Ce que tu vas apprendre

  • Ce qu’est l’AI Act 2026 et qui est concerné (indice : probablement toi)
  • Les quatre niveaux de risque IA et comment classifier ta solution
  • La documentation requise et le processus d’audit interne
  • Le calendrier de conformité : quand faire quoi
  • Les sanctions en cas de non-conformité et une checklist exploitable

Le règlement européen sur l’intelligence artificielle (AI Act) entre en application progressivement en 2026. Si tu utilises, développes ou déploies une IA dans un contexte européen (clients français, serveurs dans l’UE, utilisateurs européens), tu dois te mettre en conformité. Négliger cette obligation peut coûter jusqu’à 7 % du chiffre d’affaires mondial.

Ce guide te fournit une checklist exploitable, pas de la théorie juridique indigeste. En une à deux heures, tu pourras évaluer ta situation et savoir exactement ce qu’il faut documenter.

Prérequis

Un accès à ta documentation IA actuelle (si elle existe). Une connaissance de base des systèmes d’IA que tu utilises ou développes. De quoi prendre des notes pour chaque action.

Étape 1 : Comprendre l’AI Act en quatre points

Premièrement, c’est quoi ? Une réglementation européenne pour les systèmes d’IA. Son objectif : minimiser les risques liés à la discrimination, la manipulation et la sécurité. C’est l’équivalent du RGPD, mais pour l’IA.

Deuxièmement, qui est concerné ? Les fournisseurs (tu développes une IA), les utilisateurs (tu déploies une IA) et les importateurs (tu commercialises une IA provenant de l’extérieur de l’UE). Si tu interviens dans la chaîne, tu es concerné.

Troisièmement, le calendrier 2026 prévoit un déploiement progressif. Les IA à risque inacceptable sont interdites immédiatement. Les IA à haut risque exigent documentation et audit. Les IA à usage général (grands modèles de langage) ont des obligations plus légères.

Quatrièmement, les sanctions : jusqu’à 7 % du chiffre d’affaires mondial (ou 30 millions d’euros, le montant le plus élevé) pour les violations graves. Pas de documentation, système à haut risque en production sans validation — c’est ce genre d’infractions qui coûte cher.

Étape 2 : Classifier ta solution IA

Niveau 1 — Risque inacceptable (interdit) : IA pour discriminer par genre, origine ou âge, manipulation de masse, notation sociale. Si tu développes ce type de système : arrête immédiatement. C’est illégal dans l’UE.

Niveau 2 — Risque élevé (documentation obligatoire) : IA pour le recrutement, le crédit financier, le diagnostic médical, le contrôle frontalier, la reconnaissance faciale. Tu dois disposer d’une documentation complète : évaluation des risques, données d’entraînement, tests de précision, journaux d’utilisation. Audit avant déploiement, surveillance continue après.

Niveau 3 — Risque limité (transparence requise) : agents conversationnels, recommandations de produits, détection de courriers indésirables. Le minimum requis consiste à informer les utilisateurs qu’ils interagissent avec une IA.

Niveau 4 — Risque minimal ou nul (aucune obligation) : grands modèles de langage génériques, jeux vidéo utilisant l’IA.

Pour classifier ton système, pose-toi trois questions. Ta solution impacte-t-elle un droit fondamental ? Influence-t-elle des décisions critiques pour une personne ? Pourrait-elle causer un préjudice physique ou psychologique ? Si tu réponds oui à au moins une question, tu es en risque élevé ou supérieur.

Étape 3 : Documentation requise (si risque élevé)

Six documents sont nécessaires. L’évaluation des risques identifie et évalue les dangers de ta solution (discrimination, erreur, manipulation, vie privée). La documentation des données d’entraînement décrit les sources, volumes, équilibre des classes et biais connus. La fiche technique présente l’architecture, les métriques de précision, l’évaluation par sous-groupes et les limites. Le journal d’exploitation enregistre les entrées, sorties et erreurs après déploiement. Le protocole de supervision humaine décrit comment un humain vérifie les décisions de l’IA. Le plan d’incident prévoit comment détecter et corriger une erreur grave.

Étape 4 : Processus d’audit interne

Phase 1, inventaire (une semaine) : liste toutes les solutions IA de ton organisation. Classifie chacune par niveau de risque dans un tableur simple. Phase 2, évaluation (deux à quatre semaines) : complète l’évaluation des risques pour chaque système à haut risque. Si tu utilises une IA tierce, demande au fournisseur sa documentation AI Act. Phase 3, correction (quatre à huit semaines) : comble les lacunes identifiées — tests, contrôles, documentation manquante. Phase 4, certification interne (une semaine) : un responsable signe la conformité. C’est ta preuve de diligence en cas de contrôle.

Étape 5 : Calendrier de conformité 2026

Janvier-février : inventaire IA et classification des risques. Mars-avril : évaluations des risques pour les systèmes à haut risque, demande de documentation aux fournisseurs. Mai-juin : tests de précision et de biais, mise en place des journaux de surveillance et de la supervision humaine. Juillet-août : audit interne, correction des lacunes, certification. Septembre-décembre : surveillance continue, mises à jour de la documentation. Au-delà de 2026 : préparation aux audits externes.

Étape 6 : Les sanctions expliquées

Violation mineure (documentation incomplète, manque de transparence) : jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires mondial. Violation grave (déploiement d’une IA à haut risque sans documentation ni supervision) : jusqu’à 30 millions d’euros ou 7 % du chiffre d’affaires. IA interdite (discrimination systématique, manipulation de masse) : sanctions pénales possibles pour les responsables.

Concrètement : pour une startup à un million d’euros de chiffre d’affaires annuel, une violation grave représente 70 000 euros d’amende. Pour une entreprise à 50 millions, c’est 3,5 millions. Ce n’est clairement pas une simple suggestion.

Astuces pratiques

Si tu utilises une IA tierce (API OpenAI, Anthropic, Google), la responsabilité est partagée. Toi, tu dois t’assurer que ton usage est conforme. Le fournisseur doit garantir que son IA respecte le règlement. Demande-leur leur documentation AI Act.

Les tests de biais sont un point clé. Le règlement ne demande pas la perfection, mais la transparence. Si ta solution a 95 % de précision sur un groupe et 85 % sur un autre, documente-le et atténue le problème par une supervision humaine.

La journalisation est précieuse. Pouvoir retracer une décision de l’IA après coup, c’est la meilleure protection en cas d’audit. Enregistre les entrées et sorties — techniquement simple, souvent oublié.

Si tu n’as pas les compétences en interne, des consultants spécialisés en AI Act existent en France. Compte trois à cinq mille euros pour une évaluation complète — un investissement rentable face à une amende potentielle de 70 000 euros ou plus.

Erreurs courantes à éviter

Croire que l’utilisation d’un modèle public (GPT, Claude) exempte de toute obligation. Non : en tant qu’utilisateur, tu gardes des obligations de transparence et de documentation si tu l’utilises pour des décisions à haut risque. Ne garder aucune documentation en espérant passer entre les mailles du filet. Classifier tout en risque minimal pour éviter la documentation — les autorités vérifieront la classification. Ignorer les biais dans les données d’entraînement. Ne pas prévoir de supervision humaine sur les décisions à haut risque.

Récap

L’AI Act 2026 est une réglementation européenne progressive mais stricte. Quatre niveaux de risque : interdit, élevé (documentation complète), limité (transparence) et minimal (aucune obligation). Le processus : inventaire, évaluation, correction, certification. Les sanctions vont de 2 % à 7 % du chiffre d’affaires mondial. Prochaine étape : commence par l’inventaire. Lundi, liste toutes tes solutions IA. Mardi, classifie-les. Mercredi, complète une évaluation des risques pour la plus critique.

FAQ

Je suis une startup, l’AI Act s’applique vraiment à moi ?

Si tu cibles le marché européen (clients français, allemands, etc.) : oui. L’UE ne fait pas de distinction par taille d’entreprise. Mais la documentation peut être proportionnée au risque réel. Une petite startup avec un agent conversationnel simple aura une documentation plus légère qu’un grand groupe avec un modèle de recrutement automatisé.

Et si je suis basé hors de l’UE mais que j’ai des utilisateurs européens ?

Tu es soumis au règlement. C’est le même principe que le RGPD : c’est la localisation de l’utilisateur qui compte, pas celle du serveur.

Qui doit produire la documentation ?

La responsabilité est partagée entre le fournisseur (toi si tu développes l’IA) et l’utilisateur (toi si tu la déploies). Si tu utilises une API tierce, demande la documentation du fournisseur et complète avec les spécificités de ton usage.

Combien coûte la mise en conformité ?

En interne : deux à quatre semaines de travail administratif et technique. Avec un consultant extérieur : trois à dix mille euros pour une évaluation des risques et une documentation complètes. Comparé à une amende potentielle de 70 000 euros ou plus, c’est un investissement évident.

Sources : texte officiel du règlement européen sur l’IA (AI Act, 2024), lignes directrices du Comité européen de l’IA, analyses CNIL sur l’articulation RGPD-AI Act, rapports Brookings Institution sur la gouvernance de l’IA.