Business 17.07.2026

IA Act : obligations des entreprises et calendrier de mise en conformité en 2026

Eric Brasseur
ia-act-entreprise-obligations
INDEX +
  • L'IA Act europeen est entre en vigueur en aout 2024 avec un calendrier progressif : les premieres obligations contraignantes s'appliquent depuis fevrier 2025
  • La grande majorite des systemes IA utilises en entreprise sont classes a risque limite ou minimal et ont peu d'obligations formelles
  • Les systemes IA haut risque (RH, credit, sante, infrastructures critiques) sont soumis aux obligations les plus lourdes : documentation, audit, supervision humaine
  • Les sanctions peuvent atteindre 35 millions d'euros ou 7 % du chiffre d'affaires mondial pour les violations les plus graves
  • Pour etre accompagne dans votre mise en conformite IA Act, consultez YouFeel - Agences IA

Sommaire : L'IA Act en bref · Le calendrier d'application · Les categories de risque · Les obligations par categorie · Se mettre en conformite · Les sanctions · FAQ

Etre accompagne dans votre conformite IA Act

Mise en relation gratuite · Sans engagement · Reponse sous 24h



En soumettant ce formulaire, vous acceptez notre politique de confidentialite.

Aout 24
entree en vigueur de l'IA Act europeen
35M€
sanction maximale pour les violations les plus graves
4 niveaux
de risque selon l'IA Act : interdit, haut risque, risque limite, risque minimal

L'IA Act europeen : ce que c'est et qui est concerne

Le reglement europeen sur l'intelligence artificielle (IA Act, reglement UE 2024/1689) est entre en vigueur le 1er aout 2024. C'est le premier cadre reglementaire complet au monde sur l'IA, adopte par l'Union europeenne pour encadrer le developpement et l'utilisation des systemes IA dans un objectif de protection des droits fondamentaux, de securite et de confiance.

L'IA Act s'applique de maniere extraterritoriale : tout systeme IA deploye dans l'Union europeenne est concerne, qu'il soit developpe par une entreprise europeenne ou non. Une PME française qui deploie un outil IA americain dans ses processus est soumise a l'IA Act. Un editeur americain qui vend un logiciel IA en Europe doit respecter l'IA Act.

Qui est soumis a l'IA Act ? Deux categories d'acteurs sont principalement visees. Les fournisseurs (providers) : toute entreprise qui developpe et met sur le marche un systeme IA, qu'elle soit editeur de logiciels, startup IA ou grande entreprise tech. Les deployeurs (deployers) : toute entreprise qui utilise un systeme IA fourni par un tiers dans ses processus professionnels. La grande majorite des entreprises françaises sont des deployeurs, pas des fournisseurs. Les obligations different selon ce statut.

Le calendrier progressif de l'IA Act

Date Ce qui entre en application
1er aout 2024 Entree en vigueur du reglement
2 fevrier 2025 Interdiction des pratiques IA inacceptables (manipulation subliminale, scoring social, reconnaissance faciale en temps reel dans l'espace public sauf exceptions)
2 aout 2025 Obligations pour les modeles IA a usage general (GPAI) dont les LLM comme GPT, Claude, Gemini, Mistral
2 aout 2026 Obligations pour les systemes IA haut risque (recrutement, credit, sante, securite) et les systemes IA dans les produits reglements
2 aout 2027 Obligations pour les systemes IA haut risque integres dans des produits relevant d'autres directives sectorielles

En 2026, les entreprises francaises sont donc deja soumises aux interdictions (depuis fevrier 2025) et doivent se preparer activement aux obligations haut risque qui entrent en application en aout 2026.

Les 4 categories de risque de l'IA Act

Niveau 1 : Risque inacceptable (interdit)

Ces systemes sont purement et simplement interdits dans l'UE. La liste inclut : les systemes de manipulation subliminale qui exploitent les failles psychologiques des personnes, les systemes d'exploitation des vulnerabilites de groupes specifiques (enfants, personnes agees, handicapees), les systemes de scoring social par les autorites publiques, la reconnaissance biometrique en temps reel dans l'espace public par les forces de l'ordre (sauf exceptions tres encadrees), et les systemes qui inferent des emotions dans des contextes professionnels ou educatifs (sauf exceptions medicales ou securite).

Niveau 2 : Risque eleve (haut risque)

Ces systemes sont autorises mais soumis aux obligations les plus strictes. Deux categories : les systemes IA integres dans des produits soumis a des legislations sectorielles (dispositifs medicaux, vehicules, jouets, machines), et les systemes IA autonomes dans des domaines specifiques. Pour cette seconde categorie, l'Annexe III de l'IA Act liste 8 domaines : biometrie, infrastructures critiques, education, emploi, services essentiels (credit, assurance), maintien de l'ordre, migration et asile, administration de la justice.

Niveau 3 : Risque limite

Principalement les systemes IA qui interagissent directement avec des humains : chatbots, systemes de generation de contenu, deepfakes. L'obligation principale est la transparence : les utilisateurs doivent etre informes qu'ils interagissent avec une IA, pas avec un humain. Le contenu genere par IA doit etre marque comme tel (sauf exceptions artistiques).

Niveau 4 : Risque minimal

La grande majorite des systemes IA tombent dans cette categorie : filtres antispam, IA dans les jeux videos, systemes de recommandation de contenus, outils de productivite IA. Aucune obligation specifique sous l'IA Act, mais les autres reglementations (RGPD, droit de la concurrence) continuent de s'appliquer.

Comment qualifier votre systeme IA ? La qualification n'est pas toujours evidente. Un outil IA de recrutement qui score les CV est haut risque. Un outil IA qui aide les RH a rediger des annonces d'emploi est a risque minimal. Un chatbot de service client est a risque limite (obligation de transparence). Un systeme IA qui aide a decider de l'octroi d'un credit est haut risque. En cas de doute sur la qualification d'un systeme specifique, une analyse juridique par un cabinet specialise est recommandee.

Les obligations par categorie de risque

Pour les systemes haut risque (deployeurs)

En tant que deployeur d'un systeme IA haut risque, vos obligations principales sont :

  • Utiliser uniquement des systemes conformes IA Act : vous ne pouvez deployer que des systemes IA haut risque qui ont ete valides par leur fournisseur selon les procedures IA Act
  • Supervision humaine effective : mettre en place une supervision humaine reelle sur les decisions issues du systeme IA. Pas une supervision nominale mais une veritable capacite d'intervention et de correction humaine
  • Formation des operateurs : les personnes qui utilisent le systeme IA haut risque doivent etre formees a son fonctionnement, ses limites et les procedures de supervision
  • Monitoring en production : surveiller les performances du systeme en production et signaler les incidents graves a l'autorite nationale competente
  • Conservation des logs : conserver les logs de fonctionnement du systeme pendant la duree minimale prevue par la reglementation
  • Evaluation des droits fondamentaux : avant tout deploiement d'un systeme haut risque, realiser une evaluation de l'impact sur les droits fondamentaux (FRIA - Fundamental Rights Impact Assessment)

Pour les systemes a risque limite (chatbots et IA generative)

  • Informer les utilisateurs qu'ils interagissent avec une IA (pas un humain)
  • Marquer le contenu genere par IA comme tel (watermarking ou mention explicite)
  • Pour les deep fakes : informer que le contenu est artificiel sauf contexte artistique clairement etabli

Pour les fournisseurs de modeles IA a usage general (GPAI)

Les fournisseurs de modeles GPAI (dont les LLM comme GPT-4, Claude, Gemini, Mistral) ont des obligations specifiques entrees en vigueur en aout 2025 : documentation technique detaillee, politique d'utilisation acceptable, respect du droit d'auteur, resume des donnees d'entrainement. Pour les modeles GPAI a risque systemique (les plus puissants), des obligations supplementaires s'ajoutent : evaluation adversariale, notification a la Commission europeenne, protection contre les risques systemiques.

Se mettre en conformite : les etapes pratiques

Etape 1 : Inventorier vos systemes IA

La premiere etape est d'inventorier tous les systemes IA utilises dans votre organisation : outils achetes aupres d'editeurs tiers (CRM avec IA, ATS, systemes de scoring), systemes IA developpes en interne, LLM et outils d'IA generative utilises par les collaborateurs. Cet inventaire est la base de votre demarche de conformite.

Etape 2 : Qualifier chaque systeme selon les categories de risque

Pour chaque systeme inventorie, determiner sa categorie de risque IA Act. La question cle : ce systeme est-il utilise dans l'un des 8 domaines listes dans l'Annexe III (biometrie, education, emploi, credit, sante, securite, migration, justice) ? Si oui, une analyse plus fine est necessaire pour determiner s'il remplit les criteres du haut risque.

Etape 3 : Mettre en place les obligations pour chaque categorie

Une fois la qualification etablie, mettre en oeuvre les obligations correspondantes. Pour les systemes haut risque : documentation, formation des operateurs, supervision humaine, monitoring. Pour les chatbots et IA generative : information des utilisateurs, marquage des contenus. Pour les systemes a risque minimal : aucune obligation specifique IA Act mais veiller a la conformite RGPD.

Etape 4 : Former les equipes et mettre a jour les contrats

Former les DPO, les juristes et les responsables SI sur les obligations IA Act. Revoir les contrats avec les fournisseurs de systemes IA haut risque pour s'assurer qu'ils vous fournissent la documentation de conformite requise (declaration de conformite, notice d'utilisation, logs). Mettre a jour les politiques internes d'utilisation de l'IA.

L'IA Act et le RGPD : une relation complementaire : l'IA Act et le RGPD se completent. Le RGPD protege les donnees personnelles. L'IA Act protege contre les risques specifiques des systemes IA. Un systeme IA haut risque qui traite des donnees personnelles est soumis aux deux reglementations simultanement. La bonne nouvelle : les competences RGPD de votre DPO sont directement reutilisables pour la conformite IA Act, et les processus DPIA (Data Protection Impact Assessment) sont tres proches de la FRIA (Fundamental Rights Impact Assessment) exigee pour les systemes haut risque.

Les sanctions prevues par l'IA Act

Type de violation Sanction maximale
Utilisation d'un systeme IA interdit (risque inacceptable) 35 millions d'euros ou 7 % du CA mondial annuel (le plus eleve des deux)
Non-conformite pour un systeme haut risque 15 millions d'euros ou 3 % du CA mondial annuel
Fourniture d'informations inexactes aux autorites 7,5 millions d'euros ou 1,5 % du CA mondial annuel
Violation des obligations de transparence 15 millions d'euros ou 3 % du CA mondial annuel

Pour les PME et startups, les sanctions sont proportionnees : le reglement prevoit explicitement de tenir compte de la taille de l'entreprise et de ses ressources financieres. Les autorites nationales auront une marge d'appreciation pour adapter les sanctions aux petites structures.

FAQ - IA Act obligations entreprise

Mon entreprise utilise ChatGPT ou Claude : suis-je soumis a l'IA Act ?
En tant que deployeur d'un outil d'IA generative (risque limite), vous avez une obligation de transparence vis-a-vis de vos utilisateurs si ces outils interagissent avec des tiers (clients, usagers). Si vous utilisez ces outils uniquement en interne pour augmenter la productivite de vos collaborateurs, les obligations sont minimales. En revanche, si vous integrez un LLM dans un produit ou service que vous commercialisez, vous devenez potentiellement fournisseur au sens de l'IA Act, ce qui engendre des obligations supplementaires.
Mon systeme IA de scoring de credit est-il systematiquement haut risque ?
Oui selon l'Annexe III de l'IA Act. Les systemes IA utilises pour evaluer la solvabilite des personnes physiques ou classer le risque credit des personnes physiques sont explicitement listes comme haut risque. Cette classification s'applique que le scoring soit realise par votre systeme propre ou par un systeme tiers que vous deployez. Les obligations haut risque (supervision humaine, documentation, monitoring) s'appliquent a partir d'aout 2026.
Quelle est l'autorite française competente pour l'IA Act ?
La France a designe la CNIL comme autorite nationale de surveillance pour les aspects lies aux donnees personnelles, et plusieurs autres autorites sectorielles selon les domaines (ACPR pour la finance, ANSM pour la sante, etc.). Une coordination nationale est en cours de structuration pour assurer une application coherente de l'IA Act en France. La CNIL a deja publie des ressources d'orientation sur son site pour aider les entreprises a comprendre leurs obligations.
Comment trouver une agence pour accompagner la conformite IA Act de mon entreprise ?
Le guide YouFeel agences IA recense les agences et cabinets français proposant des services d'accompagnement a la conformite IA Act, combinant expertise juridique et expertise IA.

Youfeel.fr – Tous droits réservés.