Sommaire
L'architecture du déploiement
L'EU AI Act (Règlement 2024/1689) est entré en vigueur le 1er août 2024. À partir de cette date, une période de transition de 24 mois a commencé pour la plupart des obligations, avec des exceptions créant des échéances plus tôt ou plus tard pour certaines dispositions spécifiques. Il en résulte cinq phases de conformité distinctes entre 2024 et 2027.
Comprendre quelle phase vous concerne nécessite de connaître deux choses : votre rôle (fournisseur, déployeur, importateur, distributeur) et la catégorie dans laquelle tombe votre système d'IA (interdit, haut risque, GPAI, risque limité, risque minimal).
Phase 1 — 1er août 2024 : entrée en vigueur
Le Règlement est entré en vigueur. Aucune obligation opérationnelle ne s'appliquait encore, mais le compteur était lancé. Les organisations avaient 6 mois avant la première échéance ferme.
Ce que cela signifiait en pratique
Les équipes juridiques et conformité auraient dû commencer à cartographier leurs systèmes d'IA selon le cadre de classification de l'Acte. Les inventaires de risques, les analyses d'écarts initiales et les structures de gouvernance interne devaient être lancés à ce moment. Les organisations qui ont commencé à cette date avaient une marge de manœuvre suffisante. Celles qui ont attendu, non.
Phase 2 — 2 février 2025 : pratiques interdites et culture IA
Les premières obligations contraignantes sont entrées en application. Deux articles sont devenus exécutoires simultanément.
Article 5 — Pratiques interdites
Huit catégories de systèmes d'IA sont devenues illégales à mettre sur le marché, à mettre en service ou à utiliser dans l'UE. Ce ne sont pas des zones grises. Ce sont des interdictions absolues assorties du régime de sanctions le plus élevé de l'Acte : jusqu'à 35 millions d'euros ou 7 % du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu.
Manipulation subliminale
Systèmes d'IA déployant des techniques subluminales en dessous du seuil de conscience pour altérer le comportement d'une manière causant un préjudice.
Exploitation des vulnérabilités
IA exploitant des vulnérabilités liées à l'âge, au handicap ou à la situation sociale ou économique pour altérer le comportement de manière préjudiciable.
Notation sociale par les autorités publiques
IA utilisée par les autorités publiques pour évaluer ou classer des individus sur la base de leur comportement social ou de leurs caractéristiques personnelles sur la durée.
Identification biométrique en temps réel (application de la loi)
Identification biométrique à distance dans des espaces accessibles au public à des fins répressives, avec trois exceptions étroites pour les personnes disparues, les menaces terroristes imminentes et les suspects de crimes graves.
Catégorisation biométrique rétrospective
Systèmes catégorisant des individus sur la base de données biométriques en groupes sensibles (race, opinion politique, religion, orientation sexuelle).
Reconnaissance des émotions (lieu de travail et éducation)
IA inférant les états émotionnels d'individus dans des environnements professionnels ou éducatifs, sauf à des fins médicales ou de sécurité.
Prédiction de la criminalité basée sur le profilage
IA évaluant le risque qu'une personne commette un crime sur la seule base du profilage ou des traits de personnalité.
Bases de données de reconnaissance faciale par scraping
Constitution ou extension de bases de données de reconnaissance faciale par collecte non ciblée d'images faciales sur Internet ou via des caméras de vidéosurveillance.
Article 4 — Culture IA (AI Literacy)
Les fournisseurs et déployeurs sont devenus tenus de s'assurer que leur personnel dispose d'une culture IA suffisante, adaptée à leur rôle et aux systèmes d'IA avec lesquels ils travaillent. Il ne s'agit pas d'une exigence de formation ponctuelle, mais d'une obligation organisationnelle continue de maintenir les compétences. Aucun format ou certification spécifique n'est prescrit ; ce qui compte, c'est le caractère démontrable de l'adéquation.
Phase 3 — 2 août 2025 : obligations GPAI et infrastructure de gouvernance
La deuxième phase majeure a activé les obligations pour une catégorie spécifique et importante : les modèles d'IA à usage général (GPAI).
Qu'est-ce qu'un modèle GPAI ?
Un modèle entraîné sur de grandes quantités de données, capable d'effectuer un large éventail de tâches et mis à disposition pour intégration dans des systèmes d'IA en aval. GPT-4, Claude, Gemini, Mistral. Ce sont des modèles GPAI. Tout comme tout modèle qu'une entreprise construit pour un usage interne polyvalent.
Documentation technique (Art. 53)
Les fournisseurs doivent maintenir une documentation détaillée des méthodologies d'entraînement, des sources de données, des capacités et des limitations.
Politique de respect du droit d'auteur (Art. 53)
Une politique de conformité au droit d'auteur de l'UE doit être en place, incluant le respect des réserves de droits au titre de l'article 4(3) de la Directive 2019/790.
Résumé des données d'entraînement (Art. 53)
Un résumé suffisamment détaillé des données d'entraînement utilisées, publié et accessible publiquement.
Adhésion au Code de bonne pratique (Art. 56)
Les fournisseurs peuvent démontrer leur conformité en adhérant au Code de bonne pratique du Bureau IA de l'UE. Ceux qui n'y adhèrent pas doivent démontrer des moyens alternatifs adéquats de conformité.
Risque systémique — Le niveau supérieur
Les modèles GPAI dépassant 10²⁵ FLOPs de calcul d'entraînement sont classifiés comme modèles à risque systémique (Article 51). Ils font face à des obligations supplémentaires : tests adversariaux (red-teaming), signalement d'incidents au Bureau IA de l'UE, protections en matière de cybersécurité et rapport sur l'efficacité énergétique.
Infrastructure de gouvernance
Août 2025 a également activé la couche institutionnelle de l'EU AI Act. Le Bureau IA de l'UE est devenu opérationnel en tant qu'autorité de supervision centrale pour les modèles GPAI. Les autorités nationales compétentes de chaque État membre ont été formellement désignées. La Finlande a été la première à activer des pouvoirs de supervision nationale pleinement opérationnels, en janvier 2026. Les autres États membres suivent tout au long de 2026.
Phase 4 — 2 août 2026 : l'échéance critique
C'est la date qui définit l'Acte pour la majorité des organisations. La majeure partie du Règlement devient pleinement applicable. Manquer cette échéance n'est pas une question de transition. C'est une non-conformité.
Systèmes d'IA à haut risque — Annexe III (Article 6§2)
Les systèmes d'IA listés dans les 8 domaines de l'Annexe III deviennent soumis au régime de conformité complet pour les systèmes à haut risque. Les obligations sont étendues et non délégables :
Système de gestion des risques (Art. 9)
Un processus continu et itératif tout au long du cycle de vie du système. Pas une évaluation ponctuelle. Doit identifier les risques connus et prévisibles, les estimer, les évaluer et mettre en œuvre des mesures d'atténuation.
Gouvernance des données (Art. 10)
Les jeux de données d'entraînement, de validation et de test doivent être pertinents, suffisamment représentatifs et, dans la mesure du possible, exempts d'erreurs. Une surveillance des biais est requise.
Documentation technique (Art. 11)
Documentation complète démontrant la conformité, couvrant l'architecture, le processus de développement, les indicateurs de performance, les mesures de gestion des risques. Doit être tenue à jour tout au long du cycle de vie.
Journalisation automatique (Art. 12)
Les systèmes à haut risque doivent générer automatiquement des journaux permettant la traçabilité de leur fonctionnement. Les journaux doivent être conservés pendant une période minimale déterminée par le cas d'usage.
Transparence envers les déployeurs (Art. 13)
Des instructions d'utilisation doivent être fournies aux déployeurs, couvrant les capacités et limitations, les indicateurs de performance et les circonstances nécessitant une supervision humaine.
Supervision humaine (Art. 14)
Les systèmes doivent être conçus pour permettre une surveillance effective par des personnes physiques. Cela inclut la capacité de surveiller, d'interpréter, d'outrepasser et d'arrêter le système.
Précision, robustesse, cybersécurité (Art. 15)
Les systèmes doivent atteindre un niveau de précision approprié à leur finalité prévue et rester résilients face aux erreurs, aux défaillances et aux tentatives de tiers d'exploiter des vulnérabilités.
Évaluation de la conformité (Art. 43)
Avant la mise sur le marché : réaliser une évaluation de la conformité. Pour la plupart des systèmes de l'Annexe III, il s'agit d'une auto-évaluation. Pour les systèmes biométriques et de répression, une évaluation par tierce partie est requise.
Enregistrement dans la base de données UE (Art. 49)
Les systèmes d'IA à haut risque doivent être enregistrés dans la base de données UE avant déploiement. La base de données est accessible publiquement. L'enregistrement est de la responsabilité du fournisseur.
Système de gestion de la qualité (Art. 17)
Les fournisseurs doivent disposer d'un système de gestion de la qualité documenté couvrant l'ensemble du cycle de vie : conception, développement, tests, déploiement, surveillance et mise hors service.
Obligations de transparence — Article 50
Également en vigueur au 2 août 2026 : les obligations de transparence pour les systèmes d'IA qui interagissent avec des humains, génèrent du contenu synthétique ou influencent des décisions.
Chatbots et IA conversationnelle
Doivent informer les utilisateurs qu'ils interagissent avec un système d'IA, clairement, au début de l'interaction. Exception : lorsque c'est évident dans le contexte.
Reconnaissance des émotions et catégorisation biométrique
Doivent informer les individus lorsqu'ils sont soumis à de tels systèmes.
Deepfakes et contenu généré par IA
Les contenus audio, vidéo et images synthétiques doivent être étiquetés comme générés ou manipulés artificiellement, dans un format lisible par machine, détectable et identifiable.
Textes générés par IA sur des sujets d'intérêt public
Les textes générés par IA et publiés pour informer le public sur des sujets d'intérêt public doivent être étiquetés comme générés par IA.
Phase 5 — 2 août 2028 : composants de sécurité embarqués (post-Digital Omnibus)
Une catégorie de systèmes d'IA à haut risque bénéficie d'une transition prolongée : les systèmes qui sont des composants de sécurité embarqués dans des produits déjà réglementés par la législation d'harmonisation de l'UE listée à l'Annexe I. Post-Digital Omnibus (accord trilogue 7 mai 2026), cette échéance passe du 2 août 2027 au 2 août 2028.
Exemples : IA embarquée dans des dispositifs médicaux, des machines, des équipements d'aviation, des véhicules automobiles, des jouets. Ces systèmes relèvent de l'Article 6(1) plutôt que de l'Annexe III. Leur délai prolongé reflète la complexité de l'évaluation de la conformité dans le cadre des régimes de sécurité des produits préexistants.
Important : Cette extension s'applique aux systèmes d'IA mis sur le marché avant le 2 août 2028 dans le cadre de la législation existante sur la sécurité des produits. Les nouveaux produits lancés après cette date doivent se conformer immédiatement.
Le Digital Omnibus — Ce que le report proposé signifie réellement
En novembre 2025, la Commission européenne a présenté le paquet Digital Omnibus, une proposition de simplification de la réglementation numérique de l'UE couvrant l'AI Act, le RGPD, NIS2, DORA et le Data Act.
Pour l'AI Act, la Commission a proposé de prolonger l'application des règles relatives aux systèmes à haut risque de jusqu'à 16 mois supplémentaires. Un accord trilogue provisoire a été conclu le 7 mai 2026 (paquet digital omnibus). L'échéance du 2 août 2026 pour les cas d'usage haut risque Annexe III haut risque (énumération EP : biométrie, infrastructures critiques, éducation, emploi, maintien de l'ordre, frontières ; non-exhaustif) est désormais reportée au 2 décembre 2027. Les systèmes d'IA utilisés comme composants de sécurité couverts par la législation sectorielle UE : reportés au 2 août 2028. L'adoption formelle est prévue avant le 2 août 2026.
Statut au 8 mai 2026 : un accord trilogue provisoire a été conclu le 7 mai 2026 (EP press release IPR42011). L'adoption formelle par le Parlement et le Conseil est prévue avant le 2 août 2026. Le texte législatif consolidé n'a pas encore été publié au JOUE ; des amendements mineurs lors de la révision juridique/linguistique restent possibles.
Le risque d'attendre
Jusqu'au 7 mai 2026, cette section mettait en garde contre la suspension des travaux de conformité sur la base d'une proposition Omnibus non confirmée. La proposition a maintenant été conclue en trilogue. Les dates contraignantes post-omnibus : 2 août 2026 reste contraignant pour la transparence Article 50 (divulgation chatbot, étiquetage deepfake) et présumément pour Annexe III §5 (banque/crédit) et §8 (justice) à moins que le texte législatif final n'étende le report. 2 décembre 2026 est la nouvelle échéance pour le marquage GenAI (avancé par rapport à la proposition initiale de la Commission du 2 février 2027). 2 décembre 2027 est la nouvelle échéance pour les obligations Annexe III haut risque (biométrie, infrastructures critiques, éducation, emploi, maintien de l'ordre, gestion des frontières). 2 août 2028 pour les composants de sécurité couverts par la législation sectorielle UE. Suspendre toute conformité jusqu'en 2027 reste une erreur structurelle : Article 50 contraint dans les mois, pas dans les années.
Ce que le Digital Omnibus change déjà — maintenant
Le paquet introduit un point de signalement unique des incidents dans les réglementations numériques de l'UE et aligne les seuils de notification des violations. Il clarifie également l'utilisation des données personnelles en IA, notamment pour les évaluations de solvabilité. Ces clarifications sont pertinentes indépendamment du résultat sur la question du report.
Ce que vous devriez faire maintenant — par rôle
CEO / Fondateur
- •Confirmez que votre inventaire IA est complet : chaque système que votre entreprise développe, déploie ou acquiert.
- •Connaissez la classification de chaque système. Un seul système à haut risque dans votre stack change entièrement votre posture de conformité.
- •Désignez un responsable nommé pour la conformité AI Act. Ce n'est pas une tâche qui peut rester dans le département juridique sans visibilité au niveau exécutif.
- •Comprenez la structure des sanctions : jusqu'à 3 % du chiffre d'affaires mondial pour la plupart des violations à haut risque. Un sujet de niveau conseil d'administration.
CTO / VP Engineering
- •Auditez vos systèmes d'IA par rapport aux domaines de l'Annexe III. Documentez la classification de chaque système et le raisonnement qui la sous-tend.
- •Implémentez la journalisation automatique pour tout système que vous suspectez d'être à haut risque. La journalisation est une exigence technique, pas une considération secondaire.
- •Vérifiez vos dépendances GPAI. Si vous intégrez un modèle fondation, vous êtes un déployeur et avez des obligations au titre de l'Article 26.
- •La documentation technique doit être à jour avant le 2 août. Commencez à la rédiger maintenant. Une documentation rétrospective est plus difficile et moins crédible.
DPO / Responsable conformité
- •Cartographiez vos systèmes d'IA à la fois selon le cadre de classification de l'AI Act et vos obligations RGPD existantes. Les chevauchements sont significatifs, en particulier autour de la prise de décision automatisée (Art. 22 RGPD vs. exigences de supervision à haut risque).
- •Préparez-vous à l'exigence d'évaluation de l'impact sur les droits fondamentaux (FRIA) pour certains déployeurs à haut risque (Art. 27).
- •Vérifiez vos chatbots et outils d'IA conversationnelle par rapport à l'Article 50. Les obligations de transparence s'appliquent au 2 août 2026, souvent négligées car l'attention est focalisée sur les systèmes à haut risque.
- •Enregistrez les systèmes à haut risque applicables dans la base de données UE avant déploiement.
Investisseur / VC
- •Ajoutez la classification EU AI Act à votre cadre standard de due diligence. Demandez aux sociétés en portefeuille : quel est votre score de position AI Act, quels systèmes sont à haut risque, et quel est l'état d'avancement de l'évaluation de la conformité.
- •Comprenez que la non-conformité à haut risque est un passif financier : amendes plus retrait obligatoire du marché plus dommages réputationnels.
- •L'échéance d'août 2026 crée un catalyseur à court terme : les entreprises conformes deviennent démontrablement plus investissables dans les secteurs réglementés.
Structure des sanctions — En un coup d'œil
Les sanctions pour non-conformité s'appliquent aussi bien aux entreprises basées dans l'UE qu'aux entreprises hors UE offrant des systèmes d'IA à des utilisateurs dans l'UE.
| Violation | Sanction maximale |
|---|---|
| Pratiques interdites (Art. 5) | Jusqu'à 35 M€ ou 7 % du CA mondial |
| Violations haut risque (Arts. 9–15, 17, 43, 49) | Jusqu'à 15 M€ ou 3 % du CA mondial |
| Informations incorrectes ou trompeuses (Art. 101) | Jusqu'à 7,5 M€ ou 1 % du CA mondial |
| Violations GPAI (Arts. 53–55) | Jusqu'à 15 M€ ou 3 % du CA mondial |
Le montant le plus élevé des deux s'applique dans chaque cas. Pour les organisations multinationales, les amendes basées sur le chiffre d'affaires dépasseront presque toujours le plafond fixe.
Calendrier récapitulatif
Entrée en vigueur
Règlement publié. Le compteur de transition démarre.
Pratiques interdites + culture IA
Interdictions Art. 5 et obligations de culture IA Art. 4 applicables.
Obligations GPAI + gouvernance
Arts. 51–55 pour les fournisseurs GPAI. Bureau IA UE et autorités nationales opérationnels.
Article 50 transparence
Divulgation chatbot, étiquetage deepfake. Obligations Annexe III haut risque reportées au 2 décembre 2027 par le Digital Omnibus (accord trilogue 7 mai 2026).
Annexe III haut risque (post-Omnibus)
Biométrie, infrastructures critiques, éducation, emploi, maintien de l'ordre, gestion des frontières. Reporté du 2 août 2026 par le Digital Omnibus.
Composants sécurité embarqués (post-Omnibus)
Systèmes Art. 6§1 embarqués dans des produits Annexe I, reporté du 2 août 2027.
Établissez votre position maintenant — les obligations sont déjà actives
L'évaluation gratuite Sprinkling Act fait passer votre système d'IA à travers le même framework 6 gates qui se mappe directement à ces phases d'application : Article 5, Article 6, Annexe III, Articles 50–53. Vous obtenez une notation en étoiles, un score et une piste d'audit traçable en 9 questions, résultat instantané.
Établir votre position →Sources
- [1]EUR-Lex (June 13, 2024) — Regulation (EU) 2024/1689 of the European Parliament and of the Council — Artificial Intelligence Act eur-lex.europa.eu/eli
- [2]EUR-Lex — Article 113 — Entry into force and date of application artificialintelligenceact.eu/article
- [3]EUR-Lex — Article 5 — Prohibited artificial intelligence practices artificialintelligenceact.eu/article
- [4]
- [5]
- [6]
- [7]EUR-Lex — Article 6 — Classification rules for high-risk AI systems artificialintelligenceact.eu/article
- [8]
- [9]European Parliament (March 18, 2026) — MEPs support postponement of certain rules on artificial intelligence www.europarl.europa.eu/news
- [10]European Commission (November 2025) — Digital Omnibus Regulation — Proposed amendments to AI Act timelines digital-strategy.ec.europa.eu/en
- [11]
Les interdictions Art. 5 et les règles GPAI s’appliquent aujourd’hui. Article 50 transparence contraignant le 2 août 2026. Annexe III haut risque contraignant le 2 décembre 2027 (post-Omnibus). La question n’est pas quand : c’est si vous avez documenté votre position.