AI Act européen : ce qui change vraiment pour les entreprises en 2026
Le règlement européen sur l'IA entre en application progressive. Quelles obligations concrètes pour les entreprises françaises dès 2025-2026 ?
AI Act européen : ce qui change vraiment pour les entreprises en 2026
Depuis son entrée en vigueur officielle en août 2024, le règlement européen sur l'intelligence artificielle – l'AI Act (Règlement UE 2024/1689) – déploie progressivement ses effets. Si certaines dispositions ne s'appliqueront pleinement qu'en 2027, plusieurs obligations majeures touchent déjà les entreprises françaises en 2025 et 2026. Voici ce qu'il faut vraiment retenir.
Une application par étapes, pas un big bang
L'AI Act ne s'est pas appliqué d'un seul coup au 1er janvier 2025. Il suit un calendrier progressif :
- Février 2025 : interdiction des pratiques IA jugées inacceptables (manipulation cognitive, notation sociale, certains systèmes biométriques en temps réel dans l'espace public).
- Août 2025 : obligations pour les modèles d'IA à usage général (GPAI), dont les grands LLM comme GPT ou Gemini, incluant transparence et documentation technique.
- Août 2026 : entrée en vigueur des règles pour les systèmes IA à haut risque – recrutement automatisé, évaluation de crédit, sécurité des infrastructures, gestion des migrations, etc.
- Août 2027 : application complète, y compris pour les systèmes IA embarqués dans des produits réglementés (dispositifs médicaux, machines industrielles).
Ce que ça signifie pour une entreprise française
La première étape est d'identifier le niveau de risque de chaque système IA utilisé ou développé :
- Risque inacceptable → interdit (exemples : manipulation sublimale, scoring social).
- Haut risque → conformité stricte : documentation, évaluation des données d'entraînement, supervision humaine, enregistrement dans une base de données européenne.
- Risque limité → obligations de transparence (exemple : informer l'utilisateur qu'il parle à un chatbot).
- Risque minimal → pas d'obligation spécifique (jeux vidéo, filtres anti-spam).
Les secteurs les plus concernés
Les entreprises des RH, de la finance, de la santé et de la sécurité sont en première ligne. Une PME qui utilise un logiciel de tri de CV alimenté par IA entre dans la catégorie haut risque dès août 2026. Elle devra documenter son système, garantir la supervision humaine des décisions et s'assurer que les données utilisées ne génèrent pas de discrimination.
Les fournisseurs de modèles GPAI (OpenAI, Google, Anthropic…) ont, eux, des obligations de transparence et de publication de documentation technique depuis août 2025. Un code de bonnes pratiques est en cours de finalisation au niveau européen pour préciser ces exigences.
Les sanctions prévues
L'AI Act prévoit des amendes dissuasives :
- Jusqu'à 35 millions d'euros ou 7 % du chiffre d'affaires mondial pour violation des dispositions sur les pratiques interdites.
- Jusqu'à 15 millions ou 3 % du CA pour non-conformité sur les systèmes haut risque.
- Jusqu'à 7,5 millions ou 1 % du CA pour fourniture d'informations incorrectes aux autorités.
Par où commencer ?
- Cartographier les systèmes IA en usage dans l'entreprise.
- Classifier chaque système selon la grille de risque de l'AI Act.
- Désigner un référent conformité IA interne ou externe.
- Documenter dès maintenant, même si l'obligation ne s'applique que dans quelques mois.
L'AI Act n'est pas simplement une contrainte : pour les entreprises qui jouent le jeu, il devient un avantage concurrentiel vis-à-vis des acteurs extra-européens moins régulés.