AI Act européen 2026 : les obligations concrètes pour les entreprises

Mis à jour : 08/04/2026

L'AI Act européen (Règlement UE 2024/1689) est entré en vigueur le 2 août 2024. En 2026, la plupart des obligations pour les systèmes d'IA à haut risque s'appliquent. Voici ce que cela signifie concrètement pour les entreprises qui développent ou déploient de l'IA dans l'UE.

Le calendrier d'application de l'AI Act

  1. Août 2024 — Entrée en vigueur du règlement
  2. Février 2025 — Interdiction des pratiques IA inacceptables (manipulation, notation sociale, certains systèmes biométriques)
  3. Août 2025 — Obligations GPAI (IA à usage général) : transparence, droits d'auteur, documentation
  4. Août 2026Obligations systèmes IA à haut risque (Annexe III) : conformité, documentation, registre UE
  5. Août 2027 — Extension aux systèmes IA dans produits réglementés (machines, dispositifs médicaux)
AI Act européen 2026 obligations entreprises

Classification des risques : 4 niveaux

Niveau de risqueExemples de systèmesObligations
Risque inacceptable (INTERDIT)Notation sociale généralisée, manipulation subliminaleInterdiction totale depuis février 2025
Haut risque (Annexe III)CV screening, scoring crédit, systèmes médicaux diagnosticsConformité complète, enregistrement, audit tiers
Risque limitéChatbots, deep fakesObligations de transparence (mention "IA" obligatoire)
Risque minimalFiltres spam, jeux IAAucune obligation (bonnes pratiques recommandées)

Obligations concrètes pour les systèmes IA à haut risque (applicables août 2026)

  1. Système de gestion des risques — Processus continu d'identification, d'évaluation et d'atténuation des risques
  2. Données d'entraînement — Qualité des données, absence de biais, documentation des jeux de données
  3. Documentation technique — Description complète du système, performances, limites, mesures de sécurité
  4. Journalisation automatique (logs) — Conservation des traces permettant l'audit post-incident
  5. Transparence et information des utilisateurs — Documentation d'utilisation, mentions obligatoires
  6. Contrôle humain — Mécanismes permettant la supervision et l'intervention humaine
  7. Exactitude et robustesse — Niveaux de performance documentés, tests de robustesse
  8. Cybersécurité — Résilience face aux tentatives de manipulation des données et modèles

Sanctions prévues par l'AI Act

  • Pratiques interdites : jusqu'à 35 M€ ou 7 % du CA mondial
  • Obligations systèmes haut risque : jusqu'à 15 M€ ou 3 % du CA mondial
  • Informations incorrectes aux autorités : jusqu'à 7,5 M€ ou 1,5 % du CA mondial

Pour approfondir : tableau complet de classification des risques IA, FAQ AI Act pour les PME et guide complet AI Act.

FAQ — AI Act obligations entreprises 2026

L'AI Act s'applique-t-il aux entreprises hors UE ?

Oui. Toute entreprise qui met sur le marché ou met en service un système d'IA dans l'UE est soumise à l'AI Act, qu'elle soit établie dans l'UE ou non (principe d'effet extraterritorial).

ChatGPT est-il un système IA à haut risque ?

ChatGPT est un modèle d'IA à usage général (GPAI). Il est soumis aux obligations GPAI (transparence, documentation, droits d'auteur) mais pas aux obligations des systèmes à haut risque, sauf s'il est intégré dans un système à haut risque par un développeur tiers.

Quand les obligations pour les systèmes IA à haut risque s'appliquent-elles ?

Les obligations principales pour les systèmes IA à haut risque listés à l'Annexe III (CV screening, scoring crédit, diagnostics médicaux, etc.) s'appliquent depuis août 2026.

Une PME doit-elle se conformer à l'AI Act ?

Oui, si elle développe ou déploie des systèmes IA soumis à des obligations. Cependant, un régime proportionnel allège certaines exigences pour les PME et startups, notamment en matière de frais d'enregistrement et de documentation technique.