L’AI Act européen entre dans sa phase d’application en 2026, avec des obligations concrètes pour les entreprises qui développent ou utilisent des systèmes d’IA. De la classification des risques aux amendes pouvant atteindre 35 millions d’euros, voici ce que chaque entreprise doit savoir et préparer dès maintenant.
Points clés
- Les systèmes d’IA à risque inacceptable (scoring social, manipulation comportementale) sont interdits depuis février 2025
- Les obligations de transparence pour les IA génératives (ChatGPT, Gemini) sont effectives depuis août 2025
- Les systèmes à haut risque (recrutement IA, diagnostic médical, crédit scoring) doivent être conformes d’ici août 2026
- Les amendes vont de 7,5 millions à 35 millions d’euros selon la gravité de l’infraction
Le calendrier d’application : où en sommes-nous ?
L’AI Act a été adopté en mars 2024, mais son application est progressive. Les interdictions des systèmes à risque inacceptable sont en vigueur depuis février 2025. Les règles de transparence pour les modèles d’IA à usage général (GPAI), comme les LLM derrière ChatGPT ou Claude, s’appliquent depuis août 2025. Les entreprises doivent respecter ces obligations comme l’expliquent les ressources officielles de la Commission européenne.
La prochaine échéance majeure est août 2026, date à laquelle les systèmes d’IA classés à haut risque devront être pleinement conformes. Cela concerne les entreprises utilisant l’IA pour le recrutement, l’évaluation du crédit, la justice, la surveillance biométrique et de nombreux autres domaines sensibles. Cette échéance est déjà mentionnée dans les communications officielles de l’UE et affecte directement les investissements en IA marketing.
Les quatre niveaux de risque expliqués
L’AI Act classe les systèmes d’IA en quatre catégories de risque. Le risque inacceptable inclut le scoring social, la manipulation subliminale et l’exploitation des vulnérabilités — ces pratiques sont purement interdites. Le risque élevé couvre les applications dans la santé, le recrutement, la justice, l’éducation et les infrastructures critiques — ces systèmes doivent respecter des obligations strictes de transparence, de documentation et de supervision humaine. Cette classification affecte les technologies décrites dans notre article sur les assistants IA pour le développement.
Le risque limité concerne les chatbots et systèmes d’IA interagissant avec le public, qui doivent simplement informer l’utilisateur qu’il interagit avec une IA. Le risque minimal couvre la majorité des applications IA courantes (filtres anti-spam, recommandations de contenu) et ne nécessite aucune obligation spécifique.
Ce que doivent faire les entreprises utilisant l’IA générative
Depuis août 2025, les fournisseurs de modèles d’IA à usage général ont des obligations spécifiques. Ils doivent fournir une documentation technique détaillée, respecter la législation sur le droit d’auteur dans leurs données d’entraînement, et publier un résumé des contenus utilisés pour l’entraînement. Ces obligations sont en ligne avec nos analyses sur le conflit Europe-États-Unis sur le droit d’auteur et l’IA.
Pour les entreprises qui utilisent ces modèles (via API ou intégration), les obligations sont moins lourdes mais réelles : informer les utilisateurs qu’ils interagissent avec une IA, signaler les contenus générés par IA (texte, images, audio), et documenter les cas d’usage dans un registre interne. Cette documentation est devenue standard dans les outils Google Workspace et autres plateformes.
Les sanctions : jusqu’à 35 millions d’euros
Les amendes prévues sont substantielles et proportionnelles au chiffre d’affaires. Pour les infractions les plus graves (systèmes interdits), l’amende peut atteindre 35 millions d’euros ou 7 % du chiffre d’affaires mondial. Pour le non-respect des obligations des systèmes à haut risque, elle monte à 15 millions d’euros ou 3 % du CA. Pour les déclarations incorrectes, 7,5 millions d’euros ou 1 % du CA. Selon les analyses de Reuters Technology, ces amendes deviennent déjà une réalité pour certaines entreprises.
Les PME et startups bénéficient de plafonds réduits et de périodes de transition plus longues, reconnaissant la nécessité de ne pas étouffer l’innovation européenne. Pour les entreprises utilisant l’IA, consultez nos guides sur l’automatisation des tâches pour rester conformes.
FAQ
Mon entreprise utilise ChatGPT : suis-je concerné par l’AI Act ?
Oui, mais vos obligations dépendent de l’usage. Si vous utilisez ChatGPT pour du support client, vous devez informer les utilisateurs qu’ils interagissent avec une IA. Si vous l’utilisez pour le recrutement ou l’évaluation de crédit, votre système est classé à haut risque et vous devrez être en conformité d’ici août 2026.
L’AI Act s’applique-t-il aux entreprises hors UE ?
Oui, comme le RGPD, l’AI Act a une portée extraterritoriale. Toute entreprise qui fournit des systèmes d’IA utilisés dans l’UE ou dont les résultats affectent des personnes dans l’UE est soumise au règlement, même si elle est basée hors d’Europe.
Combien de temps faut-il pour se mettre en conformité ?
Pour les systèmes à haut risque, comptez 6 à 12 mois de travail : audit des systèmes IA existants, classification des risques, mise en place de la documentation technique, formation des équipes et déploiement des mécanismes de supervision humaine. Il est recommandé de commencer immédiatement pour respecter l’échéance d’août 2026. Pour vérifier votre conformité technique, explorez les outils comme les assistants IA avancés pour auditer votre infrastructure.
