L'AI Act, officiellement Reglement (UE) 2024/1689 du Parlement europeen et du Conseil du 13 juin 2024 etablissant des regles harmonisees concernant l'intelligence artificielle, est le premier cadre juridique horizontal au monde regulant l'IA, entre en vigueur le 1er aout 2024 apres publication au Journal officiel de l'Union europeenne du 12 juillet 2024. Ce texte de 113 articles et 13 annexes adopte une approche par les risques qui distingue quatre niveaux : pratiques d'IA inacceptables (interdites depuis le 2 fevrier 2025), systemes d'IA a haut risque soumis a des obligations strictes (gestion de la qualite, documentation technique, supervision humaine, robustesse), systemes a risque limite imposant des obligations de transparence (chatbots, deepfakes, contenus generes), et systemes a risque minimal librement deployables. L'AI Act regule egalement les modeles d'IA a usage general (GPAI) tels que GPT-5, Claude Opus 4.7, Gemini 2.5 ou Llama 4, avec un regime renforce pour les modeles presentant un risque systemique (puissance d'entrainement superieure a 10^25 FLOPs). Le texte cree l'AI Office europeen, fixe des sanctions pouvant atteindre 35 millions d'euros ou 7 % du chiffre d'affaires mondial pour les pratiques interdites, et s'applique progressivement entre fevrier 2025 et aout 2027. Sa mise en oeuvre concrete s'articule avec le RGPD, la directive NIS 2, le reglement DORA et la norme volontaire ISO/IEC 42001 (Systeme de Management de l'IA).

A retenir

  • L'AI Act est le Reglement (UE) 2024/1689, premier cadre juridique mondial horizontal sur l'IA, entre en vigueur le 1er aout 2024.
  • Approche par les risques a quatre niveaux : inacceptable (interdit), haut risque (obligations strictes), limite (transparence) et minimal (libre).
  • Modeles GPAI regles depuis aout 2025, avec un regime systemique renforce au-dela de 10^25 FLOPs (GPT-5, Claude Opus, Gemini Ultra).
  • Sanctions jusqu'a 35 M EUR ou 7 % du CA mondial pour les pratiques interdites, 15 M EUR ou 3 % pour les autres manquements.
  • Application progressive : interdictions en fevrier 2025, GPAI en aout 2025, haut risque hors Annexe II en aout 2026, et reste en aout 2027.
  • Articulation avec le RGPD (donnees), NIS 2 (cybersecurite), DORA (finance) et la norme volontaire ISO/IEC 42001 pour la conformite operationnelle.

Definition de l'AI Act et perimetre du Reglement (UE) 2024/1689

L'AI Act est defini par son article 1er comme un reglement etablissant des regles harmonisees pour la mise sur le marche, la mise en service et l'utilisation de systemes d'intelligence artificielle dans l'Union europeenne, dans le respect des valeurs et droits fondamentaux de l'Union (Charte des droits fondamentaux). Son article 3 definit un systeme d'IA comme un systeme automatise, concu pour fonctionner avec divers niveaux d'autonomie, qui peut faire preuve d'adaptabilite apres deploiement et qui, pour des objectifs explicites ou implicites, deduit, a partir des entrees qu'il recoit, comment generer des sorties (predictions, contenu, recommandations, decisions) susceptibles d'influencer des environnements physiques ou virtuels — definition alignee sur celle de l'OCDE revisee en 2023. Le reglement s'applique de maniere extraterritoriale (effet Bruxelles) : tout fournisseur, deployeur, importateur, distributeur ou fabricant produisant des sorties d'IA utilisees dans l'UE est concerne, qu'il soit etabli a Mountain View, Pekin ou Tel Aviv. Le texte officiel reside sur eur-lex.europa.eu dans toutes les langues officielles, et la documentation operationnelle de la Commission est centralisee sur digital-strategy.ec.europa.eu.

Histoire et chronologie d'adoption de l'AI Act

La genese de l'AI Act remonte au White Paper on Artificial Intelligence de la Commission europeenne publie en fevrier 2020, suivi de la proposition legislative initiale du 21 avril 2021. Le texte a traverse trois ans et demi de procedure legislative ordinaire : positions du Parlement europeen en juin 2023, mandat de negociation du Conseil en decembre 2022, puis trilogue acheve dans la nuit du 8 au 9 decembre 2023 apres 38 heures de negociation marathon, principalement sur les modeles de fondation et la biometrie temps reel. Le texte de compromis a ete approuve par le Parlement en pleniere le 13 mars 2024 par 523 voix pour, 46 contre et 49 abstentions, puis par le Conseil le 21 mai 2024. La signature solennelle est intervenue le 13 juin 2024, la publication au JOUE le 12 juillet 2024, et l'entree en vigueur le 1er aout 2024 (vingtieme jour suivant la publication). L'application progressive sur trois ans permet aux Etats membres et aux entreprises de se preparer : interdictions effectives au 2 fevrier 2025, regles GPAI au 2 aout 2025, regime haut risque hors Annexe II au 2 aout 2026, et regime complet incluant les systemes haut risque integres a des produits regules au 2 aout 2027.

Approche par les risques : les quatre niveaux du AI Act

L'AI Act repose sur une pyramide de risques a quatre niveaux qui determine les obligations applicables a un systeme d'IA donne. Cette taxonomie est l'epine dorsale du reglement et conditionne la cartographie de conformite que toute organisation doit produire.

                    +-----------------------------+
                    |   Risque INACCEPTABLE       |
                    |   (Article 5 - INTERDIT)    |
                    +-----------------------------+
                    |   Risque HAUT               |
                    |   (Annexe III, Art. 6-49)   |
                    +-----------------------------+
                    |   Risque LIMITE             |
                    |   (Art. 50 - Transparence)  |
                    +-----------------------------+
                    |   Risque MINIMAL            |
                    |   (Pas d'obligation - libre)|
                    +-----------------------------+

Le niveau inacceptable regroupe huit categories d'usages prohibes (manipulation cognitive, scoring social, biometrie temps reel non autorisee, etc.). Le niveau haut risque impose un regime de conformite proche du marquage CE des dispositifs medicaux : evaluation, documentation, surveillance post-marche. Le niveau limite impose une simple obligation de transparence (informer l'utilisateur qu'il interagit avec une IA, etiqueter les deepfakes). Le niveau minimal couvre la grande majorite des usages courants (filtres anti-spam, recommandations e-commerce non sensibles, jeux video) et n'entraine aucune obligation reglementaire au titre de l'AI Act, sans prejudice du RGPD.

Pratiques d'IA interdites par l'article 5

L'article 5 de l'AI Act, applicable depuis le 2 fevrier 2025, prohibe huit pratiques d'IA jugees incompatibles avec les valeurs de l'Union. Sont interdits : (1) les techniques subliminales ou manipulatrices echappant a la conscience et alterant materiellement le comportement ; (2) l'exploitation des vulnerabilites liees a l'age, au handicap ou a la situation socio-economique ; (3) les systemes de notation sociale par les autorites publiques (style credit social chinois) ; (4) l'evaluation predictive du risque criminel sur la seule base du profilage ; (5) la creation de bases de donnees de reconnaissance faciale par moisson non ciblee d'images sur Internet ou la videosurveillance (interdit le modele Clearview AI) ; (6) la reconnaissance des emotions sur le lieu de travail et dans les etablissements d'enseignement (sauf raison medicale ou de securite) ; (7) la categorisation biometrique deduisant des attributs sensibles (race, opinion politique, orientation sexuelle, religion) ; (8) la biometrie temps reel a distance dans les espaces accessibles au public a des fins repressives, sauf trois exceptions strictes (recherche cible de victimes, prevention d'attentat imminent, localisation d'auteurs d'infractions graves listees) avec autorisation prealable d'une autorite judiciaire ou administrative independante. La CNIL et l'ANSSI ont publie en mars 2025 un guide commun precisant l'interpretation francaise de ces interdictions, accessible sur cnil.fr.

Systemes d'IA a haut risque : Annexe III et secteurs reglementes

Les systemes d'IA a haut risque sont definis par les articles 6 et 7 et detailles a l'Annexe III qui liste huit domaines critiques. Sont considerees comme haut risque les IA utilisees pour : (1) la biometrie non interdite (identification biometrique a distance, categorisation, reconnaissance des emotions hors contextes interdits) ; (2) la gestion des infrastructures critiques (transport routier, alimentation en eau, gaz, electricite, chauffage urbain) ; (3) l'education et formation professionnelle (admission, evaluation, detection de comportements interdits aux examens) ; (4) l'emploi, gestion RH et travailleurs independants (recrutement, selection de CV, evaluation de performance, repartition des taches, supervision algorithmique) ; (5) l'acces aux services prives essentiels et publics (credit, assurance vie et sante, prestations sociales, triage urgences medicales, dispatching pompiers) ; (6) l'application de la loi (evaluation de fiabilite des preuves, profilage, polygraphes IA) ; (7) la migration, asile et controle aux frontieres (evaluation de risque migratoire, traitement des demandes d'asile) ; (8) l'administration de la justice et processus democratiques (assistance a l'interpretation et application du droit, influence sur les resultats electoraux). Au-dela de l'Annexe III, sont aussi haut risque les systemes integres comme composant de securite a un produit deja regule (jouets, ascenseurs, dispositifs medicaux, machines, vehicules, aviation civile) — voir notre guide detaille de classification.

Obligations applicables aux systemes a haut risque (articles 8-29)

Les fournisseurs de systemes haut risque doivent respecter sept categories d'obligations cumulatives, transposees du marquage CE des dispositifs medicaux et machines. Premierement, un systeme de gestion des risques (article 9) documente et iteratif sur tout le cycle de vie. Deuxiemement, une gouvernance des donnees (article 10) garantissant qualite, representativite et absence de biais des jeux d'entrainement, validation et test. Troisiemement, une documentation technique (article 11, Annexe IV) listant architecture, jeux de donnees, performance, limitations connues. Quatriemement, des capacites de journalisation automatique (article 12) permettant la tracabilite. Cinquiemement, la transparence et fourniture d'informations aux deployeurs (article 13) via une notice d'utilisation. Sixiemement, un controle humain effectif (article 14) avec mecanismes de surveillance, override et stop. Septiemement, un niveau approprie d'exactitude, robustesse et cybersecurite (article 15) incluant resilience aux erreurs, attaques adversariales (poisoning, evasion, model inversion) et continuity. Avant mise sur le marche, le fournisseur procede a une evaluation de conformite (article 43) — autoevaluation pour la majorite des cas Annexe III, audit par organisme notifie pour les biometriques et certains produits. Le systeme est ensuite enregistre dans la base de donnees europeenne publique (article 71) et porte le marquage CE IA. Les deployeurs ont des obligations propres (article 26) : utilisation conforme, surveillance humaine effective, conservation des journaux six mois minimum, analyse d'impact sur les droits fondamentaux pour les acteurs publics et services essentiels.

Modeles d'IA a usage general (GPAI) — articles 51-56

L'AI Act regule specifiquement les modeles d'IA a usage general (General Purpose AI, GPAI), introduits dans le texte lors du trilogue de decembre 2023 sous la pression de la France, l'Allemagne et l'Italie. Un GPAI est un modele d'IA, y compris entraine sur de gros volumes de donnees avec auto-supervision a grande echelle, presentant une generalite significative et capable d'executer un large eventail de taches distinctes — definition couvrant les large language models (GPT-5, Claude Opus 4.7, Gemini 2.5, Llama 4, Mistral Large 3, DeepSeek V3), les modeles de generation d'images (DALL-E 4, Midjourney, Stable Diffusion XL Turbo), de generation video (Sora 2, Runway Gen-4) et les modeles multimodaux. Tout fournisseur de GPAI place sur le marche europeen depuis le 2 aout 2025 doit respecter quatre obligations de base (article 53) : (1) tenir et tenir a jour une documentation technique du modele incluant processus d'entrainement et tests ; (2) fournir une information aux deployeurs aval qui integrent le modele dans leurs systemes ; (3) mettre en place une politique de respect du droit d'auteur de l'Union, notamment via le mecanisme d'opt-out de l'article 4 de la directive 2019/790 ; (4) publier un resume detaille du contenu utilise pour l'entrainement selon un modele template fourni par l'AI Office. Les GPAI distribues sous licences libres et ouvertes bénéficient d'exemptions partielles, sauf classification systemique.

GPAI a risque systemique : seuil 10^25 FLOPs et obligations renforcees

L'article 51 introduit la categorie des GPAI presentant un risque systemique, soumise a un regime considerablement renforce. Un GPAI est presume systemique si la quantite cumulee de calcul utilisee pour son entrainement, mesuree en operations en virgule flottante (FLOPs), est superieure a 10^25 FLOPs — seuil franchi en 2026 par GPT-5, Claude Opus 4.7, Gemini 2.5 Ultra, et susceptible de l'etre par Llama 4 Behemoth et Grok 4. La Commission peut aussi classer comme systemique un modele en deca du seuil sur la base de criteres qualitatifs (modalites, nombre d'utilisateurs, integration dans services critiques, autonomie). Les fournisseurs de GPAI systemiques doivent en plus des obligations de base (article 55) : (1) realiser une evaluation du modele incluant red teaming adversarial standardise pour identifier risques systemiques ; (2) evaluer et attenuer les risques systemiques au niveau de l'Union (manipulation a grande echelle, cyberattaques offensives, risques biologiques/chimiques/nucleaires, perte de controle) ; (3) signaler les incidents graves a l'AI Office sans delai indu et au plus tard 15 jours ; (4) garantir un niveau adequat de cybersecurite pour le modele et son infrastructure physique, en lien avec la directive NIS 2. La notification au depassement du seuil est due dans les deux semaines.

Code de Bonnes Pratiques GPAI — Code of Practice 2025

L'article 56 prevoit l'elaboration d'un Code de Bonnes Pratiques (Code of Practice on General-Purpose AI) servant d'instrument de soft law transitoire jusqu'a l'adoption de normes harmonisees europeennes. La premiere version finalisee a ete publiee par l'AI Office le 10 juillet 2025 apres neuf mois de redaction collaborative pilotee par treize co-presidents independants (dont Yoshua Bengio et Marietje Schaake) et plus de mille parties prenantes (industrie, academie, societe civile, regulateurs nationaux). Le Code se structure en trois chapitres : Transparence (template de documentation modele, resume training data), Droit d'auteur (mesures de respect des opt-outs TDM, gestion des plaintes ayants droit) et Surete et Securite (uniquement pour les GPAI systemiques, couvrant le framework de gestion des risques systemiques, evaluation des capacites dangereuses, cybersecurite, gouvernance interne et reporting d'incidents). La signature du Code par un fournisseur GPAI cree une presomption de conformite aux obligations correspondantes de l'AI Act jusqu'a la publication des normes harmonisees attendues vers 2027-2028. OpenAI, Anthropic, Google DeepMind, Microsoft, Mistral AI, Aleph Alpha et IBM ont signe la version aout 2025 ; xAI et Meta ont publiquement refuse de signer le pilier surete-securite. Le texte du Code reside sur digital-strategy.ec.europa.eu.

Calendrier d'application progressive 2024-2027

L'application de l'AI Act s'echelonne sur trois ans selon un calendrier strict fixe a l'article 113. Le tableau ci-dessous resume les jalons cles que toute organisation doit anticiper dans son plan de conformite.

DATE          ECHEANCE                                              REFERENCE
----------    --------------------------------------------------    ------------
01/08/2024    Entree en vigueur du reglement                        Art. 113
02/02/2025    Interdictions (art. 5) + obligations litteratie IA     Art. 113 (a)
02/05/2025    Codes de bonnes pratiques GPAI publies                 Art. 56
02/08/2025    Regles GPAI + gouvernance + sanctions GPAI applicables Art. 113 (b)
02/02/2026    AI Office, registre EU, reporting incidents systemiques Art. 64+
02/08/2026    Regime haut risque Annexe III applicable               Art. 113 (c)
02/08/2027    Regime haut risque produits regules + GPAI pre-2025    Art. 113 (d)

Les modeles GPAI mis sur le marche avant le 2 aout 2025 beneficient d'une periode de mise en conformite jusqu'au 2 aout 2027. Les autorites de surveillance du marche (en France la CNIL et l'ANSSI, partiellement la DGCCRF et l'ARCOM) doivent etre designees au plus tard le 2 aout 2025. Les Etats membres doivent transposer les exigences administratives et notifier les organismes notifies competents (un par autorite par categorie de produit haut risque) avant la meme echeance.

Sanctions et regime de penalites

Le regime de sanctions de l'AI Act, defini aux articles 99 a 101, est calque sur le RGPD avec un plafond superieur. Trois niveaux de penalite s'appliquent en fonction de la gravite : jusqu'a 35 millions d'euros ou 7 % du chiffre d'affaires annuel mondial (le plus eleve des deux) pour la mise en oeuvre de pratiques interdites de l'article 5 ; jusqu'a 15 millions d'euros ou 3 % du chiffre d'affaires pour le manquement aux obligations applicables aux fournisseurs et deployeurs de systemes haut risque, GPAI, transparence ou enregistrement ; jusqu'a 7,5 millions d'euros ou 1 % du chiffre d'affaires pour la fourniture d'informations incorrectes, incompletes ou trompeuses aux organismes notifies et autorites competentes. Pour les PME et start-ups, le plafond le plus bas s'applique afin de ne pas mettre en peril leur viabilite. Les sanctions specifiques aux fournisseurs de GPAI sont fixees par l'AI Office et peuvent atteindre 3 % du CA mondial ou 15 millions d'euros. La premiere campagne d'investigations menee par l'AI Office et les autorites nationales depuis aout 2025 cible prioritairement les chatbots non transparents et les outils RH algorithmiques non declares — voir notre analyse 2026.

AI Office et autorites nationales competentes

La gouvernance institutionnelle de l'AI Act repose sur un edifice multi-niveau. Au niveau europeen, l'AI Office (officiellement European AI Office) a ete cree en fevrier 2024 au sein de la DG CNECT de la Commission europeenne, avec un mandat etendu au 1er aout 2024. Dirige par Lucilla Sioli, l'AI Office concentre l'expertise technique, supervise directement les modeles GPAI, redige les codes de bonnes pratiques, gere la base de donnees europeenne des systemes haut risque et coordonne les autorites nationales. Le European Artificial Intelligence Board rassemble les representants des autorites nationales et la Commission. Un Forum consultatif integre l'industrie, les PME, les start-ups, la societe civile et l'academie. Un panel scientifique d'experts independants alerte sur les risques systemiques emergents. Au niveau national, chaque Etat membre designe une autorite notifiante et une autorite de surveillance du marche. En France, le decret du 1er aout 2025 a designe la CNIL comme autorite chef de file pour l'IA, l'ANSSI pour la cybersecurite des systemes haut risque et GPAI systemiques, la DGCCRF pour les jouets et produits de consommation, l'ARCOM pour les contenus, et le Defenseur des droits pour les droits fondamentaux. La Mission interministerielle pour l'IA coordonne ces acteurs. Aux Pays-Bas, c'est l'Autoriteit Persoonsgegevens ; en Allemagne, la BNetzA et le BfDI ; en Italie, l'AgID et le Garante.

Articulation avec RGPD, NIS 2, DORA et ISO 42001

L'AI Act s'articule avec un ecosysteme reglementaire deja dense. Le RGPD reste pleinement applicable a tout traitement de donnees personnelles par un systeme d'IA : licence legale, minimisation, droit a l'explication des decisions automatisees (article 22 RGPD), DPIA en cas de risque eleve. La directive NIS 2 impose des obligations de cybersecurite aux secteurs essentiels et importants, dont les fournisseurs de services numeriques utilisant de l'IA pour des fonctions critiques — la cyberresilience d'un GPAI systemique releve a la fois de l'AI Act et de NIS 2. Le reglement DORA (Digital Operational Resilience Act) couvre depuis le 17 janvier 2025 le secteur financier, exigeant gestion des risques ICT, tests de resilience et controle des prestataires tiers critiques — un fournisseur GPAI utilise pour le credit scoring devient prestataire DORA. La norme volontaire ISO/IEC 42001:2023 offre un Systeme de Management de l'IA (SMIA) certifiable qui fournit le cadre operationnel pour demontrer la conformite a l'AI Act : clauses 6.1.2 (gestion des risques), 7.5 (documentation), 8.2 (concept developpement) et Annexe A. Voir notre guide complet ISO 42001 et la certification Lead Auditor. La double conformite RGPD + AI Act est un sujet emergent de jurisprudence en 2026.

Conformite pratique : 8 etapes pour les organisations

La mise en conformite operationnelle a l'AI Act suit huit etapes structurees, applicables aussi bien a un grand groupe qu'a une PME. Etape 1 — Inventaire IA exhaustif : recenser tout systeme d'IA developpe, achete, integre, y compris les modeles internes (Excel ML, scripts Python en production), les SaaS contenant de l'IA (Salesforce Einstein, Microsoft Copilot, Workday) et les usages shadow IT (ChatGPT employes). Etape 2 — Classification du risque : positionner chaque systeme dans la pyramide (interdit, haut risque Annexe III, integration produit regule, GPAI, transparence, minimal). Etape 3 — Cartographie des roles : qualifier l'organisation comme fournisseur, deployeur, importateur, distributeur ou fabricant pour chaque systeme — un meme acteur peut cumuler plusieurs roles. Etape 4 — Documentation technique : produire les artefacts Annexe IV pour les systemes haut risque developpes en interne (description, architecture, donnees, performance, limites, monitoring). Etape 5 — Tests et evaluation de conformite : red teaming, tests de robustesse, evaluation des biais, performance, cybersecurite — appel a un organisme notifie si requis. Etape 6 — Mecanismes de gouvernance : politique IA, comite IA, formation continue (litteratie IA obligatoire depuis fevrier 2025 pour tout deployeur, article 4), procedures incident, registre des decisions automatisees. Etape 7 — Contrats fournisseurs : clauses AI Act dans les contrats SaaS, droits d'audit, transparence sur l'utilisation de GPAI, repartition des responsabilites entre fournisseur et deployeur. Etape 8 — Surveillance post-marche : monitoring continu, conservation des journaux, reporting d'incidents graves dans les delais legaux (15 jours pour GPAI systemiques, sans delai indu pour haut risque).

AI Act vs NIST AI RMF vs ISO/IEC 42001

Trois cadres dominent le paysage mondial de la gouvernance IA en 2026 et meritent comparaison structuree. Le AI Act est un reglement contraignant a portee territoriale UE et effet extraterritorial, appliquant une approche par les risques avec sanctions financieres lourdes. Le NIST AI Risk Management Framework (AI RMF 1.0 publie en janvier 2023, version 1.1 en 2025) est un cadre volontaire americain articule en quatre fonctions (Govern, Map, Measure, Manage) et un Generative AI Profile dedie aux LLM publie en juillet 2024. Il est largement adopte aux Etats-Unis suite a l'Executive Order 14110 de Biden (largement abroge en janvier 2025 par l'EO Trump) puis maintenu par les agences federales et le secteur prive. La norme ISO/IEC 42001:2023 est un standard international certifiable definissant un Systeme de Management de l'IA (SMIA) sur le modele ISO 27001/9001 (Plan-Do-Check-Act, 38 controles annexe A). Les trois cadres sont complementaires : ISO 42001 fournit l'operationnel, le NIST AI RMF outille l'analyse de risque technique, et l'AI Act impose les obligations legales. Une organisation europeenne mature 2026 combine generalement les trois : certification ISO 42001 pour la gouvernance, NIST AI RMF Generative AI Profile pour la methodologie d'evaluation, et reporting AI Act pour les autorites. Voir notre service ISO 27001 pour la combinaison cybersecurite + IA.

Etat de l'adoption en France et acteurs nationaux

La France a active sa preparation a l'AI Act des 2023 via le rapport du Comite de l'IA generative (Anne Bouverot) puis la loi du 21 mai 2024 portant adaptation. Le decret 2025-XXX du 1er aout 2025 a designe les autorites competentes : la CNIL est autorite chef de file pour l'IA, capitalisant sur son service IA cree fin 2023 et son plan d'action IA 2024-2027. L'ANSSI couvre la cybersecurite des systemes haut risque et des GPAI systemiques, dans la continuite de NIS 2 et du cadre national. La DGCCRF, l'ARCOM, le Defenseur des droits et la Banque de France (pour les services financiers) interviennent sur leur perimetre. La Mission interministerielle pour l'intelligence artificielle, creee en septembre 2024 et placee sous le SGPI, coordonne l'execution gouvernementale. Le Conseil national du numerique et le Comite consultatif national d'ethique pour l'IA jouent un role consultatif. Le Sommet IA de Paris de fevrier 2025 a marque l'engagement francais avec 109 milliards d'euros d'investissements annonces par les acteurs prives et la creation du sommet international annuel sur l'IA. La CNIL publie depuis avril 2025 des guides sectoriels (RH IA, biometrie, GenAI corp, education) accessibles sur cnil.fr. Au 1er trimestre 2026, plus de 850 entreprises francaises ont declare avoir initie un programme de mise en conformite AI Act, dont 320 ont vise une certification ISO 42001 simultanee.

Cas d'usage concrets et impacts sectoriels

Quatre familles d'usages illustrent l'impact concret de l'AI Act sur les organisations en 2026. Premierement, les outils RH bases sur l'IA (Workday Talent, SAP SuccessFactors, HireVue, parsing CV avec LLM, evaluation video interview) sont systematiquement haut risque (Annexe III point 4) : audit de biais obligatoire, surveillance humaine sur chaque decision impactante, journalisation des entretiens IA et information explicite des candidats. Deuxiemement, les systemes de scoring credit (FICO, Experian, banques retail) tombent en haut risque (Annexe III point 5) avec articulation DORA pour le secteur bancaire : evaluation de conformite, registre EU, droit a l'explication des decisions de refus de credit. Troisiemement, la RPA augmentee par IA (UiPath AI Center, Automation Anywhere IQ Bot) qui inclut OCR ML, NLP de classification ou prise de decision automatisee est haut risque si elle entre dans un domaine Annexe III, sinon risque limite (transparence). Quatriemement, l'IA generative en entreprise (Microsoft Copilot, ChatGPT Enterprise, Claude pour Workspaces, Gemini for Workspace, GitHub Copilot, Cursor) entraine des obligations de transparence vis-a-vis des employes, de gouvernance des prompts et donnees envoyees, et de respect du droit d'auteur sur les outputs. Le fournisseur GPAI sous-jacent (OpenAI, Anthropic, Google) porte ses propres obligations article 53/55 ; le deployeur entreprise reste responsable de l'usage final, notamment dans les processus haut risque ou il integre la GenAI.

FAQ : Questions frequentes sur l'AI Act

ChatGPT en entreprise est-il concerne par l'AI Act ?

Oui. ChatGPT et autres assistants GenAI declenchent plusieurs regimes : (1) OpenAI en tant que fournisseur GPAI (et GPAI systemique pour GPT-5) supporte les obligations articles 53-55 ; (2) l'entreprise utilisatrice est deployeur et doit respecter la litteratie IA (article 4) et la transparence (article 50) en informant les employes et clients qu'ils interagissent avec une IA ; (3) si la GenAI alimente un processus haut risque (recrutement, scoring), les obligations haut risque s'ajoutent. Une politique GenAI interne, formation des collaborateurs et clauses contractuelles fournisseur sont indispensables.

Les sanctions sont-elles deja effectives en 2026 ?

Oui pour les pratiques interdites depuis le 2 fevrier 2025 et pour les GPAI depuis le 2 aout 2025. La CNIL et les autres autorites de surveillance des Etats membres peuvent prononcer des amendes administratives. Les premieres procedures formelles ouvertes par l'AI Office en mars 2026 concernent quatre fournisseurs de chatbots non conformes a l'obligation de transparence et deux outils RH non declares. Les sanctions haut risque ne s'appliqueront pleinement qu'a partir du 2 aout 2026.

Quelles sont les dates cles a retenir ?

1er aout 2024 (entree en vigueur), 2 fevrier 2025 (interdictions et litteratie IA), 2 aout 2025 (GPAI et gouvernance), 2 aout 2026 (haut risque Annexe III), 2 aout 2027 (regime complet). Toute organisation doit avoir cartographie son inventaire IA et classifie les risques avant aout 2026 au plus tard.

La certification ISO 42001 est-elle obligatoire ?

Non. ISO/IEC 42001 est une norme volontaire. Elle n'est pas exigee par le texte de l'AI Act mais constitue le cadre operationnel le plus reconnu pour demontrer la mise en oeuvre des obligations (gestion des risques, documentation, monitoring). La certification facilite les audits, les appels d'offres publics et l'articulation multi-juridictionnelle (UE, US, Royaume-Uni, Canada). Les normes europeennes harmonisees CEN-CENELEC publiees a partir de 2027-2028 creeront, elles, une presomption de conformite legale.

Existe-t-il des exemptions pour les PME et start-ups ?

Oui mais limitees. L'article 62 prevoit un acces prioritaire aux bacs a sable reglementaires nationaux pour les PME et start-ups. Les sanctions appliquent le plafond le plus bas (entre montant fixe et pourcentage CA). L'article 95 encourage les codes de conduite volontaires adaptes. Toutefois, aucune exemption substantielle ne s'applique aux interdictions article 5 ni aux obligations haut risque : une start-up RH developpant un parsing CV est aussi contraintes qu'un grand editeur. Les modeles GPAI open source beneficient d'exemptions partielles tant qu'ils ne sont pas systemiques.

Liens approfondis et ressources officielles

Pour aller plus loin, consultez le texte officiel sur eur-lex.europa.eu/eli/reg/2024/1689/oj, le portail Commission europeenne digital-strategy.ec.europa.eu, le dossier IA de la CNIL, ainsi que nos analyses internes : conformite IA 2026, sanctions activees aout 2025, classification haut risque, ISO 42001 guide complet, Lead Auditor ISO 42001, double conformite RGPD/IA Act, ainsi que nos services ISO 27001 et nos datasets reglementaires pour outiller votre programme de conformite.