AI Act : moins de 65 jours pour se conformer — obligations, sanctions et feuille de route pour les entreprises françaises

Le 2 août 2026, l'AI Act entre en application complète — les entreprises françaises qui utilisent ou déploient des systèmes d'IA ont moins de 65 jours pour se mettre en conformité sous peine de sanctions pouvant atteindre 35 millions d'euros. Le Règlement (UE) 2024/1689 du Parlement européen et du Conseil, publié au Journal officiel de l'UE le 12 juillet 2024 et entré en vigueur le 1er août 2024, constitue le premier cadre législatif mondial dédié à l'intelligence artificielle. Son déploiement progressif touche désormais à sa phase finale, et l'heure n'est plus à l'anticipation : elle est à l'action.

Dans cet article, vous trouverez une synthèse opérationnelle des obligations applicables, le calendrier précis des échéances, les sanctions encourues par catégorie d'infraction, et une feuille de route en 10 étapes concrètes pour engager votre mise en conformité dès aujourd'hui.

---

Contexte juridique

L'AI Act, premier texte mondial de régulation de l'IA, impose des obligations graduées selon le niveau de risque des systèmes déployés, avec application complète au 2 août 2026.

Adopté définitivement le 13 juin 2024 par le Parlement européen et publié le 12 juillet 2024 (Règlement UE 2024/1689), l'AI Act repose sur une architecture de régulation par les risques. Il distingue quatre niveaux : les systèmes interdits, les systèmes à haut risque, les systèmes à risque limité et les systèmes à risque minimal.

Le calendrier d'application est échelonné :

Échéance	Dispositions applicables
2 février 2025	Interdictions absolues (Art. 5)
2 août 2025	Gouvernance, IA à usage général (GPAI)
2 août 2026	Application complète (haut risque, etc.)
2 août 2027	Systèmes haut risque déjà en service

Les interdictions absolues de l'article 5 sont donc déjà en vigueur depuis février 2025. Elles prohibent notamment les systèmes de notation sociale généralisée, la manipulation subliminale, l'exploitation de vulnérabilités de groupes spécifiques, et — avec des exceptions strictement encadrées — l'identification biométrique à distance en temps réel dans les espaces publics.

Pour les entreprises françaises, la transposition ne nécessite pas de loi nationale spécifique : le règlement est directement applicable dans tous les États membres. La France a toutefois désigné l'ANSSI et la CNIL comme autorités nationales compétentes pour certains domaines, aux côtés d'une future Autorité nationale de surveillance de l'IA (ANSIA) en cours de constitution.

---

Analyse approfondie

Les obligations de l'AI Act varient selon que vous êtes fournisseur, déployeur ou importateur d'un système IA, et selon la catégorie de risque du système concerné.

Qui est concerné ?

L'AI Act distingue plusieurs acteurs :

• Le fournisseur (provider) : toute personne qui développe ou fait développer un système d'IA en vue de sa mise sur le marché européen.
• Le déployeur (deployer) : toute entité qui utilise un système d'IA dans un contexte professionnel (ex : une PME utilisant un outil RH à base d'IA).
• L'importateur et le distributeur : acteurs de la chaîne de mise sur le marché.

Les entreprises françaises qui utilisent des outils IA tiers (recrutement algorithmique, scoring de crédit, chatbots de service client, etc.) sont dans la grande majorité des cas des déployeurs soumis à des obligations spécifiques, souvent méconnues.

Les systèmes à haut risque : le cœur du dispositif

L'Annexe III du règlement liste les domaines concernés par la qualification de "haut risque" :

• Infrastructures critiques (énergie, eau, transports)
• Éducation et formation professionnelle
• Emploi et gestion des travailleurs (recrutement automatisé, évaluation de performance)
• Services publics essentiels (scoring de crédit, aide sociale)
• Application de la loi
• Migration et contrôle aux frontières
• Administration de la justice

Pour ces systèmes, les obligations incluent notamment (Articles 9 à 17) : - Mise en place d'un système de gestion des risques (Art. 9) - Gouvernance des données et documentation technique (Art. 10-11) - Transparence et fourniture d'instructions d'utilisation (Art. 13) - Surveillance humaine obligatoire (Art. 14) - Précision, robustesse et cybersécurité (Art. 15) - Enregistrement dans la base de données EU (Art. 49 et 71)

Les IA à usage général (GPAI) : un régime spécifique

Applicable depuis août 2025, le régime GPAI (General Purpose AI) concerne les modèles comme GPT, Gemini ou Claude. Les fournisseurs de ces modèles doivent fournir une documentation technique, respecter le droit d'auteur et publier des résumés des données d'entraînement. Les modèles présentant un risque systémique (seuil de 10^25 FLOPs de calcul d'entraînement) sont soumis à des obligations renforcées d'évaluation adversariale.

Tableau comparatif des obligations par rôle

Obligation	Fournisseur	Déployeur	Importateur
Documentation technique	✅ Obligatoire	❌ Non requis	✅ Vérification
Gestion des risques	✅ Obligatoire	✅ Partielle	❌ Non requis
Surveillance humaine	✅ Conception	✅ Mise en œuvre	❌ Non requis
Enregistrement EU	✅ Obligatoire	✅ Certains cas	❌ Non requis
Transparence utilisateurs	✅ Obligatoire	✅ Obligatoire	❌ Non requis

Les sanctions : un régime dissuasif

L'article 99 du règlement établit trois niveaux d'amendes administratives :

• 35 millions d'euros ou 7 % du CA mondial pour violation des interdictions (Art. 5)
• 15 millions d'euros ou 3 % du CA mondial pour non-respect des obligations des fournisseurs/déployeurs
• 7,5 millions d'euros ou 1,5 % du CA mondial pour fourniture d'informations incorrectes

Pour les PME et startups, des montants plafonnés s'appliquent, mais le pourcentage du chiffre d'affaires mondial reste applicable si plus favorable pour l'autorité de contrôle.

---

Implications pratiques

Pour les entreprises françaises, la date du 2 août 2026 n'est pas une option : voici une feuille de route concrète en 10 étapes pour agir maintenant.

Perspective des entreprises utilisatrices (déployeurs)

La grande majorité des entreprises françaises se retrouvent en position de déployeur. Concrètement, si vous utilisez un logiciel RH avec scoring automatique de candidatures, un outil de notation de la solvabilité client ou un système de surveillance des salariés — vous êtes soumis à des obligations immédiates. Beaucoup ignorent encore ce statut.

Perspective des éditeurs et startups IA françaises (fournisseurs)

Pour les fournisseurs, les enjeux sont encore plus lourds : certification, documentation, marquage CE pour certains systèmes, et enregistrement dans la base de données européenne. La France compte environ 6 500 startups IA (France Digitale, rapport 2025), dont une part significative développe des solutions à haut risque sans disposer encore de processus de conformité formalisés.

Feuille de route en 10 étapes

1. Inventorier tous les systèmes d'IA utilisés ou développés dans votre organisation
2. Qualifier chaque système selon la taxonomie de l'AI Act (interdit / haut risque / risque limité / minimal)
3. Identifier votre rôle : fournisseur, déployeur, importateur ou distributeur
4. Désigner un responsable IA (AI Compliance Officer) ou mandater un prestataire externe
5. Auditer les pratiques déjà interdites depuis février 2025 (notation sociale, manipulation, etc.)
6. Mettre en place la gestion documentaire : registres, documentation technique, logs
7. Former vos équipes : obligation légale de littératie IA pour le personnel concerné (Art. 4)
8. Revoir vos contrats fournisseurs pour intégrer les clauses de conformité AI Act
9. Implémenter la surveillance humaine pour les systèmes à haut risque
10. S'enregistrer sur la base de données EU AI si requis (avant le 2 août 2026)

⚠️ Point de vigilance : l'article 4 impose dès maintenant à tous les déployeurs (quelle que soit la catégorie de risque) d'assurer un niveau suffisant de littératie en IA parmi leurs employés concernés. Cette obligation est souvent négligée mais déjà applicable.

---

Points clés à retenir

• Le 2 août 2026 est la date d'application complète de l'AI Act — il reste moins de 65 jours pour agir.
• Les interdictions absolues de l'article 5 (notation sociale, manipulation subliminale, biométrie en temps réel non encadrée) sont en vigueur depuis février 2025 : tout manquement est déjà sanctionnable.
• Les déployeurs (entreprises utilisant l'IA d'un tiers) ont des obligations concrètes souvent ignorées : surveillance humaine, transparence, gestion des risques partagée.
• Les amendes peuvent atteindre 35 millions d'euros ou 7 % du CA mondial pour les violations les plus graves.
• L'obligation de littératie en IA pour les employés (Art. 4) s'applique à toutes les organisations, quelle que soit la taille.
• Les systèmes RH algorithmiques (recrutement, évaluation) figurent explicitement parmi les cas à haut risque de l'Annexe III.
• Le règlement s'applique à toute entreprise ciblant le marché européen, y compris les acteurs extra-européens : une PME française utilisant un outil IA américain reste soumise à l'AI Act.

---

Questions fréquentes

Mon entreprise utilise ChatGPT ou Copilot pour des tâches internes : suis-je soumis à l'AI Act ?

Oui, potentiellement, mais avec des obligations limitées. Si vous utilisez ces outils pour des tâches à faible risque (rédaction, synthèse), vous êtes en catégorie "risque minimal" avec peu d'obligations formelles. En revanche, si vous les intégrez dans des processus décisionnels à impact sur des personnes (RH, crédit, santé), la qualification "haut risque" peut s'appliquer, entraînant des obligations documentaires et de surveillance humaine.

Qu'est-ce qu'un système d'IA "à haut risque" au sens de l'AI Act ?

Un système à haut risque est un système IA utilisé dans un domaine listié à l'Annexe III du Règlement UE 2024/1689. Cela inclut les systèmes de recrutement automatisé, le scoring de crédit, la gestion de l'accès aux services publics essentiels, les outils médicaux, et les systèmes éducatifs. La qualification dépend du domaine d'utilisation et de l'impact potentiel sur les droits fondamentaux des personnes.

Quelles sont les sanctions si mon entreprise n'est pas conforme au 2 août 2026 ?

Les amendes peuvent atteindre 35 millions d'euros ou 7 % du chiffre d'affaires mondial annuel pour les violations les plus graves (Art. 99 du règlement). Pour le non-respect des obligations standard (fournisseurs, déployeurs), le plafond est de 15 millions d'euros ou 3 % du CA mondial. Des sanctions proportionnées aux PME sont prévues, mais le pourcentage du CA reste applicable si plus élevé.

L'AI Act s'applique-t-il aux petites entreprises et aux indépendants ?

Oui, l'AI Act s'applique à toutes les entreprises, quelle que soit leur taille, dès lors qu'elles opèrent sur le marché européen. Toutefois, le règlement prévoit des mesures proportionnées pour les PME : accès prioritaire aux bacs à sable réglementaires (Art. 57), documentation simplifiée, et seuils d'amendes adaptés. La Commission européenne a également publié des guides dédiés aux petites structures.

Dois-je désigner un "responsable IA" dans mon entreprise ?

L'AI Act n'impose pas explicitement de désigner un "AI Officer" à l'instar du DPO du RGPD, mais la complexité des obligations (documentation, gestion des risques, surveillance humaine, enregistrements) rend fortement conseillée la nomination d'un référent interne ou le recours à un conseil externe spécialisé. Certaines autorités nationales recommandent d'ores et déjà cette démarche.

Quelle est la différence entre l'AI Act et le RGPD pour les systèmes IA ?

Le RGPD encadre le traitement des données personnelles, tandis que l'AI Act réglemente les systèmes d'IA en tant que tels, indépendamment du traitement de données. En pratique, les deux textes se cumulent : un système d'IA de recrutement est soumis à la fois aux obligations de l'AI Act (haut risque) et aux exigences du RGPD (licéité du traitement, droit à l'explication via l'Art. 22). La CNIL est compétente pour les deux volets en France.

Les systèmes IA déjà en production avant août 2026 bénéficient-ils d'une période de grâce ?

Oui, partiellement. Les systèmes à haut risque déjà mis sur le marché ou en service avant le 2 août 2026 bénéficient d'un régime transitoire jusqu'au 2 août 2027 (Art. 111), à condition qu'ils ne fassent pas l'objet de modifications substantielles. Ce délai ne dispense pas de préparer la mise en conformité : il est conseillé de lancer l'audit dès maintenant pour respecter l'échéance de 2027.

Comment savoir si mon logiciel RH ou mon outil de scoring est concerné par les interdictions déjà en vigueur ?

Si votre outil utilise des données comportementales, émotionnelles ou biométriques pour noter ou classer des individus de manière généralisée, il peut relever des interdictions de l'article 5, applicables depuis février 2025. Un audit juridique de l'outil et de ses conditions d'utilisation s'impose. En cas de doute, le principe de précaution commande de suspendre l'usage jusqu'à clarification, sous peine de s'exposer aux sanctions les plus lourdes du règlement.

---

Cet article est fourni à titre informatif et ne constitue pas un conseil juridique personnalisé. Pour une analyse de votre situation spécifique au regard de l'AI Act, consultez un avocat spécialisé en droit du numérique.