L'architecture du déploiement
L'EU AI Act (Règlement 2024/1689) est entré en vigueur le 1er août 2024. À partir de cette date, une période de transition de 24 mois a commencé pour la plupart des obligations, avec des exceptions créant des échéances plus tôt ou plus tard pour certaines dispositions spécifiques. Il en résulte cinq phases de conformité distinctes entre 2024 et 2027.
Comprendre quelle phase vous concerne nécessite de connaître deux choses : votre rôle (fournisseur, déployeur, importateur, distributeur) et la catégorie dans laquelle tombe votre système d'IA (interdit, haut risque, GPAI, risque limité, risque minimal).
Phase 1 — 1er août 2024 : entrée en vigueur
Le Règlement est entré en vigueur. Aucune obligation opérationnelle ne s'appliquait encore — mais le compteur était lancé. Les organisations avaient 6 mois avant la première échéance ferme.
Ce que cela signifiait en pratique
Les équipes juridiques et conformité auraient dû commencer à cartographier leurs systèmes d'IA selon le cadre de classification de l'Acte. Les inventaires de risques, les analyses d'écarts initiales et les structures de gouvernance interne devaient être lancés à ce moment. Les organisations qui ont commencé à cette date avaient une marge de manœuvre suffisante. Celles qui ont attendu, non.
Phase 2 — 2 février 2025 : pratiques interdites et culture IA
Les premières obligations contraignantes sont entrées en application. Deux articles sont devenus exécutoires simultanément.
Article 5 — Pratiques interdites
Huit catégories de systèmes d'IA sont devenues illégales à mettre sur le marché, à mettre en service ou à utiliser dans l'UE. Ce ne sont pas des zones grises. Ce sont des interdictions absolues assorties du régime de sanctions le plus élevé de l'Acte : jusqu'à 35 millions d'euros ou 7 % du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu.
Manipulation subliminale
Systèmes d'IA déployant des techniques subluminales en dessous du seuil de conscience pour altérer le comportement d'une manière causant un préjudice.
Exploitation des vulnérabilités
IA exploitant des vulnérabilités liées à l'âge, au handicap ou à la situation sociale ou économique pour altérer le comportement de manière préjudiciable.
Notation sociale par les autorités publiques
IA utilisée par les autorités publiques pour évaluer ou classer des individus sur la base de leur comportement social ou de leurs caractéristiques personnelles sur la durée.
Identification biométrique en temps réel (application de la loi)
Identification biométrique à distance dans des espaces accessibles au public à des fins répressives — avec trois exceptions étroites pour les personnes disparues, les menaces terroristes imminentes et les suspects de crimes graves.
Catégorisation biométrique rétrospective
Systèmes catégorisant des individus sur la base de données biométriques en groupes sensibles (race, opinion politique, religion, orientation sexuelle).
Reconnaissance des émotions (lieu de travail et éducation)
IA inférant les états émotionnels d'individus dans des environnements professionnels ou éducatifs, sauf à des fins médicales ou de sécurité.
Prédiction de la criminalité basée sur le profilage
IA évaluant le risque qu'une personne commette un crime sur la seule base du profilage ou des traits de personnalité.
Bases de données de reconnaissance faciale par scraping
Constitution ou extension de bases de données de reconnaissance faciale par collecte non ciblée d'images faciales sur Internet ou via des caméras de vidéosurveillance.
Article 4 — Culture IA (AI Literacy)
Les fournisseurs et déployeurs sont devenus tenus de s'assurer que leur personnel dispose d'une culture IA suffisante — adaptée à leur rôle et aux systèmes d'IA avec lesquels ils travaillent. Il ne s'agit pas d'une exigence de formation ponctuelle, mais d'une obligation organisationnelle continue de maintenir les compétences. Aucun format ou certification spécifique n'est prescrit ; ce qui compte, c'est le caractère démontrable de l'adéquation.
Phase 3 — 2 août 2025 : obligations GPAI et infrastructure de gouvernance
La deuxième phase majeure a activé les obligations pour une catégorie spécifique et importante : les modèles d'IA à usage général (GPAI).
Qu'est-ce qu'un modèle GPAI ?
Un modèle entraîné sur de grandes quantités de données, capable d'effectuer un large éventail de tâches et mis à disposition pour intégration dans des systèmes d'IA en aval. GPT-4, Claude, Gemini, Mistral — ce sont des modèles GPAI. Tout comme tout modèle qu'une entreprise construit pour un usage interne polyvalent.
Documentation technique (Art. 53)
Les fournisseurs doivent maintenir une documentation détaillée des méthodologies d'entraînement, des sources de données, des capacités et des limitations.
Politique de respect du droit d'auteur (Art. 53)
Une politique de conformité au droit d'auteur de l'UE doit être en place, incluant le respect des réserves de droits au titre de l'article 4(3) de la Directive 2019/790.
Résumé des données d'entraînement (Art. 53)
Un résumé suffisamment détaillé des données d'entraînement utilisées — publié et accessible publiquement.
Adhésion au Code de bonne pratique (Art. 56)
Les fournisseurs peuvent démontrer leur conformité en adhérant au Code de bonne pratique du Bureau IA de l'UE. Ceux qui n'y adhèrent pas doivent démontrer des moyens alternatifs adéquats de conformité.
Risque systémique — Le niveau supérieur
Les modèles GPAI dépassant 10²⁵ FLOPs de calcul d'entraînement sont classifiés comme modèles à risque systémique (Article 51). Ils font face à des obligations supplémentaires : tests adversariaux (red-teaming), signalement d'incidents au Bureau IA de l'UE, protections en matière de cybersécurité et rapport sur l'efficacité énergétique.
Infrastructure de gouvernance
Août 2025 a également activé la couche institutionnelle de l'EU AI Act. Le Bureau IA de l'UE est devenu opérationnel en tant qu'autorité de supervision centrale pour les modèles GPAI. Les autorités nationales compétentes de chaque État membre ont été formellement désignées. La Finlande a été la première à activer des pouvoirs de supervision nationale pleinement opérationnels, en janvier 2026. Les autres États membres suivent tout au long de 2026.
Phase 4 — 2 août 2026 : l'échéance critique
C'est la date qui définit l'Acte pour la majorité des organisations. La majeure partie du Règlement devient pleinement applicable. Manquer cette échéance n'est pas une question de transition — c'est une non-conformité.
Systèmes d'IA à haut risque — Annexe III (Article 6§2)
Les systèmes d'IA listés dans les 8 domaines de l'Annexe III deviennent soumis au régime de conformité complet pour les systèmes à haut risque. Les obligations sont étendues et non délégables :
Système de gestion des risques (Art. 9)
Un processus continu et itératif tout au long du cycle de vie du système. Pas une évaluation ponctuelle. Doit identifier les risques connus et prévisibles, les estimer, les évaluer et mettre en œuvre des mesures d'atténuation.
Gouvernance des données (Art. 10)
Les jeux de données d'entraînement, de validation et de test doivent être pertinents, suffisamment représentatifs et, dans la mesure du possible, exempts d'erreurs. Une surveillance des biais est requise.
Documentation technique (Art. 11)
Documentation complète démontrant la conformité — couvrant l'architecture, le processus de développement, les indicateurs de performance, les mesures de gestion des risques. Doit être tenue à jour tout au long du cycle de vie.
Journalisation automatique (Art. 12)
Les systèmes à haut risque doivent générer automatiquement des journaux permettant la traçabilité de leur fonctionnement. Les journaux doivent être conservés pendant une période minimale déterminée par le cas d'usage.
Transparence envers les déployeurs (Art. 13)
Des instructions d'utilisation doivent être fournies aux déployeurs — couvrant les capacités et limitations, les indicateurs de performance et les circonstances nécessitant une supervision humaine.
Supervision humaine (Art. 14)
Les systèmes doivent être conçus pour permettre une surveillance effective par des personnes physiques. Cela inclut la capacité de surveiller, d'interpréter, d'outrepasser et d'arrêter le système.
Précision, robustesse, cybersécurité (Art. 15)
Les systèmes doivent atteindre un niveau de précision approprié à leur finalité prévue et rester résilients face aux erreurs, aux défaillances et aux tentatives de tiers d'exploiter des vulnérabilités.
Évaluation de la conformité (Art. 43)
Avant la mise sur le marché : réaliser une évaluation de la conformité. Pour la plupart des systèmes de l'Annexe III, il s'agit d'une auto-évaluation. Pour les systèmes biométriques et de répression, une évaluation par tierce partie est requise.
Enregistrement dans la base de données UE (Art. 49)
Les systèmes d'IA à haut risque doivent être enregistrés dans la base de données UE avant déploiement. La base de données est accessible publiquement. L'enregistrement est de la responsabilité du fournisseur.
Système de gestion de la qualité (Art. 17)
Les fournisseurs doivent disposer d'un système de gestion de la qualité documenté couvrant l'ensemble du cycle de vie — conception, développement, tests, déploiement, surveillance et mise hors service.
Obligations de transparence — Article 50
Également en vigueur au 2 août 2026 : les obligations de transparence pour les systèmes d'IA qui interagissent avec des humains, génèrent du contenu synthétique ou influencent des décisions.
Chatbots et IA conversationnelle
Doivent informer les utilisateurs qu'ils interagissent avec un système d'IA — clairement, au début de l'interaction. Exception : lorsque c'est évident dans le contexte.
Reconnaissance des émotions et catégorisation biométrique
Doivent informer les individus lorsqu'ils sont soumis à de tels systèmes.
Deepfakes et contenu généré par IA
Les contenus audio, vidéo et images synthétiques doivent être étiquetés comme générés ou manipulés artificiellement — dans un format lisible par machine, détectable et identifiable.
Textes générés par IA sur des sujets d'intérêt public
Les textes générés par IA et publiés pour informer le public sur des sujets d'intérêt public doivent être étiquetés comme générés par IA.
Phase 5 — 2 août 2027 : composants de sécurité embarqués
Une catégorie de systèmes d'IA à haut risque bénéficie d'une transition prolongée : les systèmes qui sont des composants de sécurité embarqués dans des produits déjà réglementés par la législation d'harmonisation de l'UE listée à l'Annexe I.
Exemples : IA embarquée dans des dispositifs médicaux, des machines, des équipements d'aviation, des véhicules automobiles, des jouets. Ces systèmes relèvent de l'Article 6(1) plutôt que de l'Annexe III. Leur délai prolongé reflète la complexité de l'évaluation de la conformité dans le cadre des régimes de sécurité des produits préexistants.
Important : Cette extension ne s'applique qu'aux systèmes d'IA mis sur le marché avant le 2 août 2026 dans le cadre de la législation existante sur la sécurité des produits. Les nouveaux produits lancés après cette date doivent se conformer immédiatement.
Le Digital Omnibus — Ce que le report proposé signifie réellement
En novembre 2025, la Commission européenne a présenté le paquet Digital Omnibus — une proposition de simplification de la réglementation numérique de l'UE couvrant l'AI Act, le RGPD, NIS2, DORA et le Data Act.
Pour l'AI Act, la Commission a proposé de prolonger l'application des règles relatives aux systèmes à haut risque de jusqu'à 16 mois supplémentaires. Si elle est adoptée telle que proposée, l'échéance d'août 2026 pour les systèmes de l'Annexe III pourrait être reportée au plus tard à décembre 2027.
Au 5 mars 2026, cette proposition fait l'objet de la procédure législative ordinaire — encore examinée par le Parlement européen et le Conseil. Ce n'est pas du droit. Ce n'est pas confirmé. Elle pourrait être amendée, retardée ou rejetée.
Le risque d'attendre
Les organisations qui suspendent leurs travaux de conformité sur la base de la proposition Digital Omnibus font un pari structurel sur un résultat qui ne s'est pas concrétisé. La position prudente — cohérente avec les conseils de tous les grands cabinets juridiques et de conformité actifs dans ce domaine — est de traiter le 2 août 2026 comme l'échéance contraignante et de considérer toute extension comme une marge de manœuvre bonus si elle se concrétise.
Ce que le Digital Omnibus change déjà — maintenant
Le paquet introduit un point de signalement unique des incidents dans les réglementations numériques de l'UE et aligne les seuils de notification des violations. Il clarifie également l'utilisation des données personnelles en IA, notamment pour les évaluations de solvabilité. Ces clarifications sont pertinentes indépendamment du résultat sur la question du report.
Ce que vous devriez faire maintenant — par rôle
CEO / Fondateur
- →Confirmez que votre inventaire IA est complet — chaque système que votre entreprise développe, déploie ou acquiert.
- →Connaissez la classification de chaque système. Un seul système à haut risque dans votre stack change entièrement votre posture de conformité.
- →Désignez un responsable nommé pour la conformité AI Act. Ce n'est pas une tâche qui peut rester dans le département juridique sans visibilité au niveau exécutif.
- →Comprenez la structure des sanctions : jusqu'à 3 % du chiffre d'affaires mondial pour la plupart des violations à haut risque. Un sujet de niveau conseil d'administration.
CTO / VP Engineering
- →Auditez vos systèmes d'IA par rapport aux domaines de l'Annexe III. Documentez la classification de chaque système et le raisonnement qui la sous-tend.
- →Implémentez la journalisation automatique pour tout système que vous suspectez d'être à haut risque. La journalisation est une exigence technique, pas une considération secondaire.
- →Vérifiez vos dépendances GPAI. Si vous intégrez un modèle fondation, vous êtes un déployeur et avez des obligations au titre de l'Article 26.
- →La documentation technique doit être à jour avant le 2 août. Commencez à la rédiger maintenant — une documentation rétrospective est plus difficile et moins crédible.
DPO / Responsable conformité
- →Cartographiez vos systèmes d'IA à la fois selon le cadre de classification de l'AI Act et vos obligations RGPD existantes. Les chevauchements sont significatifs — en particulier autour de la prise de décision automatisée (Art. 22 RGPD vs. exigences de supervision à haut risque).
- →Préparez-vous à l'exigence d'évaluation de l'impact sur les droits fondamentaux (FRIA) pour certains déployeurs à haut risque (Art. 27).
- →Vérifiez vos chatbots et outils d'IA conversationnelle par rapport à l'Article 50. Les obligations de transparence s'appliquent au 2 août 2026 — souvent négligées car l'attention est focalisée sur les systèmes à haut risque.
- →Enregistrez les systèmes à haut risque applicables dans la base de données UE avant déploiement.
Investisseur / VC
- →Ajoutez la classification EU AI Act à votre cadre standard de due diligence. Demandez aux sociétés en portefeuille : quel est votre score de position AI Act, quels systèmes sont à haut risque, et quel est l'état d'avancement de l'évaluation de la conformité.
- →Comprenez que la non-conformité à haut risque est un passif financier — amendes plus retrait obligatoire du marché plus dommages réputationnels.
- →L'échéance d'août 2026 crée un catalyseur à court terme : les entreprises conformes deviennent démontrablement plus investissables dans les secteurs réglementés.
Structure des sanctions — En un coup d'œil
Les sanctions pour non-conformité s'appliquent aussi bien aux entreprises basées dans l'UE qu'aux entreprises hors UE offrant des systèmes d'IA à des utilisateurs dans l'UE.
| Violation | Sanction maximale |
|---|---|
| Pratiques interdites (Art. 5) | Jusqu'à 35 M€ ou 7 % du CA mondial |
| Violations haut risque (Arts. 9–15, 17, 43, 49) | Jusqu'à 15 M€ ou 3 % du CA mondial |
| Informations incorrectes ou trompeuses (Art. 101) | Jusqu'à 7,5 M€ ou 1 % du CA mondial |
| Violations GPAI (Arts. 53–55) | Jusqu'à 15 M€ ou 3 % du CA mondial |
Le montant le plus élevé des deux s'applique dans chaque cas. Pour les organisations multinationales, les amendes basées sur le chiffre d'affaires dépasseront presque toujours le plafond fixe.
Calendrier récapitulatif
Entrée en vigueur
Règlement publié. Le compteur de transition démarre.
Pratiques interdites + culture IA
Interdictions Art. 5 et obligations de culture IA Art. 4 applicables.
Obligations GPAI + gouvernance
Arts. 51–55 pour les fournisseurs GPAI. Bureau IA UE et autorités nationales opérationnels.
Haut risque + transparence
Systèmes Annexe III, transparence Art. 50, gestion qualité, évaluations conformité, enregistrement base données UE.
Composants sécurité embarqués
Systèmes Art. 6§1 embarqués dans des produits Annexe I — transition prolongée.
Établissez votre position maintenant — les obligations sont déjà actives
L'évaluation gratuite Sprinkling Act fait passer votre système d'IA à travers le même framework 6 gates qui se mappe directement à ces phases d'application — Article 5, Article 6, Annexe III, Articles 50–53. Vous obtenez une notation en étoiles, un score et une piste d'audit traçable en 9 questions, résultat instantané.
Établir votre position →Sources
- [1]EUR-Lex (June 13, 2024) — Regulation (EU) 2024/1689 of the European Parliament and of the Council — Artificial Intelligence Act eur-lex.europa.eu/eli
- [2]EUR-Lex — Article 113 — Entry into force and date of application artificialintelligenceact.eu/article
- [3]EUR-Lex — Article 5 — Prohibited artificial intelligence practices artificialintelligenceact.eu/article
- [4]
- [5]
- [6]
- [7]EUR-Lex — Article 6 — Classification rules for high-risk AI systems artificialintelligenceact.eu/article
- [8]
- [9]European Parliament (March 18, 2026) — MEPs support postponement of certain rules on artificial intelligence www.europarl.europa.eu/news
- [10]European Commission (November 2025) — Digital Omnibus Regulation — Proposed amendments to AI Act timelines digital-strategy.ec.europa.eu/en
- [11]
Les interdictions Art. 5 et les règles GPAI s’appliquent aujourd’hui. La transparence suit dans 105 jours. La question n’est pas quand — c’est si vous avez documenté votre position.