Calendrier d'application de l'EU AI Act : toutes les dates clés 2024-2027

📘 Comprendre l'AI Act Mis à jour : 26/03/2026 Par La rédaction

L'EU AI Act (Règlement (UE) 2024/1689) n'entre pas en application d'un seul coup. Le législateur européen a prévu une mise en oeuvre progressive sur 36 mois, entre août 2024 et août 2027. Cette montée en puissance laisse aux entreprises le temps de s'adapter — à condition de ne pas attendre le dernier moment.

Voici la timeline complète, avec ce qui change concrètement à chaque étape. Pour une vue d'ensemble du règlement, consultez d'abord notre guide complet de l'AI Act.

Timeline complète de l'EU AI Act

DateÉtapeCe qui changeQui est concerné
13 juin 2024Adoption définitiveVote final du Conseil de l'UE. Le texte est figé.Tous les acteurs IA
12 juillet 2024Publication au JOUEPublication au Journal officiel de l'Union européenne (série L)-
1er août 2024Entrée en vigueurLe règlement existe juridiquement. Le compte à rebours commence.Tous
2 février 2025Interdictions + Littératie IALes pratiques interdites (art. 5) deviennent effectives. Obligation de littératie IA (art. 4) pour tous les opérateurs.Tous les fournisseurs et déployeurs
2 août 2025GPAI + AutoritésObligations pour les modèles d'IA à usage général (Chapitre V). Chaque État membre désigne son autorité nationale compétente.Fournisseurs de modèles GPAI, États membres
2 février 2026Codes de pratique GPAIDate limite pour que le Bureau de l'IA publie les codes de pratique pour les modèles GPAI.Fournisseurs GPAI
2 août 2026Application complète (Annexe III)Toutes les obligations pour les systèmes à haut risque listés à l'Annexe III. Régime de sanctions applicable. Base de données EU opérationnelle.Fournisseurs et déployeurs de systèmes à haut risque
2 août 2027Extension Annexe IObligations pour les systèmes à haut risque intégrés dans des produits couverts par la législation d'harmonisation (Annexe I : machines, jouets, dispositifs médicaux, etc.)Fabricants de produits intégrant de l'IA

Phase 1 : Les interdictions (2 février 2025)

C'est la première phase concrète. Depuis cette date, huit catégories de systèmes d'IA sont purement et simplement interdites dans l'UE. L'article 5 du règlement ne laisse aucune marge d'interprétation.

Les systèmes concernés :

  1. Scoring social : évaluation ou classification de personnes sur la base de leur comportement social ou de caractéristiques personnelles, menant à un traitement préjudiciable ou défavorable
  2. Manipulation subliminale : techniques exploitant des vulnérabilités cognitives au-dessous du seuil de conscience
  3. Exploitation des vulnérabilités : ciblage de groupes vulnérables (âge, handicap, situation sociale)
  4. Prédiction criminelle par profilage : évaluation du risque de commission d'infractions basée uniquement sur le profilage
  5. Moissonnage facial non ciblé : constitution de bases de données de reconnaissance faciale par collecte massive sur internet ou CCTV
  6. Reconnaissance des émotions au travail et à l'école (sauf raisons médicales/sécurité)
  7. Catégorisation biométrique sensible : déduction de la race, religion, orientation sexuelle, opinions politiques
  8. Surveillance biométrique en temps réel dans les espaces publics (sauf exceptions limitées : terrorisme, enlèvement, recherche de suspect)

Parallèlement, l'article 4 impose dès cette date à tout fournisseur et déployeur de systèmes d'IA de garantir un « niveau suffisant de littératie en matière d'IA » au sein de leur personnel. Concrètement, cela signifie former vos équipes.

Phase 2 : Modèles GPAI et gouvernance (2 août 2025)

Cette phase concerne principalement les fournisseurs de modèles d'IA à usage général (GPT, Claude, Gemini, Mistral, LLaMA, etc.) et les États membres.

Pour les fournisseurs de modèles GPAI (articles 51-56) :

  1. Publier la documentation technique du modèle (Annexe XI)
  2. Mettre en place une politique de respect du droit d'auteur
  3. Publier un résumé du contenu d'entraînement
  4. Pour les modèles à risque systémique (>10^25 FLOPS) : évaluations adversariales, gestion des risques systémiques, reporting des incidents graves

Pour les États membres :

  1. Désigner l'autorité nationale compétente (« autorité de surveillance du marché »)
  2. Mettre en place les bacs à sable réglementaires (art. 57-62)
  3. En France, la CNIL a été pressentie mais le décret de désignation est attendu

Phase 3 : Application complète — haut risque Annexe III (2 août 2026)

C'est l'échéance majeure. À cette date, toutes les obligations relatives aux systèmes à haut risque listés à l'Annexe III deviennent pleinement applicables et sanctionnables.

Ce que cela implique concrètement :

  1. Tout système d'IA à haut risque mis sur le marché ou mis en service après le 2 août 2026 doit être pleinement conforme
  2. Les fournisseurs doivent avoir réalisé l'évaluation de conformité (art. 43) — par auto-évaluation ou via un organisme notifié selon les cas
  3. Le marquage CE doit être apposé (art. 48)
  4. Le système doit être enregistré dans la base de données européenne (art. 49)
  5. Le système de gestion de la qualité doit être en place (art. 17)
  6. Les déployeurs doivent avoir mis en oeuvre les mesures de contrôle humain, conservation des logs, et le cas échéant l'évaluation d'impact (art. 27)

Pour les systèmes déjà sur le marché avant cette date : l'article 111 prévoit une période transitoire. Les systèmes existants ne sont pas tenus à la conformité immédiate, sauf s'ils subissent une « modification importante » après le 2 août 2026. Les systèmes de composants d'IA dans les grands systèmes d'information de l'UE (Eurodac, SIS, VIS) bénéficient d'un délai supplémentaire jusqu'au 31 décembre 2030.

Phase 4 : Produits réglementés — Annexe I (2 août 2027)

Dernière phase : les systèmes d'IA intégrés dans des produits couverts par la législation d'harmonisation de l'UE existante. L'Annexe I liste ces législations :

  1. Directive Machines (2006/42/CE, remplacée par le Règlement Machines 2023/1230)
  2. Directive Jouets (2009/48/CE)
  3. Directive Équipements de loisirs nautiques (2013/53/UE)
  4. Règlement Ascenseurs (2014/33/UE)
  5. Règlement Dispositifs médicaux (2017/745)
  6. Règlement Dispositifs médicaux de diagnostic in vitro (2017/746)
  7. Directive Équipements radio (2014/53/UE)
  8. Règlement Aviation civile (2018/1139)

Pour ces produits, l'évaluation de conformité IA sera intégrée à la procédure de conformité du produit. Un seul organisme notifié, une seule procédure.

Comment caler votre feuille de route sur ce calendrier ?

La bonne nouvelle : le calendrier progressif permet de séquencer les efforts. Voici une feuille de route type :

PériodeActionResponsable
Maintenant - Q2 2026Inventaire complet des systèmes IA, classification par risque, gap analysisDPO / Compliance / CTO
Q2 2026Documentation technique, système qualité, formation des équipesÉquipe technique + juridique
Juillet 2026Évaluation de conformité, enregistrement base EU, marquage CEFournisseur / Organisme notifié
2 août 2026Conformité effective — systèmes haut risque Annexe IIIDirection générale
H2 2026 - H1 2027Mise en conformité des produits Annexe I, surveillance post-marchéFabricants produits + IA

Pour un plan d'action détaillé adapté aux PME, consultez notre guide de conformité en 10 étapes. Pour comprendre les enjeux financiers d'un retard de mise en conformité, voir notre analyse des sanctions et amendes.

Questions fréquentes

Les systèmes d'IA existants avant août 2026 doivent-ils se mettre en conformité ?

Pas immédiatement. L'article 111 du règlement prévoit un régime transitoire : les systèmes déjà mis sur le marché ou en service avant le 2 août 2026 ne sont pas tenus de se conformer immédiatement, sauf en cas de « modification importante » après cette date. Toutefois, les opérateurs doivent veiller à ce que ces systèmes ne présentent pas de risques significatifs et doivent se conformer aux nouvelles exigences en cas de mise à jour substantielle. Les systèmes d'IA utilisés par les autorités publiques sont soumis à un calendrier plus strict.

Qui sera l'autorité compétente en France pour l'AI Act ?

À la date de rédaction (mars 2026), la France n'a pas encore officiellement désigné son autorité nationale compétente, bien que la CNIL soit pressentie pour ce rôle en coordination avec la DGCCRF pour la surveillance du marché. L'article 70 du règlement exigeait cette désignation pour le 2 août 2025. Plusieurs États membres ont également pris du retard. Le Bureau européen de l'IA (AI Office), opérationnel depuis 2024, supervise l'application au niveau européen, notamment pour les modèles GPAI.

Les bacs à sable réglementaires sont-ils déjà opérationnels ?

L'article 57 du règlement demandait aux États membres de mettre en place au moins un bac à sable réglementaire (regulatory sandbox) d'ici au 2 août 2025. En pratique, l'Espagne (via l'AESIA), les Pays-Bas et l'Allemagne ont lancé des programmes pilotes. La France a annoncé un dispositif via la CNIL mais les détails opérationnels restent à préciser. Ces sandboxes permettent aux entreprises, en particulier aux PME, de tester leurs systèmes d'IA dans un environnement supervisé avec un allègement temporaire de certaines obligations.

Articles liés

Comprendre l'AI Act

EU AI Act : le guide complet de la réglementation IA européenne (2026)

L'EU AI Act (Règlement (UE) 2024/1689) est le premier cadre juridique complet au monde dédié à l'intelligence artificiel...

Obligations

Obligations de l'AI Act par niveau de risque : ce que votre entreprise doit faire

Le Règlement (UE) 2024/1689 — l'EU AI Act — impose des obligations graduées selon le niveau de risque du système d'IA. C...

Conformité

Conformité AI Act pour les PME : guide pratique en 10 étapes

Vous dirigez une PME qui utilise ou développe des systèmes d'intelligence artificielle ? L'EU AI Act vous concerne. Mais...

Obligations

Sanctions AI Act : amendes jusqu'à 35 millions d'euros ou 7% du CA mondial

L'EU AI Act ne se contente pas de poser des obligations : il les assortit d'un régime de sanctions dissuasif, calibré po...