13 Avril 2026 ADC Team 10 min de lecture Conformité IA

AI Act (Règlement 2024/1689) : Le Guide Complet pour les Entreprises en 2026

Q: À quelle date l'AI Act entre-t-il pleinement en vigueur ?

L'AI Act (Règlement 2024/1689) s'applique progressivement : les pratiques totalement interdites depuis février 2025, les obligations pour les modèles GPAI depuis août 2025, et les systèmes à haut risque (Annexe III) depuis août 2026. Les dispositifs médicaux et produits réglementés (Annexe I) ont jusqu'en août 2027.

Q: Quelles sont les sanctions pour non-conformité à l'AI Act ?

Les sanctions atteignent jusqu'à 35 millions d'euros ou 7 % du chiffre d'affaires mondial pour les violations les plus graves (pratiques interdites). Pour les systèmes à haut risque non conformes : jusqu'à 15 millions d'euros ou 3 % du CA. Pour les informations incorrectes transmises aux autorités : jusqu'à 7,5 millions d'euros ou 1 % du CA.

Entré en vigueur le 1er août 2024, le règlement européen sur l'intelligence artificielle — l'AI Act (Règlement 2024/1689) — est le premier cadre juridique complet au monde régulant l'IA. Pour les entreprises françaises et européennes, les échéances sont déjà là. Voici ce que vous devez savoir et faire avant août 2026.

À retenir

S'applique à toute entreprise utilisant l'IA sur le marché européen, même hors UE (Amazon, Microsoft, startups françaises…)
Délai critique : 2 août 2026 — application complète pour les systèmes à haut risque (Annexe III)
Pratiques interdites depuis 2 février 2025 : social scoring, manipulation comportementale, reconnaissance faciale en temps réel dans les espaces publics
Littératie IA obligatoire (Article 4) pour tout le personnel déployant ou supervisant des systèmes d'IA

35 M€ ou 7 % du CA mondial — pratiques interdites

15 M€ ou 3 % du CA — autres infractions

Août 2026 Application complète systèmes haut risque

200–300h Documentation requise par système haut risque

Qu'est-ce que l'AI Act ?

L'AI Act est un règlement européen fondé sur une approche par le risque : plus un système d'IA présente de risques pour les droits fondamentaux et la sécurité des personnes, plus les obligations sont strictes. Il s'applique à toute entreprise qui développe, déploie ou utilise des systèmes d'IA sur le marché européen — y compris les entreprises américaines ou chinoises dont les clients sont en Europe.

Les 4 niveaux de risque

1. Risque inacceptable — Pratiques interdites (Article 5)

Ces pratiques sont totalement bannies depuis le 2 février 2025. Elles violent les valeurs fondamentales de l'Union européenne :

La notation sociale (social scoring) par des autorités publiques
La manipulation comportementale subliminale au-delà de la conscience de l'individu
L'exploitation des vulnérabilités (âge, handicap, situation socio-économique)
La prédiction individuelle de crimes basée uniquement sur le profilage
Le scraping non ciblé de visages sur internet ou caméras CCTV pour créer des bases de données de reconnaissance faciale
La reconnaissance des émotions sur le lieu de travail ou dans l'éducation
La catégorisation biométrique pour déduire l'origine raciale, les opinions politiques ou l'orientation sexuelle
L'identification biométrique en temps réel dans les espaces publics (sauf exceptions : personnes disparues, menaces terroristes imminentes)

2. Haut risque — Obligations renforcées (Annexe III)

Ces systèmes sont autorisés mais soumis à des exigences strictes avant mise sur le marché :

Biométrie : Identification biométrique à distance (post-facto), reconnaissance des émotions
Infrastructures critiques : Gestion du trafic routier, réseaux eau/gaz/électricité
Éducation : Admission scolaire, évaluation des apprentissages, surveillance d'examens
Emploi : Tri de CVs, décisions de promotion ou licenciement, évaluation des performances
Services essentiels : Scoring de crédit, éligibilité aux aides sociales, tarification assurance santé/vie
Justice : Prédiction de récidive, interprétation des faits par une IA pour un juge
Migration : Évaluation du risque aux frontières, traitement des demandes d'asile
Démocratie : Systèmes influençant des élections ou référendums

3. Risque limité — Obligations de transparence

Ces systèmes doivent informer l'utilisateur qu'il interagit avec une IA :

Chatbots et assistants virtuels
Deepfakes (texte, image, vidéo, audio générés par IA)
Modèles à usage général (GPAI) comme ChatGPT, Gemini, Claude

Exemple concret : Un site e-commerce utilisant un chatbot sans indiquer clairement "cette conversation est gérée par un assistant virtuel" encourt jusqu'à 7,5 M€ ou 1 % de son chiffre d'affaires mondial d'amende.

4. Risque minimal — Aucune obligation spécifique

Filtres anti-spam, systèmes de recommandation, jeux vidéo. Aucune contrainte réglementaire imposée par l'AI Act.

Le calendrier complet de conformité

13 juin 2024 : Adoption par le Parlement et le Conseil européens
1er août 2024 : Entrée en vigueur du règlement
2 février 2025 ? : Interdictions (Article 5) en vigueur + obligation de littératie IA (Article 4) — formation du personnel obligatoire
1er mai 2025 : Codes de conformité pour les modèles GPAI disponibles
2 août 2025 : Obligations pour les modèles GPAI (ChatGPT, Gemini, Llama…)
2 février 2026 : Lignes directrices de la Commission sur la classification haut risque
?? 2 août 2026 : Application complète — Systèmes haut risque (Annexe III) + règles de transparence
2 août 2027 : Dispositifs médicaux, jouets et produits réglementés intégrant de l'IA (Annexe I)
31 décembre 2030 : Grands systèmes informatiques des administrations publiques

Ce que les entreprises doivent mettre en place

Pour les systèmes à haut risque, l'AI Act impose un cadre de gouvernance complet :

Système de gestion de la qualité (SGQ) : Politiques, procédures et instructions documentées pour la conformité, la gestion des données et l'atténuation des risques
Documentation technique : Description complète du système, de ses algorithmes et de ses sources de données — comptez 200 à 300 heures pour documenter un seul système
Supervision humaine : Les systèmes haut risque doivent permettre à un humain de surveiller, intervenir et "overrider" les décisions
Journaux d'événements (logs) : Conservation automatique pendant au moins 6 mois
Littératie IA (Article 4) : Formation obligatoire pour tout le personnel déployant ou supervisant de l'IA

Durée et coût réalistes d'un audit de conformité : 3 à 6 mois de travail, représentant entre 10 et 20 % de l'investissement IA total de l'entreprise.

Cas concret : une PME industrielle avec 200 salariés

Une entreprise de mécanique utilise trois outils IA :

Un chatbot de service client ? Risque limité : afficher "assistant virtuel", se conformer en 1 semaine
Un système de prédiction de pannes machines ? Haut risque (infrastructure critique) : documentation complète, audit, supervision humaine obligatoire
Un outil de tri de candidatures ? Haut risque (emploi/recrutement) : documentation, transparence, audit d'équité des algorithmes

Conclusion : la conformité comme avantage compétitif

L'AI Act n'est pas qu'une contrainte légale : les entreprises conformes bénéficient d'un avantage dans les appels d'offres publics (où la conformité est devenue un critère éliminatoire), d'une confiance accrue des investisseurs et d'une protection contre les litiges. La non-conformité est un facteur aggravant en cas de procès pour discrimination algorithmique.

Questions fréquentes sur l'AI Act

À quelle date l'AI Act entre-t-il pleinement en vigueur ?

L'AI Act s'applique progressivement : pratiques interdites depuis février 2025, obligations GPAI depuis août 2025, systèmes à haut risque (Annexe III) depuis août 2026, et dispositifs médicaux réglementés (Annexe I) jusqu'en août 2027.

Quelles entreprises sont concernées par l'AI Act ?

Toutes les entreprises qui développent, déploient ou utilisent des systèmes d'IA dans l'UE, ou dont les produits affectent des utilisateurs européens. Les PME bénéficient de dispositions allégées mais restent soumises aux interdictions absolues (Article 5) et aux obligations de transparence.

Quelles sont les sanctions pour non-conformité à l'AI Act ?

Jusqu'à 35 M€ ou 7 % du CA pour les pratiques interdites (Article 5). Jusqu'à 15 M€ ou 3 % du CA pour les systèmes à haut risque non conformes. Jusqu'à 7,5 M€ ou 1 % du CA pour les informations incorrectes transmises aux autorités.

Formez vos équipes à l'AI Act avec AutomationDataCamp

Notre formation Conformité IA & AI Act (45h, certifiante, CPF éligible) couvre l'intégralité du règlement en microlearning, avec des modules de 3 à 7 minutes pour un taux de complétion visé de 80 %+.

Voir la formation

Équipe ADC — Experts Conformité IA

AutomationDataCamp · Experts AI Act & RGPD · +10 ans d'expérience

Spécialistes en conformité IA, AI Act et réglementation européenne — accompagnement des entreprises dans leur mise en conformité avant août 2026. Découvrir l'équipe ?