L'AI Act entre pleinement en vigueur en août 2026. Guide pratique.
La principale échéance de l'AI Act européen tombe le 2 août 2026. Si vous utilisez ChatGPT, un outil de recrutement IA ou toute IA dans votre produit, vous avez des obligations. Voici lesquelles, expliquées pour les CTO, pas pour les juristes.
En resume
L'AI Act classe les systèmes d'IA en quatre niveaux de risque et attribue des obligations en conséquence. Huit pratiques interdites sont déjà en vigueur depuis février 2025. L'échéance majeure est le 2 août 2026, date à laquelle les règles sur les systèmes à haut risque, les exigences de transparence et les amendes jusqu'à 35 millions d'euros ou 7% du CA mondial deviennent pleinement applicables. La plupart des entreprises européennes utilisant des outils IA comme ChatGPT ou Copilot sont des "déployeurs" avec des obligations propres qu'elles ne peuvent pas sous-traiter à leur fournisseur. Les outils IA européens comme Mistral et Aleph Alpha disposent d'un avantage structurel de conformité grâce à leurs modèles open-weight, leur hébergement en UE et l'absence d'exposition au CLOUD Act.
L'AI Act européen est la première réglementation complète sur l'IA au monde. Il est entré en vigueur le 1er août 2024. Les premières règles s'appliquent déjà. L'échéance principale, le 2 août 2026, arrive dans quatre mois.
Si vous utilisez de l'IA dans votre entreprise, vous y êtes probablement déjà soumis. Si vous construisez des produits IA, c'est certain. Et les sanctions sont sérieuses : jusqu'à 35 millions d'euros ou 7% du chiffre d'affaires annuel mondial.
Ceci n'est pas une note juridique. C'est un guide pratique pour les CTO et fondateurs qui utilisent des outils IA et doivent comprendre ce qui change, ce qu'ils doivent faire, et combien de temps il leur reste.
Ce qui est déjà en vigueur
Deux séries de règles s'appliquent depuis le 2 février 2025.
Huit pratiques d'IA sont interdites. Ce ne sont pas des interdictions futures. C'est la loi aujourd'hui. La liste comprend : les systèmes de manipulation subliminale du comportement, l'exploitation des vulnérabilités (âge, handicap), le scoring social par les autorités publiques, la prédiction de risque criminel basée uniquement sur le profilage, le scraping non ciblé d'images faciales pour constituer des bases de données de reconnaissance, la reconnaissance des émotions sur le lieu de travail et dans les écoles, la catégorisation biométrique déduisant la race, la religion ou l'orientation sexuelle, et l'identification biométrique en temps réel dans les espaces publics pour les forces de l'ordre (avec des exceptions étroites).
Des exemples concrets ? Un outil RH qui analyse les expressions faciales des candidats pendant les entretiens vidéo pour évaluer leur "adéquation culturelle" ? Interdit. Un SaaS qui constitue des bases de reconnaissance faciale en scrappant LinkedIn ou Instagram ? Interdit. Un outil de productivité qui surveille l'état émotionnel des employés via leur webcam ? Interdit.
La littératie IA est obligatoire. Toute entreprise utilisant de l'IA, quel que soit le niveau de risque, doit s'assurer que le personnel travaillant avec des systèmes d'IA comprend suffisamment leur fonctionnement, leurs capacités et leurs limites. Pas de certification ou de cursus imposé. Mais les entreprises doivent documenter leurs efforts de formation. Une enquête de l'AI Office en 2024 a révélé que moins de 25% des organisations européennes utilisant l'IA avaient des programmes formels de littératie.
Depuis le 2 août 2025, les fournisseurs de modèles d'IA à usage général (GPT-4, Claude, Mistral Large, Gemini) ont aussi des obligations : documentation technique, conformité au droit d'auteur, et résumé public des données d'entraînement. 26 grandes entreprises d'IA ont signé le Code de Pratique GPAI, dont OpenAI, Anthropic, Google, Microsoft et Mistral AI. Meta a refusé de signer.
Les quatre niveaux de risque, avec des exemples que vous reconnaîtrez
L'AI Act classe chaque système d'IA dans l'une de quatre catégories.
Risque inacceptable : interdit. Les huit pratiques ci-dessus. Déjà en vigueur.
Risque élevé : obligations lourdes. C'est là que l'échéance d'août 2026 compte vraiment. Un système d'IA est à haut risque s'il entre dans l'une des huit catégories de l'Annexe III du règlement :
| Catégorie | Ce que ça veut dire concrètement |
|---|---|
| Biométrie | Reconnaissance faciale, catégorisation biométrique |
| Infrastructures critiques | IA gérant les réseaux électriques, l'approvisionnement en eau, le trafic |
| Éducation | IA décidant des admissions, des notes, surveillant les examens |
| Emploi & RH | IA triant les CV, classant les candidats, décidant des promotions, surveillant la performance |
| Services essentiels | Scoring de crédit, évaluation du risque en assurance, éligibilité aux prestations publiques |
| Forces de l'ordre | Évaluation des preuves, prédiction de la récidive |
| Migration & frontières | Traitement des demandes de visa/asile, identification aux frontières |
| Justice & démocratie | IA assistant les tribunaux, IA influençant les élections |
Risque limité : transparence requise. Si votre produit inclut un chatbot, les utilisateurs doivent savoir qu'ils interagissent avec une IA. Si l'outil génère des images, du son ou de la vidéo, le contenu doit porter des marqueurs lisibles par machine (watermarking). Les deepfakes doivent être étiquetés. Les systèmes de reconnaissance des émotions doivent informer la personne analysée.
Risque minimal : pas d'obligation spécifique. Filtres anti-spam, IA dans les jeux vidéo, gestion des stocks, moteurs de recommandation basiques. La grande majorité des systèmes d'IA. Seule exigence : la littératie IA (qui s'applique à tout le monde).
Fournisseur ou déployeur : lequel êtes-vous ?
C'est la distinction la plus importante de l'AI Act. Elle détermine vos obligations.
Vous êtes déployeur si vous utilisez un système d'IA sous votre autorité dans un contexte professionnel. C'est le cas le plus fréquent pour les entreprises européennes. Si votre équipe utilise ChatGPT pour la rédaction, Claude pour l'analyse, Copilot pour le code, ou n'importe quel SaaS dopé à l'IA, vous êtes déployeur.
Vous êtes fournisseur si vous développez un système d'IA (ou le faites développer) et le mettez sur le marché sous votre nom ou votre marque. Ça inclut la construction de produits sur des API d'IA.
C'est là que ça se complique. Utiliser l'API d'OpenAI pour construire un outil de tri de candidatures que vous vendez sous votre marque ? Vous n'êtes pas déployeur du système d'OpenAI. Vous êtes le fournisseur d'un nouveau système d'IA. Et si ce système entre dans une catégorie à haut risque (le recrutement en est une), vous portez tout le poids des obligations fournisseur : système de gestion des risques, documentation technique, évaluation de conformité, marquage CE, surveillance post-marché, signalement des incidents.
Le piège du "fournisseur accidentel" est réel. White-labeler un système d'IA à haut risque, le modifier substantiellement, ou changer sa finalité pour qu'il devienne à haut risque, tout cela transforme un déployeur en fournisseur.
Ce que les déployeurs doivent faire avant le 2 août 2026
Si vous utilisez des systèmes d'IA à haut risque en tant que déployeur, l'article 26 vous impose 12 obligations spécifiques. Les plus importantes :
Utiliser le système conformément aux instructions du fournisseur. Ça paraît évident, mais ça implique de lire la documentation et de respecter les limitations indiquées.
Confier la supervision humaine à des personnes compétentes, formées et autorisées. Quelqu'un dans votre organisation doit pouvoir comprendre, interpréter et passer outre les résultats du système. Ça ne veut pas toujours dire qu'un humain examine chaque décision. Pour beaucoup de systèmes, une surveillance continue avec capacité d'intervention suffit. Mais les personnes chargées de cette supervision doivent avoir la formation et l'autorité pour agir.
Surveiller le système et conserver les logs au moins 6 mois.
Informer les personnes concernées. Si quelqu'un fait l'objet d'une décision prise ou assistée par un système d'IA à haut risque, il doit le savoir. Les salariés et leurs représentants doivent être informés avant le déploiement de toute IA sur le lieu de travail.
Réaliser une évaluation d'impact sur les droits fondamentaux pour certains cas d'usage (scoring de crédit, assurance, services publics).
Signaler les incidents graves au fournisseur et aux autorités dans les 15 jours.
Pour les usages non à haut risque (rédaction marketing, productivité générale, assistance au code), vos obligations sont plus simples : assurer la littératie IA et signaler l'utilisation de l'IA quand le système interagit avec des personnes.
Les amendes
Les sanctions sont proportionnelles à la gravité :
| Violation | Amende maximale |
|---|---|
| Pratiques IA interdites | 35 millions d'euros ou 7% du CA mondial |
| Obligations haut risque et GPAI | 15 millions d'euros ou 3% du CA mondial |
| Informations incorrectes aux autorités | 7,5 millions d'euros ou 1% du CA mondial |
Aucune sanction formelle n'a encore été prononcée en avril 2026. Mais l'infrastructure d'application se construit : la Finlande est devenue le premier pays de l'UE avec une application pleinement opérationnelle en janvier 2026, l'Italie a adopté une loi nationale complète sur l'IA avec des sanctions pénales pour les deepfakes, et l'agence espagnole de supervision de l'IA (AESIA) fait tourner un sandbox réglementaire depuis 2023.
Pourquoi les outils IA européens ont un avantage
Utiliser un outil IA américain ne vous met pas automatiquement en infraction. OpenAI, Anthropic, Google et Microsoft ont tous signé le Code de Pratique GPAI et investissent dans la conformité. Ils proposent des options d'hébergement en UE.
Mais les fournisseurs d'IA européens disposent d'avantages structurels qui simplifient la conformité :
Pas d'exposition au CLOUD Act. Mistral AI, Aleph Alpha et DeepL ne sont pas soumis au CLOUD Act américain, qui permet aux autorités US d'exiger l'accès aux données quel que soit le lieu d'hébergement. Pour les secteurs réglementés, ça élimine un conflit juridique fondamental.
Les modèles open-weight permettent l'audit. L'approche open-weight de Mistral permet aux déployeurs et aux régulateurs d'inspecter l'architecture et le comportement du modèle, en soutien direct aux exigences de transparence de l'AI Act (article 13). Quand un régulateur demande comment fonctionne votre système d'IA, pouvoir pointer vers des poids de modèle inspectables est une réponse solide.
L'auto-hébergement préserve la souveraineté. Vous pouvez déployer les modèles Mistral sur une infrastructure européenne (OVHcloud, Scaleway) sans qu'aucune donnée ne quitte l'UE. Les modèles Pharia d'Aleph Alpha sont présentés comme conformes à 100% à l'AI Act dès leur lancement.
Pour un panorama de l'écosystème IA européen, consultez notre article sur les outils IA européens qui remplacent vraiment les américains. Et pour la dimension souveraineté, notre guide sur la souveraineté numérique explique pourquoi la résidence des données ne suffit pas.
Ce que vous devriez faire maintenant
Le 2 août 2026 est dans quatre mois. Voici un calendrier réaliste :
Maintenant (avril 2026) : inventorier chaque système d'IA que votre entreprise utilise ou développe. Inclure le shadow AI (comptes ChatGPT personnels). Classer chacun par niveau de risque et déterminer si vous êtes fournisseur ou déployeur.
Mai 2026 : réaliser les évaluations d'impact pour les systèmes à haut risque. Mettre à jour les contrats fournisseurs pour exiger la documentation de conformité, la notification d'incidents et la coopération en cas de contrôle.
Juin 2026 : finaliser les procédures de supervision humaine. Former l'ensemble du personnel à la littératie IA. Constituer les dossiers de documentation.
Juillet 2026 : audit interne et correction des écarts.
2 août 2026 : application complète.
Un point à surveiller : l'UE a proposé un paquet Digital Omnibus en novembre 2025 qui pourrait repousser certaines obligations à décembre 2027. Le Conseil et le Parlement ont adopté leurs positions en mars 2026, et les trilogues sont en cours. Mais le report n'est pas garanti. Planifiez pour le 2 août et considérez tout délai supplémentaire comme un bonus.
Le Compliance Checker de l'AI Act, géré par le Service Desk de la Commission, peut vous aider à évaluer où se situent vos systèmes. Et le répertoire d'outils IA européens sur From Europe, With Love permet de trouver des alternatives européennes pour chaque catégorie.
L'essentiel
L'AI Act n'est pas le RGPD 2.0. Il est plus ciblé. La plupart des systèmes d'IA sont à risque minimal et n'exigent rien au-delà de la littératie. Mais si vous utilisez l'IA pour tout ce qui touche aux droits des personnes, à l'emploi, aux finances ou à la sécurité, il faut prendre le sujet au sérieux.
La bonne nouvelle : si vous vous souciez déjà de souveraineté numérique et que vous utilisez des outils européens, vous avez de l'avance. L'AI Act récompense la transparence, la documentation et l'auditabilité, exactement les qualités sur lesquelles les fournisseurs d'IA européens ont construit leurs produits.
Commencez par votre inventaire IA. Le reste en découle.
Points cles
- 1. Huit pratiques d'IA sont déjà interdites en Europe depuis février 2025, dont la reconnaissance des émotions au travail, le scoring social et le scraping non ciblé d'images faciales.
- 2. Si votre entreprise utilise ChatGPT, Claude ou Copilot, vous êtes un "déployeur" au sens de l'AI Act avec des obligations de conformité propres que votre fournisseur US ne peut pas remplir à votre place.
- 3. Si votre entreprise construit un produit sur une API d'IA et le vend sous sa marque, vous êtes un "fournisseur" avec des obligations nettement plus lourdes, dont l'évaluation de conformité.
- 4. Les amendes atteignent 35 millions d'euros ou 7% du CA mondial pour les pratiques interdites, mais les PME paient le montant le plus bas entre somme fixe et pourcentage du CA.
- 5. Les outils IA européens (Mistral, Aleph Alpha, DeepL) offrent des avantages structurels de conformité : modèles open-weight auditables, hébergement exclusivement en UE, et aucune exposition au CLOUD Act américain.
Questions frequentes
L'AI Act s'applique-t-il à mon entreprise si j'utilise juste ChatGPT en interne ?
Quelle est la différence entre fournisseur et déployeur dans l'AI Act ?
Quelles sont les amendes en cas de non-conformité à l'AI Act ?
Les outils IA européens ont-ils un avantage de conformité par rapport aux outils US ?
L'échéance d'août 2026 pourrait-elle être repoussée ?
Articles similaires
7 outils IA européens qui remplacent vraiment les américains
Les outils IA européens ne sont plus un compromis. De Mistral à DeepL en passant par n8n, on a testé sept outils construits en Europe qui remplacent réellement leurs équivalents US dans votre stack quotidienne. L'un d'eux raconte une histoire plus compliquée sur la destination des talents européens.
EU Inc : la victoire que les startups européennes attendaient
La Commission européenne a officiellement dévoilé la proposition législative EU Inc le 18 mars 2026. Un règlement. Incorporation digitale en 48h. Pas de capital minimum. Un registre central EU. Voici ce qu'elle contient, ce qui est nouveau depuis janvier, et ce que les fondateurs doivent surveiller.
Mistral AI : comment une startup française est devenue le champion européen de l'IA
Fondée en 2023 par trois anciens chercheurs de Google DeepMind et Meta, Mistral AI a atteint 13,8 milliards de dollars de valorisation en moins de trois ans. Leur pari : modèles ouverts, souveraineté européenne, et construction de toute la stack. Voici comment ils y sont arrivés et ce qui vient ensuite.