top of page
Rechercher

AI Act : ce que doit faire concrètement une Direction IA avant août 2026

  • Photo du rédacteur: Malak Lebbar
    Malak Lebbar
  • il y a 1 jour
  • 6 min de lecture

Le 2 août 2026, la majorité des obligations de l'AI Act sont censées entrer en vigueur. Pour les grandes entreprises qui gèrent des dizaines de systèmes IA en production, ce n'est plus une échéance abstraite. Mais le calendrier est en train d'évoluer, et comprendre exactement ce qui se joue au niveau européen est devenu indispensable pour piloter correctement sa trajectoire de conformité.


Ce que l'AI Act change réellement pour les grandes entreprises


L'AI Act n'est pas uniquement un texte qui concerne les développeurs de modèles IA. Il s'applique aussi et surtout aux déployeurs : les organisations qui utilisent des systèmes IA tiers dans leurs opérations. La grande majorité des entreprises françaises se trouvent dans cette situation sans toujours en avoir conscience.


La conformité ne se limite pas à l'adoption d'une charte interne. Elle suppose la production de preuves vérifiables : dossiers techniques, tests, journaux d'activité, procédures, et mesures de protection.

Le calendrier officiel, tel qu'il s'applique aujourd'hui, est le suivant :


  • Février 2025 : Interdiction des systèmes à risque inacceptable (IA manipulatrices, scoring social)

  • Août 2025 : Obligations pour les modèles GPAI et mise en place du cadre de gouvernance européen

  • Août 2026 : Application complète pour les systèmes à haut risque et obligations de transparence

  • Août 2027 : Extension aux systèmes intégrés à des produits réglementés



Le point sur l'Omnibus : un report probable, mais pas encore acté


C'est l'information qui change tout l'équation de conformité de 2026, et pourtant elle reste mal comprise par beaucoup de Direction IA.


L'Omnibus numérique sur l'IA est un paquet d'amendements adopté par les commissions IMCO et LIBE du Parlement européen le 18 mars 2026. Il propose de reporter l'application des obligations sur les systèmes d'IA à haut risque d'août 2026 à décembre 2027, pour tenir compte des retards dans la publication des normes harmonisées européennes. Il ne modifie pas le fond du règlement IA, il ajuste uniquement son calendrier.

Le Parlement européen propose concrètement de repousser l'application des règles sur les systèmes d'IA à haut risque de l'Annexe III du 2 août 2026 au 2 décembre 2027, soit un report de seize mois. Pour les systèmes de l'Annexe I, la date passerait du 2 août 2027 au 2 août 2028.


La raison invoquée est pragmatique : les normes harmonisées nécessaires pour guider les entreprises, développées par le comité technique CEN-CENELEC JTC 21, ne seront pas disponibles avant fin 2026 au plus tôt.


Mais, et c'est le point critique, ce report n'est pas encore acté.

Le vote du 18 mars est une étape, pas la ligne d'arrivée. Les trilogues entre Parlement, Conseil et Commission doivent encore s'ouvrir au printemps 2026. L'adoption finale n'est pas attendue avant mi-2026. Août 2026 reste la date légale jusqu'à adoption définitive.


Ce que cela signifie pour une Direction IA

Le bon réflexe n'est ni d'ignorer août 2026, ni de considérer qu'un report éventuel réglerait le problème. Le bon réflexe est de piloter en scénarios : garder le 2 août 2026 comme cap de référence, tout en construisant une trajectoire suffisamment robuste pour absorber les ajustements éventuels du calendrier.

Ce qui ne change pas, quelle que soit l'issue de l'Omnibus : les obligations de transparence, de gestion des risques, de gouvernance des données et de documentation restent le socle de l'AI Act. Ce sont les délais et les seuils d'application qui évoluent, pas les exigences de fond.


Les 4 niveaux de risque : de quoi parle-t-on concrètement ?


L'AI Act classe chaque système IA selon son niveau de risque. Pour une Direction IA, l'enjeu est de savoir où se situent ses projets.


Risque inacceptable : Interdit depuis février 2025

Scoring social, manipulation comportementale, reconnaissance faciale en temps réel dans les espaces publics. Si un projet de votre portefeuille entre dans cette catégorie, il doit avoir été arrêté, l'Omnibus ne modifie pas ces interdictions.


Haut risque : Obligations lourdes (août 2026 ou décembre 2027 selon l'Omnibus)

C'est ici que se concentre l'essentiel de l'effort. Sont classés à haut risque les systèmes IA utilisés dans le recrutement, l'évaluation des collaborateurs, le scoring crédit, la détection de fraude, la santé, l'éducation, la justice. Les obligations incluent : l'inscription dans la base de données européenne, l'obtention d'un marquage CE, un système de gestion des risques documenté, une documentation complète garantissant traçabilité, et la mise en œuvre d'un contrôle humain avant mise en service.


Risque limité : Obligation de transparence

Chatbots, systèmes génératifs. Informer l'utilisateur qu'il interagit avec une IA. Ces obligations restent applicables à partir d'août 2026 indépendamment de l'Omnibus.


Risque minimal : Aucune obligation spécifique

Filtres anti-spam, moteurs de recommandation génériques. Libre usage.


La checklist pratique pour une Direction IA


Étape 1 : Cartographier le portefeuille IA


Les obligations de mise en conformité s'appliquent à chaque système d'IA et non à l'entreprise dans son ensemble. Il est donc conseillé de réaliser une cartographie de tous les systèmes d'IA existants, y compris les projets en développement ou à venir.


En pratique : recenser chaque initiative IA dans un référentiel unique : nom du système, cas d'usage, entité concernée, stade d'avancement, fournisseur ou développement interne.


Signal d'alerte : si vous ne pouvez pas produire cette cartographie en moins d'une heure, vous avez un problème d'outillage avant d'avoir un problème de conformité.


Étape 2 : Qualifier le niveau de risque de chaque système


Pour chaque système recensé, déterminer sa catégorie selon l'AI Act. Deux critères principaux guident cette évaluation : le secteur d'activité et les cas d'utilisation concrets, certains systèmes classés à haut risque dans leur catégorie peuvent ne pas l'être selon leur usage précis. Cette qualification doit être documentée et traçable.


Étape 3 : Identifier votre rôle pour chaque système


La plupart des entreprises se pensent simples utilisatrices et donc peu concernées. C'est faux : en tant que déployeur, elles ont des responsabilités opérationnelles réelles, notamment si le système impacte leurs salariés ou leurs clients.

Si vous achetez une solution RH intégrant de l'IA pour le recrutement, vous êtes déployeur avec les obligations qui vont avec.


Étape 4 : Structurer la gouvernance et la traçabilité des décisions


C'est l'angle mort le plus fréquent. Les systèmes à haut risque exigent une documentation des décisions de gouvernance : qui a validé le passage en production ? Sur quelle base d'évaluation des risques ? Avec quelles parties prenantes (DPO, RSSI, Conformité) ? Sans traçabilité formalisée, un contrôle réglementaire devient un risque réel.


Étape 5 : Former les équipes (AI Literacy)


L'Omnibus prévoit un allègement de l'obligation d'AI Literacy telle qu'initialement formulée, mais le principe reste dans le texte. Former les équipes qui déploient ou opèrent des systèmes IA à comprendre leurs implications et leurs limites n'est pas optionnel, c'est une exigence réglementaire de fond.


Ce qu'il faut retenir


Trois questions à se poser aujourd'hui :


  1. Avez-vous une cartographie complète de tous vos systèmes IA en production et en développement ?

  2. Savez-vous lesquels sont classés à haut risque selon l'AI Act ?

  3. Pouvez-vous produire la documentation de gouvernance de ces systèmes en cas de contrôle ?

     

Le calendrier est incertain, mais les obligations de fond, elles, ne le sont pas. Cartographie, qualification des risques, traçabilité des décisions : ce travail est nécessaire quelle que soit la date d'application finale. Et il prend du temps. Commencer maintenant, c'est s'offrir la flexibilité d'absorber les évolutions réglementaires à venir, pas courir après elles.


Questions fréquentes sur l'AI Act pour les grandes entreprises


Mon entreprise n'est pas éditeur de solutions IA. L'AI Act nous concerne-t-il quand même ?

Oui. L'AI Act s'applique aussi aux déployeurs, c'est-à-dire aux organisations qui utilisent des systèmes IA développés par des tiers dans leurs opérations. Une entreprise qui utilise un outil RH intégrant de l'IA pour le recrutement est déployeur au sens du règlement et supporte des obligations réglementaires à ce titre.

Qu'est-ce qu'un système IA à haut risque selon l'AI Act ?

Un système IA est classé à haut risque lorsqu'il est utilisé dans des domaines sensibles listés à l'Annexe III du règlement : recrutement, évaluation des collaborateurs, scoring crédit, détection de fraude, santé, éducation ou justice. Ces systèmes sont soumis à des obligations de documentation, d'enregistrement dans une base de données européenne, de gestion des risques et de contrôle humain avant mise en service.

L'Omnibus reporte-t-il toutes les obligations de l'AI Act ?

Non. L'Omnibus numérique sur l'IA, adopté en commission au Parlement européen le 18 mars 2026, propose uniquement de reporter l'application des règles sur les systèmes à haut risque d'août 2026 à décembre 2027. Les interdictions (risque inacceptable) et les obligations de transparence restent applicables selon le calendrier initial. Et ce report n'est pas encore définitivement adopté à ce jour.

Par où commencer pour se mettre en conformité avec l'AI Act ?

La première étape est la cartographie de tous les systèmes IA en production et en développement dans l'entreprise. Sans ce recensement, il est impossible de qualifier les niveaux de risque ou de prioriser les actions de mise en conformité. C'est aussi le prérequis à toute démarche de gouvernance IA documentée.


Vous pilotez un portefeuille IA en croissance et souhaitez intégrer le suivi AI Act directement dans votre pilotage de programme ? Découvrez comment Praxia Lifecycle centralise la cartographie, la qualification des risques et la traçabilité des décisions dans un environnement unique.



Commentaires

bottom of page