Retour aux articles
IA Act : ce que les entreprises doivent savoir en 2026
IA Réglementation IA Act RGPD

IA Act : ce que les entreprises doivent savoir en 2026

DPLIANCEÉditeur de solutions Data & IA souveraines
12 min de lecture

IA Act : ce que les entreprises doivent savoir en 2026

L’intelligence artificielle n’échappe plus à la réglementation. Le 1er août 2024, le règlement européen sur l’intelligence artificielle — le AI Act (règlement UE 2024/1689) — est entré en vigueur. C’est le premier cadre juridique au monde consacré spécifiquement à l’IA.

Pour les entreprises, la question n’est plus de savoir si l’IA sera réglementée, mais comment s’y conformer avant les échéances. Et la prochaine est imminente : le 2 août 2026, l’essentiel des obligations s’appliquera pleinement.

Selon une étude du Center for Data Innovation publiée fin 2025, moins de 30 % des PME européennes ont commencé à se préparer. C’est un problème.

Qu’est-ce que l’IA Act ?

L’IA Act est un règlement européen — pas une directive. Il s’applique directement dans tous les États membres, sans transposition nationale. Son objectif : encadrer le développement et l’utilisation de l’IA en Europe selon une approche fondée sur les risques.

Contrairement au RGPD qui encadre les données personnelles, l’IA Act encadre les systèmes d’IA eux-mêmes — leur conception, leur mise sur le marché et leur utilisation.

Les deux textes sont complémentaires : un système d’IA qui traite des données personnelles doit être conforme au RGPD ET à l’IA Act.

Pourquoi cette réglementation maintenant ? L’explosion des modèles génératifs (ChatGPT, Mistral, Claude, Gemini) a accéléré la prise de conscience des risques : biais algorithmiques dans le recrutement, désinformation par les deepfakes, surveillance de masse par la reconnaissance faciale, décisions automatisées opaques affectant les droits fondamentaux. L’Europe a choisi de réguler avant que ces risques ne deviennent incontrôlables.

Le calendrier d’entrée en application

L’IA Act s’applique de manière progressive entre février 2025 et août 2027 :

2 février 2025 — Pratiques interdites

Depuis cette date, les systèmes d’IA présentant un risque inacceptable sont strictement interdits en Union européenne. Cela inclut :

  • La manipulation subliminale ou trompeuse
  • L’exploitation des vulnérabilités liées à l’âge, au handicap ou à la situation sociale
  • La notation sociale (social scoring) par les autorités publiques
  • La catégorisation biométrique basée sur des données sensibles (race, religion, orientation sexuelle)
  • Le scraping non ciblé d’images faciales pour la reconnaissance faciale

Concrètement pour les entreprises : si vous utilisez un outil d’IA qui analyse les émotions de vos candidats en entretien vidéo, ou qui classe vos employés selon un score de fiabilité, vous êtes potentiellement en infraction depuis février 2025. Les amendes pour pratiques interdites sont les plus lourdes : jusqu’à 35 millions d’euros ou 7 % du chiffre d’affaires mondial.

2 août 2025 — Obligations pour les modèles d’IA à usage général (GPAI)

Les fournisseurs de modèles d’IA à usage général (Mistral, GPT, Claude, Llama, etc.) sont soumis à des obligations de transparence et de documentation technique. Les modèles présentant un risque systémique font l’objet d’obligations renforcées.

Ce que cela signifie pour les utilisateurs de ces modèles : si vous intégrez un modèle GPAI dans vos produits ou services, vous bénéficiez de la documentation technique fournie par le fournisseur du modèle. Cependant, vous restez responsable de l’usage que vous en faites et de la conformité de votre application finale.

2 août 2026 — Application de l’ensemble du texte

C’est la date clé. À compter du 2 août 2026, l’ensemble des obligations s’appliquent, à l’exception des règles de classification des systèmes à haut risque de l’article 6. Tous les fournisseurs et déployeurs de systèmes d’IA à haut risque listés à l’Annexe III doivent être en conformité.

2 août 2027 — Application complète

Entrée en application des règles de classification de l’article 6 pour les systèmes à haut risque déjà encadrés par une législation sectorielle européenne (dispositifs médicaux, jouets, machines, etc.).

La classification des risques : 4 niveaux

L’IA Act repose sur une approche hiérarchisée des risques. Chaque système d’IA est classé dans l’une des quatre catégories suivantes, qui déterminent les obligations applicables.

Risque inacceptable — Interdit

Systèmes strictement prohibés depuis février 2025 (voir ci-dessus). Aucune dérogation possible.

Haut risque — Obligations lourdes

Les systèmes d’IA à haut risque sont ceux ayant un impact significatif sur les droits fondamentaux. L’Annexe III du règlement en dresse la liste :

  • Biométrie : identification, catégorisation, détection d’émotions
  • Infrastructures critiques : gestion du trafic routier, fourniture d’eau, gaz, électricité
  • Éducation et formation : évaluation, admission, orientation
  • Emploi : recrutement, évaluation des candidats, décisions de promotion
  • Services essentiels : éligibilité aux prestations sociales, scoring de crédit, évaluation des risques en assurance
  • Répression : évaluation des risques, polygraphes, profilage
  • Migration et contrôle aux frontières : évaluation des demandes de visa ou d’asile
  • Justice : recherche juridique, interprétation des faits et du droit

Obligations des systèmes à haut risque :

  • Système de gestion de la qualité
  • Documentation technique détaillée
  • Journalisation automatique (logs)
  • Transparence et information des utilisateurs
  • Supervision humaine effective
  • Précision, robustesse et cybersécurité
  • Enregistrement dans la base de données européenne

Un point essentiel pour les PME : même si vous n’êtes pas le développeur du système d’IA, le simple fait de le déployer dans un cas d’usage à haut risque vous soumet à des obligations de déployeur. Utiliser un outil de tri automatisé de CV, par exemple, vous rend déployeur d’un système d’IA à haut risque dans le domaine de l’emploi.

Risque limité — Obligations de transparence

Les systèmes présentant un risque limité sont principalement soumis à des obligations d’information :

  • Les chatbots doivent informer l’utilisateur qu’il interagit avec une IA
  • Les contenus générés par IA (texte, image, audio, vidéo) doivent être signalés comme tels
  • Les systèmes de détection d’émotions ou de catégorisation biométrique doivent informer les personnes concernées

Les deepfakes sont particulièrement visés. Tout contenu synthétique (image, audio, vidéo) généré ou modifié par une IA doit être marqué comme tel de manière détectable par machine et compréhensible par l’humain. Cette obligation concerne autant les fournisseurs de modèles que les utilisateurs qui diffusent ces contenus.

Risque minimal — Pas d’obligation spécifique

La grande majorité des systèmes d’IA actuels (filtres anti-spam, recommandations produits, correcteurs orthographiques) relève du risque minimal. Aucune obligation spécifique ne s’impose, mais le respect des bonnes pratiques est encouragé.

Impact concret pour les PME françaises

Qui est concerné ?

Si votre entreprise utilise un système d’IA classé à haut risque (recrutement automatisé, scoring de crédit, évaluation des risques), vous êtes “déployeur” au sens de l’IA Act et vous avez des obligations spécifiques.

Si votre entreprise développe un système d’IA, vous êtes “fournisseur” et les obligations sont plus lourdes.

La distinction fournisseur/déployeur est fondamentale. Un fournisseur conçoit et met sur le marché un système d’IA. Un déployeur l’utilise dans le cadre de son activité. Les deux ont des obligations, mais elles sont différentes. Le déployeur doit s’assurer que l’IA est utilisée conformément aux instructions du fournisseur, mettre en place une supervision humaine, informer les personnes concernées et réaliser une analyse d’impact sur les droits fondamentaux pour les systèmes à haut risque.

Ce que les PME doivent faire maintenant

  1. Cartographier les systèmes d’IA utilisés : quels outils d’IA sont déployés dans votre organisation ? Pour quels usages ? Ce recensement est la première étape indispensable.
  2. Classifier les risques : pour chaque système, déterminer sa catégorie de risque selon le règlement. Consultez l’Annexe III pour vérifier si vos usages sont classés à haut risque.
  3. Évaluer la conformité : les systèmes à haut risque respectent-ils les exigences de transparence, traçabilité et supervision humaine ?
  4. Documenter : même pour les systèmes à risque minimal, documenter les usages et les précautions prises. Cette documentation sera précieuse en cas de contrôle.
  5. Former les équipes : sensibiliser les collaborateurs aux obligations de l’IA Act et aux bonnes pratiques d’utilisation responsable de l’IA.
  6. Contacter vos fournisseurs : demander la documentation technique et les certificats de conformité aux fournisseurs des systèmes d’IA que vous utilisez.

Exemptions et mesures d’accompagnement

Le règlement prévoit des dispositions pour alléger la charge des PME :

  • Les systèmes déjà légalement sur le marché avant août 2026 bénéficient d’une clause transitoire — ils peuvent rester en service tant qu’ils ne subissent pas de “modification substantielle”
  • Des bacs à sable réglementaires (regulatory sandboxes) permettent de tester des systèmes d’IA innovants dans un cadre encadré
  • La Commission européenne doit publier des lignes directrices et outils pratiques pour accompagner les PME
  • Les amendes sont réduites pour les PME : les plafonds sont calculés proportionnellement au chiffre d’affaires, avec des montants réduits pour les micro-entreprises et les startups

IA Act et RGPD : deux règlements complémentaires

L’IA Act ne remplace pas le RGPD — il s’y ajoute. Si votre système d’IA traite des données personnelles, vous devez respecter les deux textes simultanément.

Exemples de chevauchement :

  • Un système de recrutement automatisé doit être conforme à l’IA Act (haut risque) ET au RGPD (traitement de données personnelles, profilage, décisions automatisées au sens de l’article 22)
  • Un chatbot qui collecte des données personnelles doit informer l’utilisateur qu’il interagit avec une IA (IA Act) ET respecter les obligations de transparence et de consentement du RGPD
  • L’utilisation de données personnelles pour entraîner un modèle d’IA doit respecter les principes de minimisation et de finalité du RGPD

Le droit à l’explication se renforce. L’article 22 du RGPD donne déjà le droit de ne pas être soumis à une décision exclusivement automatisée produisant des effets juridiques. L’IA Act renforce ce droit en exigeant une supervision humaine effective pour tous les systèmes à haut risque. Concrètement, un système d’IA ne doit jamais prendre seul une décision ayant un impact significatif sur une personne sans possibilité d’intervention humaine.

La gouvernance des données d’entraînement est un autre point de convergence. L’IA Act exige que les données utilisées pour entraîner les systèmes à haut risque soient pertinentes, représentatives, exemptes d’erreurs et complètes. Le RGPD exige que le traitement de données personnelles à des fins d’entraînement soit fondé sur une base légale valide. Les deux exigences se cumulent.

Comment DPLIANCE intègre l’IA de manière responsable

Chez DPLIANCE, nous utilisons l’IA dans nos produits — notamment Mistral, un modèle d’IA français et européen, intégré dans Complio pour automatiser l’audit de conformité RGPD.

Notre approche est guidée par trois principes :

  • Transparence : nous indiquons clairement quand l’IA intervient dans nos produits et ce qu’elle fait
  • Souveraineté : nous privilégions les modèles européens (Mistral) et l’hébergement en Europe (Scaleway) pour que les données ne quittent jamais le sol européen
  • Supervision humaine : l’IA dans Complio assiste et accélère l’audit, mais ne remplace pas l’expertise humaine. Les recommandations sont toujours vérifiables

La vie privée n’est pas un compromis. La souveraineté non plus. Et l’intelligence artificielle ne doit pas changer cette équation.

Découvrez comment Complio utilise l’IA pour automatiser votre conformité RGPD, et explorez l’ensemble de nos solutions souveraines.

FAQ

L’IA Act s’applique-t-il aux entreprises qui utilisent l’IA sans la développer ?

Oui. L’IA Act distingue les “fournisseurs” (qui développent) et les “déployeurs” (qui utilisent). Les déployeurs de systèmes à haut risque ont des obligations spécifiques : supervision humaine, information des personnes concernées, utilisation conforme aux instructions du fournisseur. Pour les systèmes à risque limité (chatbots, générateurs de contenu), l’obligation principale est la transparence envers l’utilisateur.

Mon chatbot est-il concerné par l’IA Act ?

Oui, au minimum au titre des obligations de transparence (risque limité) : vous devez informer les utilisateurs qu’ils interagissent avec une IA. Si le chatbot prend des décisions impactant les droits des personnes (ex : éligibilité à un service), il pourrait être classé à haut risque. L’analyse dépend de l’usage concret et non de la technologie elle-même.

Quelles sont les sanctions prévues par l’IA Act ?

Les amendes varient selon la gravité de l’infraction : jusqu’à 35 millions d’euros ou 7 % du chiffre d’affaires mondial pour les pratiques interdites, jusqu’à 15 millions ou 3 % pour les autres obligations. Des montants réduits sont prévus pour les PME. Le règlement prévoit également que les autorités nationales de surveillance (en France, probablement la CNIL) pourront imposer des mesures correctives, des retraits du marché et des interdictions temporaires d’utilisation.

Quelle est la différence entre l’IA Act et le RGPD ?

Le RGPD encadre le traitement des données personnelles. L’IA Act encadre les systèmes d’intelligence artificielle eux-mêmes — leur conception, leur mise sur le marché et leur utilisation. Les deux textes sont complémentaires et peuvent s’appliquer simultanément à un même système. En cas de conflit, les règles les plus protectrices pour les personnes prévalent.

Dois-je arrêter d’utiliser l’IA dans mon entreprise ?

Non. La grande majorité des usages de l’IA en entreprise (assistants, automatisation, analyse de données) relève du risque minimal et ne fait l’objet d’aucune restriction. L’IA Act cible les usages à risque élevé, pas l’IA en général. L’objectif du règlement n’est pas de freiner l’innovation, mais de s’assurer que l’IA est utilisée de manière responsable et respectueuse des droits fondamentaux.

Comment me préparer concrètement avant août 2026 ?

Commencez par un inventaire de tous les systèmes d’IA utilisés dans votre entreprise. Classifiez-les selon les catégories de risque du règlement. Pour les systèmes à haut risque, contactez vos fournisseurs pour obtenir la documentation technique. Formez vos équipes. Et documentez tout : en cas de contrôle, la preuve de votre démarche de mise en conformité sera votre meilleur atout.

Guides complets — Cet article fait partie de plusieurs guides approfondis DPLIANCE. Consultez les guides piliers :

Sources : Règlement (UE) 2024/1689 — IA Act, Service-public.fr — AI Act : quels changements pour les entreprises, CNIL — Intelligence artificielle, Naaia — Calendrier AI Act 2026. Article mis à jour le 28 janvier 2026.

Écrivez-nous

contact@dpliance.com
Nous contacter