AI Act : ce que votre entreprise doit savoir avant le 2 août 2026

Le compte à rebours a commencé

Le 13 juin 2024, l'Union européenne a publié le Règlement (UE) 2024/1689, plus connu sous le nom d'AI Act. C'est la première réglementation au monde à encadrer l'intelligence artificielle de manière globale et contraignante.

Depuis le 2 août 2025, les premières exigences sont effectivement applicables. Et d'ici le 2 août 2026, la grande majorité des systèmes à risque élevé doivent être en conformité.

Si votre entreprise utilise des outils d'IA, déploie des chatbots, recrute via des algorithmes ou exploite des modèles génératifs : ce règlement vous concerne. Directement.

Les 4 niveaux de risque : où se situe votre entreprise ?

L'AI Act classè tous les systèmes d'IA en 4 catégories selon leur niveau de risque pour les droits fondamentaux et la sécurité.

Risque inacceptable : interdit

Ces systèmes sont purement et simplement interdits sur le territoire de l'UE. Exemples :

• Systèmes de notation sociale des citoyens (comme en Chine)
• Reconnaissance faciale en temps réel dans les espaces publics (sauf exceptions de sécurité nationale)
• Systèmes de manipulation comportementale ciblant les vulnérabilités des personnes
• Identification biométrique à distance sans consentement éclairé

Risque élevé : obligations strictes

Ces systèmes sont autorisés, mais soumis à des exigences de conformité lourdes avant tout déploiement. Sont concernés :

• Les outils de présélection de candidats (RH)
• Les systèmes d'évaluation des apprenants dans l'éducation
• Les outils d'aide à la décision en matière de crédit, d'assurance ou de prestations sociales
• Les systèmes utilisés dans les infrastructures critiques (énergie, transport, eau)
• L'IA utilisée dans le contrôle des frontières et la gestion des migrations

Pour ces systèmes, les fournisseurs doivent mettre en place : un système de gestion des risques (article 9), une documentation technique détaillée (article 11), une supervision humaine effective (article 14), et enregistrer leur système dans la base de données de l'UE (article 49).

Risque limité : obligations de transparence

Les chatbots, assistants IA et systèmes générant des deepfakes entrent dans cette catégorie. L'obligation principale : informer l'utilisateur qu'il interagit avec une IA (article 50). Pas question de se faire passer pour un humain sans consentement.

Risque minimal : largement exempté

La grande majorité des usages courants (filtres anti-spam, recommandations de contenu, outils de traduction basiques, jeux vidéo) relève de cette catégorie et reste largement libre de contraintes spécifiques.

Le calendrier : les dates à ne pas rater

Voici la chronologie officielle issue du règlement :

• 13 juin 2024 : publication et entrée en vigueur du règlement
• 2 août 2025 : application des interdictions (systèmes à risque inacceptable) + premières règles sur les modèles d'IA à usage général (GPAI)
• 2 août 2026 : conformité requise pour les systèmes à risque élevé (Annexe III), règles de transparence (article 50), et ouverture des bacs à sable réglementaires dans chaque État membre
• 2 août 2027 : conformité pour les systèmes à risque élevé liés aux produits réglementés (Annexe I)

Les amendes : des montants dissuasifs

L'article 99 du règlement prévoit un barème d'amendes à trois niveaux :

• Jusqu'à 35 millions d'euros ou 7 % du CA mondial annuel pour violation des pratiques interdites
• Jusqu'à 15 millions d'euros ou 3 % du CA pour toute autre infraction au règlement
• Jusqu'à 7,5 millions d'euros ou 1 % du CA pour fourniture d'informations inexactes ou trompeuses aux autorités

Pour les PME et startups, le montant plancher le plus faible des deux seuils s'applique. Mais l'impact reputationnel d'un manquement peut être tout aussi dévastateur que l'amende elle-même.

Ce que votre entreprise doit faire dès maintenant

Quelle que soit la taille de votre structure, l'article 4 impose une obligation d'« alphabétisation en matière d'IA » pour vos collaborateurs. Concrètement :

• Identifier tous les systèmes d'IA utilisés dans votre entreprise et les classifier selon le niveau de risque
• Former vos équipes aux obligations de transparence (savoir quand et comment informer les utilisateurs)
• Mettre en place une documentation de conformité pour les systèmes à risque élevé
• Désigner un référent IA interne ou faire appel à un expert externe
• Vérifier les conditions d'utilisation de vos outils IA tiers (ChatGPT, Gemini, Claude...) : la responsabilité du déployeur reste engagée

Un point souvent sous-estimé : en tant que déployeur (entreprise qui utilise un système d'IA développé par un tiers), vous avez des obligations propres, distinctes de celles du fournisseur. Vous ne pouvez pas simplement vous retrancher derrière les CGU d'un outil.

Besoin d'un accompagnement concret ?

Comprendre le AI Act dans les textes, c'est une chose. L'appliquer à votre contexte spécifique, à vos outils, à vos processus métier, c'en est une autre.

Node it propose une formation animée par Fanny Adoue, avocate spécialisée en droit du numérique, IA et RGPD. L'objectif : sortir de la formation avec une cartographie claire de vos risques, les bons réflexes juridiques, et un plan d'action opérationnel pour votre mise en conformité.

Formation éligible au financement OPCO et CPF.