EU AI Act 2026 : guide pratique complet pour les entreprises françaises

Qu'est-ce que l'EU AI Act ?

Le Règlement (UE) 2024/1689 du Parlement européen et du Conseil, dit EU AI Act, est entré en vigueur le 1er août 2024. Il constitue le premier cadre juridique contraignant au monde entièrement dédié à l'intelligence artificielle. Son objectif est double : garantir la sécurité et les droits fondamentaux des personnes exposées aux systèmes IA, tout en préservant la compétitivité et l'innovation en Europe.

Le règlement adopte une approche fondée sur le risque : plus un système IA est susceptible de causer des dommages graves, plus les obligations sont élevées. Il ne s'applique pas à l'IA utilisée exclusivement à des fins militaires ou de sécurité nationale, ni à la recherche et au développement purs, mais couvre l'immense majorité des usages professionnels et commerciaux.

Contrairement au RGPD qui se concentre sur les données personnelles, l'EU AI Act encadre les systèmes IA eux-mêmes — leur conception, leur déploiement, leur utilisation. Il s'applique à quatre catégories d'acteurs : les fournisseurs (qui développent et mettent sur le marché), les déployeurs (qui utilisent les systèmes IA dans un contexte professionnel), les importateurs et les distributeurs.

Calendrier d'application 2024-2027

L'EU AI Act n'entre pas en vigueur d'un bloc. Il suit un calendrier progressif étalé sur trois ans, ce qui laisse du temps aux entreprises pour s'adapter — à condition de ne pas attendre la dernière minute.

Date	Ce qui s'applique	Qui est concerné
1er août 2024	Entrée en vigueur du règlement. Début du délai de mise en conformité.	Tous les acteurs
2 février 2025	Interdiction des pratiques IA à risque inacceptable (manipulation, notation sociale, reconnaissance biométrique en temps réel dans les espaces publics…)	Fournisseurs, déployeurs
2 août 2025	Obligations pour les modèles d'IA à usage général (GPAI) et les modèles à risque systémique. Les codes de pratique GPAI entrent en vigueur.	Fournisseurs de GPAI (OpenAI, Mistral, Google…)
2 août 2026	Application des obligations pour les systèmes IA à risque élevé (Annexes III). Obligations de transparence pour les systèmes à risque limité.	Fournisseurs et déployeurs de systèmes HR, crédit, biométrie, infrastructure critique…
2 août 2027	Application complète, y compris systèmes IA embarqués dans des produits couverts par des directives sectorielles (dispositifs médicaux, machines, véhicules…)	Fabricants et importateurs de produits physiques

Classification des systèmes IA

Le cœur de l'EU AI Act est sa pyramide de risques. Chaque système IA que vous développez ou utilisez doit être classifié selon l'un des quatre niveaux suivants. Cette classification détermine l'intégralité de vos obligations.

Niveau 1 — Risque inacceptable (interdit)

Ces pratiques sont totalement interdites depuis le 2 février 2025. Aucune dérogation n'est possible :

• Systèmes de manipulation subliminale ou exploitant des vulnérabilités psychologiques
• Systèmes de notation sociale (social scoring) par les autorités publiques
• Identification biométrique en temps réel dans les espaces publics (sauf exceptions policières encadrées)
• Systèmes d'inférence des émotions au travail ou dans l'éducation
• Catégorisation biométrique selon des caractéristiques sensibles (race, religion, opinions politiques…)
• Collecte non ciblée d'images faciales pour bases de données de reconnaissance
• Évaluation prédictive du risque criminel basée uniquement sur le profilage

Niveau 2 — Risque élevé (obligations lourdes)

Ce sont les systèmes qui présentent un risque significatif pour la santé, la sécurité ou les droits fondamentaux. Deux catégories :

Catégorie A — Systèmes IA composants de produits soumis à des législations sectorielles (dispositifs médicaux, machines, véhicules, jouets, ascenseurs…)

Catégorie B — Systèmes IA listés à l'Annexe III du règlement :

• Biométrie (identification, catégorisation, détection d'émotions)
• Infrastructure critique (eau, gaz, électricité, transport, finances)
• Éducation (admission, évaluation, orientation)
• Emploi (recrutement, promotion, licenciement, évaluation de performance)
• Services essentiels (crédit, assurance, prestations sociales)
• Application de la loi (polygraphes, évaluation de fiabilité, profilage)
• Migration et asile
• Administration de la justice

Niveau 3 — Risque limité (obligations de transparence)

Ces systèmes sont autorisés mais doivent informer les utilisateurs qu'ils interagissent avec une IA :

• Chatbots et assistants conversationnels
• Systèmes générant des deepfakes ou du contenu synthétique
• Systèmes de détection des émotions (hors usage professionnel ou éducatif)

Niveau 4 — Risque minimal (libre)

La grande majorité des applications IA tombe dans cette catégorie : filtres anti-spam, recommandations de contenus, jeux vidéo, IA d'optimisation logistique standard, outils de productivité bureautique. Aucune obligation spécifique EU AI Act — mais le RGPD reste applicable si des données personnelles sont traitées.

Niveau	Exemples concrets	Obligations principales	Sanction max
Inacceptable	Social scoring, manipulation subliminale	Interdiction totale	35 M€ / 7 % CA
Élevé	IA RH, scoring crédit, IA médicale	Évaluation conformité, documentation, supervision humaine, enregistrement	15 M€ / 3 % CA
Limité	Chatbots, deepfakes	Information de l'utilisateur	7,5 M€ / 1,5 % CA
Minimal	Filtre spam, recommandations	Aucune (RGPD si données perso)	—

Obligations pour les déployeurs

Un déployeur est toute entité (entreprise, administration) qui utilise un système IA à risque élevé dans le cadre de ses activités professionnelles — sans nécessairement l'avoir développé. C'est la situation de la grande majorité des entreprises françaises qui achètent ou intègrent des solutions IA tierces.

Obligations générales des déployeurs

• Vérification de conformité : S'assurer que le fournisseur a effectué l'évaluation de conformité requise (marquage CE pour les systèmes à risque élevé de catégorie A, déclaration de conformité UE).
• Usage conforme à la destination : Utiliser le système IA uniquement conformément aux instructions du fournisseur. Toute utilisation hors de la destination prévue peut faire basculer le déployeur dans le statut de fournisseur avec obligations renforcées.
• Supervision humaine : Mettre en place des mesures de supervision humaine adéquates. Pour les systèmes à risque élevé, une personne compétente doit pouvoir comprendre, surveiller et intervenir sur le système.
• Information des personnes concernées : Informer les individus lorsqu'ils sont soumis à une décision automatisée basée sur un système IA à risque élevé.
• Registre des systèmes IA : Tenir un registre de tous les systèmes IA à risque élevé utilisés, avec journaux de logs.
• Signalement des incidents : Notifier les incidents graves et les comportements inattendus au fournisseur et aux autorités compétentes.

Obligations spécifiques pour les déployeurs d'IA en RH

Les systèmes IA utilisés dans le recrutement, l'évaluation ou la gestion des employés sont classés à risque élevé. Le déployeur doit :

• Réaliser une analyse d'impact sur les droits fondamentaux avant déploiement
• Consulter les représentants du personnel (obligation renforcée en France par le droit du travail)
• Informer chaque candidat ou employé concerné de l'usage d'un système IA
• Garantir le droit à une explication de toute décision défavorable

Obligations pour les fournisseurs

Un fournisseur développe un système IA à risque élevé et le met sur le marché — y compris pour usage interne si l'entreprise exploite ce système pour des tiers ou dans des domaines à risque élevé. Les obligations sont significativement plus lourdes que pour les déployeurs.

Obligations techniques et de conception

• Gestion des données d'entraînement : Les données utilisées pour l'entraînement, la validation et le test doivent être pertinentes, représentatives, exemptes d'erreurs et complètes. Les biais potentiels doivent être identifiés et corrigés.
• Documentation technique : Rédiger et maintenir une documentation technique exhaustive (voir section Documentation).
• Tenue de journaux (logs) : Le système doit être capable de journaliser automatiquement ses opérations avec une granularité suffisante pour garantir la traçabilité.
• Transparence et information : Fournir aux déployeurs une documentation claire sur les capacités, limites, conditions d'utilisation et mesures de supervision requises.
• Supervision humaine by design : Concevoir le système de façon à permettre une supervision humaine effective — arrêt d'urgence, overrides manuels, indicateurs d'alerte.
• Précision, robustesse et cybersécurité : Le système doit atteindre un niveau approprié de précision, être robuste aux erreurs et résistant aux manipulations adversariales.

Procédure d'évaluation de conformité

Avant toute mise sur le marché, le fournisseur doit conduire une évaluation de conformité selon une procédure dépendant du type de système :

• Auto-évaluation : Pour la plupart des systèmes à risque élevé de l'Annexe III (recrutement, crédit, éducation…), le fournisseur peut conduire lui-même l'évaluation sur la base des exigences du règlement.
• Évaluation par tierce partie : Obligatoire pour les systèmes biométriques et ceux relevant de l'Annexe III dans les domaines de l'application de la loi et de la migration.

À l'issue de l'évaluation positive, le fournisseur établit une Déclaration de Conformité UE et appose le marquage CE.

Documentation et registre

L'EU AI Act impose une culture documentaire rigoureuse. C'est l'un des aspects les plus chronophages pour les équipes techniques et juridiques.

Documentation technique du fournisseur (Art. 11 + Annexe IV)

La documentation technique doit couvrir :

• Description générale du système IA et de son objectif prévu
• Description des éléments du système et de leur interaction (architecture, modèles utilisés, données d'entraînement)
• Processus de développement et d'entraînement
• Métriques de performance et limites connues
• Données d'entraînement, validation et test : sources, caractéristiques, méthodes de prétraitement
• Mesures de supervision humaine
• Mesures de cybersécurité
• Déclaration de conformité UE

Instructions d'utilisation pour le déployeur

Le fournisseur doit fournir au déployeur :

• L'identité et les coordonnées du fournisseur
• Les caractéristiques, capacités et limites du système
• Les modifications apportées par rapport à des versions antérieures
• Les mesures de supervision humaine requises
• Les caractéristiques des données d'entrée
• Les indicateurs de performance et seuils d'acceptabilité
• Les mesures de maintenance préventive

Registre EU de la base de données des systèmes IA

Les systèmes IA à risque élevé relevant de l'Annexe III doivent être enregistrés dans la base de données EU gérée par la Commission européenne, avant leur mise sur le marché. Pour les déployeurs d'organismes publics, l'enregistrement est également obligatoire.

Journaux d'événements (logs)

Les systèmes à risque élevé doivent générer des logs permettant de :

• Identifier les périodes de fonctionnement
• Suivre les données d'entrée (avec référence ou hash si non stockage)
• Tracer les décisions et les chaînes de traitement
• Identifier les personnes responsables de la supervision

Conservation minimale des logs : 6 mois pour les déployeurs, plus longue durée si requise par d'autres réglementations sectorielles.

Lien RGPD et NIS2

L'EU AI Act ne se substitue pas au RGPD ni à NIS2 — il s'y superpose. Les entreprises doivent gérer une conformité multi-couches. Voici comment les trois règlements interagissent.

EU AI Act et RGPD

Aspect	RGPD	EU AI Act	Interaction
Objet	Données personnelles	Systèmes IA	L'IA qui traite des données perso relève des deux
Base légale	6 bases légales (consentement, intérêt légitime…)	Classification par risque	La base légale RGPD ne dispense pas des obligations AI Act
Décisions automatisées	Art. 22 : droit à ne pas faire l'objet d'une décision 100% automatisée	Obligations de supervision humaine pour IA risque élevé	Convergence forte — supervision AI Act satisfait souvent l'Art. 22
Documentation	Registre de traitement (ROPA)	Documentation technique + registre IA	À synchroniser — un système IA doit apparaître dans les deux
Analyse d'impact	AIPD (Art. 35) pour traitements à risque élevé	Évaluation de conformité + analyse d'impact droits fondamentaux	Conduire conjointement — économie de ressources
DPO	Obligatoire si traitement à grande échelle ou sensible	Pas d'équivalent direct, mais rôle de gouvernance nécessaire	Le DPO doit être impliqué dans la classification IA

EU AI Act et NIS2

NIS2 (transposée en droit français par la loi du 17 octobre 2024) impose des obligations de cybersécurité aux entités essentielles et importantes. L'EU AI Act exige que les systèmes IA à risque élevé soient robustes aux cyberattaques. Les synergies sont directes :

• L'analyse de risque cyber NIS2 doit intégrer les systèmes IA comme actifs critiques
• Les incidents affectant un système IA à risque élevé peuvent déclencher simultanément une notification NIS2 (ANSSI) et une notification EU AI Act (autorité nationale compétente)
• Les tests d'intrusion et audits de sécurité NIS2 doivent couvrir les composants IA
• La chaîne d'approvisionnement NIS2 (sécurité des fournisseurs) s'applique aux fournisseurs de systèmes IA

Autorité compétente en France

La France a désigné plusieurs autorités selon les domaines :

• CNIL : Systèmes IA traitant des données personnelles, IA biométrique, IA RH
• ANSSI : Cybersécurité des systèmes IA, coordination NIS2
• Autorité de contrôle sectorielle (AMF, ARS, ACPR…) : Selon le secteur concerné
• Bureau de l'IA (AI Office européen) : Modèles GPAI et risques systémiques

Sanctions et contrôles

L'EU AI Act dispose d'un régime de sanctions parmi les plus sévères du droit européen. La logique est similaire au RGPD : les montants sont calibrés pour être dissuasifs même pour les grandes entreprises.

Type de violation	Amende personne morale	Amende PME / startup
Pratiques interdites (risque inacceptable)	35 M€ ou 7 % CA mondial	7,5 M€ ou 7 % CA
Non-conformité systèmes à risque élevé, GPAI, obligations données	15 M€ ou 3 % CA mondial	3,75 M€ ou 3 % CA
Informations inexactes ou trompeuses aux autorités	7,5 M€ ou 1,5 % CA mondial	1,875 M€ ou 1,5 % CA

Les personnes physiques (dirigeants, responsables techniques) peuvent également être sanctionnées dans le cadre du droit national. En France, la responsabilité pénale des personnes morales et physiques peut s'ajouter aux amendes administratives.

Mécanismes de contrôle

• Autorités de surveillance nationales : Chaque État membre désigne une ou plusieurs autorités. En France, la CNIL dispose déjà de pouvoirs d'inspection et d'investigation.
• AI Office européen : Supervise les modèles GPAI et peut conduire des enquêtes transfrontalières.
• Contrôles sur pièces et sur place : Les autorités peuvent demander l'accès à la documentation technique, aux logs, aux systèmes en production.
• Signalement par des tiers : Toute personne peut signaler une violation présumée. Les lanceurs d'alerte bénéficient des protections de la directive européenne sur le sujet.

Checklist conformité EU AI Act

Cette checklist est destinée aux entreprises souhaitant évaluer leur niveau de préparation. Elle s'organise par phase.

Phase 1 — Inventaire et classification (à faire maintenant)

• ☐ Inventorier tous les systèmes IA utilisés (achetés, développés en interne, intégrés via API)
• ☐ Pour chaque système, documenter : fournisseur, usage prévu, données traitées, populations concernées
• ☐ Classifier chaque système selon les 4 niveaux de risque EU AI Act
• ☐ Identifier les systèmes relevant de l'Annexe III (risque élevé automatique)
• ☐ Identifier votre rôle pour chaque système : fournisseur, déployeur, importateur, distributeur
• ☐ Vérifier si des systèmes actuels relèvent des pratiques interdites — les arrêter immédiatement

Phase 2 — Conformité des systèmes à risque élevé (avant août 2026)

• ☐ Pour chaque système à risque élevé, obtenir la documentation technique du fournisseur
• ☐ Vérifier la déclaration de conformité UE ou le marquage CE du fournisseur
• ☐ Mettre en place des procédures de supervision humaine formalisées
• ☐ Configurer la journalisation (logs) selon les exigences du règlement
• ☐ Former les opérateurs humains responsables de la supervision
• ☐ Rédiger les procédures d'information des personnes concernées
• ☐ Enregistrer les systèmes dans la base de données EU (si organisme public)
• ☐ Conduire l'analyse d'impact sur les droits fondamentaux (Art. 27)

Phase 3 — Gouvernance et documentation

• ☐ Créer ou mettre à jour le registre interne des systèmes IA
• ☐ Intégrer les systèmes IA dans le ROPA RGPD existant
• ☐ Désigner un responsable de la conformité IA (peut être le DPO ou un AI Officer)
• ☐ Rédiger une politique interne d'utilisation de l'IA
• ☐ Mettre en place un processus de revue des nouveaux projets IA avant déploiement
• ☐ Définir une procédure de gestion des incidents et signalement aux autorités
• ☐ Mettre en place une veille réglementaire EU AI Act (actes délégués, standards techniques)

Phase 4 — Obligations de transparence (systèmes à risque limité)

• ☐ Identifier tous les chatbots et interfaces conversationnelles déployés
• ☐ Vérifier que chaque chatbot informe clairement l'utilisateur qu'il interagit avec une IA
• ☐ Vérifier que les contenus synthétiques (images, audio, vidéo générés par IA) sont marqués comme tels

Par secteur : cas concrets

Secteur RH — Recrutement et gestion des talents

C'est l'un des secteurs les plus directement concernés par les obligations à risque élevé. Tout système IA utilisé pour trier des CV, scorer des candidats, évaluer des entretiens vidéo ou décider de promotions est classé à risque élevé (Annexe III, point 4).

Obligations clés pour les DRH :

• Informer systématiquement les candidats de l'usage d'un outil IA dans la sélection
• Garantir qu'aucune décision finale d'embauche ou de licenciement ne repose uniquement sur l'IA
• Auditer les biais de l'outil avant déploiement (genre, origine, âge)
• Consulter le CSE avant tout déploiement d'outil IA RH (obligation droit du travail français)
• Conserver les logs de décision 6 mois minimum

Secteur Finance — Crédit et scoring

Les systèmes IA utilisés pour évaluer la solvabilité ou scorer des clients pour l'accès à des services financiers sont à risque élevé. Les banques et établissements de crédit doivent :

• Documenter les variables utilisées dans le modèle de scoring
• Être en mesure d'expliquer tout refus de crédit basé sur une décision IA
• Assurer la reproductibilité des décisions (logs)
• Articuler avec les exigences DORA sur la résilience des systèmes critiques
• S'assurer que le modèle ne discrimine pas sur des critères protégés

Secteur Santé — Aide au diagnostic

Les dispositifs médicaux intégrant de l'IA relèvent de la Catégorie A (produits réglementés), avec certification CE MDR obligatoire en plus de l'EU AI Act. Pour les outils d'aide à la décision médicale non dispositifs médicaux :

• Évaluation clinique obligatoire avant déploiement
• Le médecin doit rester décisionnaire — l'IA est un outil d'aide, jamais de décision finale
• Documentation des données d'entraînement incluant leur représentativité (populations, pathologies)
• Hébergement HDS obligatoire si données de santé (obligation française indépendante)

Secteur Industrie — Systèmes de contrôle

Les systèmes IA intégrés dans des machines, robots industriels ou systèmes de contrôle de processus relèvent souvent de la Catégorie A (directive machines, directive basse tension). En pratique :

• L'évaluation de conformité IA est intégrée au processus CE existant
• Les systèmes IA de surveillance de sécurité (détection de défauts, arrêt d'urgence prédictif) doivent être testés sur des scénarios adversariaux
• La documentation technique doit inclure les conditions environnementales dans lesquelles le système a été validé