenAI, Anthropic, etc.) a satisfait à ses propres obligations GPAI, et vous assumez les obligations de déployeur, notamment en matière de supervision humaine et d'information des utilisateurs.

Quel délai pour se mettre en conformité si mon système est à haut risque ?

La date butoir pour les systèmes à haut risque était le 1er février 2026. Si vous n'êtes pas encore en conformité à ce jour, vous êtes techniquement en infraction. La Commission européenne a toutefois indiqué que les autorités nationales adopteraient une approche proportionnée pour les premières procédures de sanction, avec une priorité donnée aux cas présentant un risque concret pour les droits fondamentaux. Il est néanmoins urgent d'engager une démarche documentée.

Dois-je enregistrer mon système IA dans une base de données officielle ?

Les fournisseurs de systèmes à haut risque listés à l'Annexe III et les fournisseurs de modèles GPAI à risque systémique doivent s'enregistrer dans la base de données EU AI gérée par la Commission européenne, opérationnelle depuis août 2025 (Article 71). Cet enregistrement est public et constitue une forme de traçabilité réglementaire opposable aux tiers.

Article rédigé par Ronn Hacman, Avocat. Cet article est fourni à titre informatif et ne constitue pas un conseil juridique. Pour une analyse personnalisée de votre situation, consultez un avocat spécialisé en droit du numérique.