Le règlement européen sur l’IA n’est plus à venir. Il est là. L’interdiction des systèmes d’IA à risque inacceptable est applicable depuis le 2 février 2025. Les obligations relatives aux modèles d’IA à usage général sont entrées en vigueur le 2 août 2025. Et l’ensemble complet des exigences applicables aux systèmes à haut risque — gestion des risques, documentation technique, supervision humaine, évaluation de conformité — prend effet le 2 août 2026.[1] Cela est dans quatre mois.

Pour les équipes de conformité des entreprises, le défi n’est pas de comprendre la réglementation de manière abstraite. Il consiste à l’opérationnaliser sur des dizaines ou des centaines de systèmes d’IA, chacun présentant des profils de risque, des fournisseurs et des contextes de déploiement différents. Le volume de commentaires juridiques sur le règlement est considérable ; les orientations pratiques de mise en œuvre sont rares.

Ce guide comble cette lacune. Il propose une approche structurée de la conformité au règlement européen sur l’IA pour les équipes d’entreprise — couvrant la classification des risques, les obligations associées à chaque niveau, le calendrier d’application et un plan d’action séquencé pour les mois à venir.

Le calendrier d’application

Le règlement est entré en vigueur le 1er août 2024, mais les obligations sont déployées par étapes successives. Comprendre quelles obligations sont déjà actives et lesquelles approchent constitue le point de départ de tout programme de conformité.

Le Digital Omnibus proposé en novembre 2025 prolongerait l’échéance de l’annexe III (haut risque) jusqu’en décembre 2027 et l’échéance de l’annexe I (produits embarqués) jusqu’en août 2028.[2] Toutefois, ces propositions ne sont pas encore du droit positif — les négociations en trilogue entre le Parlement, le Conseil et la Commission sont en cours, et l’issue reste incertaine. Les entreprises doivent planifier sur la base de la date d’août 2026 et traiter toute prolongation comme une contingence, non comme une référence de base.

Classification des risques : où se situe chaque système d’IA ?

L’architecture réglementaire du règlement repose sur un système de classification des risques à quatre niveaux. Chaque système d’IA qu’une entreprise conçoit, achète ou déploie doit être classé selon ces niveaux.

Risque inacceptable : pratiques interdites (article 5)

Huit catégories d’usage de l’IA sont purement et simplement interdites, avec des amendes pouvant atteindre 35 millions d’euros ou 7 % du chiffre d’affaires annuel mondial.[3] Les plus pertinentes pour les entreprises :

• Reconnaissance des émotions sur le lieu de travail ou dans l’éducation — systèmes d’IA qui infèrent les états émotionnels des employés ou des étudiants, sauf lorsqu’ils sont utilisés à des fins de sécurité ou médicales

• Catégorisation biométrique selon des attributs sensibles — systèmes qui classent des individus par race, opinions politiques, appartenance syndicale, convictions religieuses, vie sexuelle ou orientation sexuelle à l’aide de données biométriques

• Notation sociale — systèmes utilisés par les autorités publiques pour évaluer des individus dans le temps sur la base de comportements sociaux, conduisant à un traitement disproportionné

• Manipulation subliminale — IA utilisant des techniques sous le seuil de conscience pour altérer les comportements d’une manière susceptible de causer un préjudice significatif

Action entreprise : auditer immédiatement tous les systèmes d’IA pour évaluer leur proximité avec ces catégories. Les outils RH utilisant l’analyse des émotions, les systèmes biométriques et les outils de notation comportementale exigent un examen particulier. Si un système ne peut pas être clairement distingué d’une pratique interdite, il convient de l’arrêter ou de le repenser. Cette obligation est applicable depuis février 2025.

Haut risque : l’obligation centrale de conformité

La classification à haut risque est déclenchée par deux voies.[4]

Voie 1 — Composants de sécurité (article 6(1)) : systèmes d’IA constituant un composant de sécurité de produits déjà régis par la législation sectorielle de l’UE (dispositifs médicaux, machines, aviation, automobile, équipements sous pression et autres listés à l’annexe I), lorsque ces produits nécessitent une évaluation de conformité par un tiers.

Voie 2 — Systèmes autonomes de l’annexe III (article 6(2)) : systèmes d’IA déployés dans huit catégories d’usage sensibles :

Nuance importante : en vertu de l’article 6(3), un fournisseur peut déterminer qu’un système relevant d’une catégorie de l’annexe III ne présente pas en réalité de risque significatif, à condition qu’il soit utilisé à une fin procédurale étroite, n’influence pas les décisions substantielles, ou que le risque soit démontrablement négligeable au regard du contexte. Le fournisseur doit notifier l’autorité nationale de surveillance du marché compétente et enregistrer cette auto-détermination dans la base de données de l’UE avant sa prise d’effet. Il ne s’agit pas d’une exemption de risque — c’est une affirmation documentée et auditable qui doit résister au contrôle réglementaire.

Risque limité : obligations de transparence (article 50)

Les systèmes qui interagissent directement avec des individus mais ne relèvent pas des catégories à haut risque doivent satisfaire aux exigences de transparence à partir d’août 2026 :

• Les chatbots et l’IA conversationnelle doivent indiquer que l’utilisateur interagit avec un système d’IA

• Les contenus deepfake doivent être étiquetés comme générés ou manipulés par IA

• Les textes générés par IA sur des sujets d’intérêt public nécessitent une divulgation

• Les systèmes de reconnaissance des émotions et de catégorisation biométrique doivent informer les personnes exposées

Risque minimal : aucune obligation obligatoire

Les systèmes d’IA qui ne relèvent d’aucune des catégories ci-dessus — filtres anti-spam, moteurs de recommandation, outils d’assistance grammaticale par IA, IA dans les jeux vidéo — ne comportent aucune obligation obligatoire. Les codes de conduite volontaires au titre de l’article 95 sont encouragés, sans être requis.

Obligations applicables au haut risque : ce que la conformité exige réellement

Pour les systèmes d’IA classés à haut risque, le règlement impose sept catégories d’exigences obligatoires via les articles 9 à 15. Il ne s’agit pas de principes abstraits ; ce sont des obligations spécifiques, auditables et assorties d’exigences documentaires.

Gestion des risques (article 9)

Mettre en place un processus continu de gestion des risques — non pas une évaluation ponctuelle, mais un cycle permanent tout au long du cycle de vie du système d’IA. Le processus doit identifier et analyser les risques prévisibles pour la santé, la sécurité et les droits fondamentaux ; estimer et évaluer ces risques ; adopter des mesures d’atténuation (en donnant priorité aux changements de conception sur les contrôles opérationnels) ; et tester le système par rapport au plan de gestion des risques avant le déploiement. Les risques résiduels doivent être documentés et communiqués aux déployeurs.

Gouvernance des données (article 10)

Les jeux de données d’entraînement, de validation et de test doivent être pertinents, représentatifs, exempts d’erreurs et suffisamment complets. Les pratiques de gouvernance des données doivent couvrir la collecte, l’étiquetage, le traitement et la conservation. Des procédures de détection et de correction des biais sont requises, et les données à caractère personnel doivent être traitées conformément au RGPD.

Documentation technique (article 11 et annexe IV)

Préparer une documentation technique complète avant la mise sur le marché du système. L’annexe IV précise ce qui doit être inclus : description du système et finalité, spécifications de conception, méthodologie d’entraînement et caractéristiques des données, indicateurs de performance, procédures de test, limites connues, mesures de cybersécurité et plan de surveillance post-commercialisation. Cette documentation doit être tenue à jour et mise à disposition des autorités sur demande.

Conservation des enregistrements (article 12)

Les systèmes à haut risque doivent intégrer des capacités de journalisation automatique, enregistrant les événements pertinents pour identifier les risques et les modifications substantielles tout au long de la durée de vie du système. Les déployeurs doivent conserver les journaux pendant au moins six mois. Pour les systèmes d’IA agentiques opérant sur des chaînes de raisonnement en plusieurs étapes, l’exigence de journalisation est particulièrement exigeante — et particulièrement importante.

Transparence (article 13)

Les fournisseurs doivent fournir des instructions d’utilisation permettant aux déployeurs de comprendre les capacités, les limites, les indicateurs de précision, la finalité prévue et les mesures de supervision humaine requises du système. Les instructions doivent être compréhensibles pour une personne ne disposant pas de connaissances spécialisées en IA.

Supervision humaine (article 14)

Les systèmes doivent être conçus pour permettre une supervision humaine effective — c’est-à-dire que des humains peuvent comprendre les sorties du système, intervenir ou interrompre son fonctionnement, ignorer ou outrepasser les sorties, et empêcher le système de contourner les décisions humaines sans autorisation préalable. Les fournisseurs conçoivent la capacité ; les déployeurs affectent et forment un personnel qualifié pour l’exercer.

Précision, robustesse et cybersécurité (article 15)

Les systèmes doivent maintenir les niveaux de précision déclarés tout au long de leur cycle de vie, résister aux erreurs et incohérences des entrées, supporter les manipulations adversariales et respecter les normes de cybersécurité applicables.

Au-delà des articles 9 à 15, les fournisseurs doivent également établir un système de management de la qualité (article 17), se soumettre à une évaluation de conformité (article 43), émettre une déclaration UE de conformité (article 47), apposer le marquage CE (article 48), enregistrer le système dans la base de données de l’UE (article 71), mettre en œuvre une surveillance post-commercialisation (article 72) et signaler les incidents graves dans un délai de 15 jours (article 73).

La distinction fournisseur-déployeur

Le règlement répartit les obligations différemment selon qu’une organisation est un fournisseur (développe ou fait développer le système d’IA) ou un déployeur (l’utilise dans un contexte professionnel).[5]

Les fournisseurs supportent la charge la plus lourde : conformité complète aux articles 9 à 15, évaluation de conformité, documentation et surveillance post-commercialisation. Les déployeurs doivent utiliser les systèmes conformément aux instructions du fournisseur, confier la supervision humaine à du personnel qualifié, conserver les journaux, informer les personnes concernées et signaler les problèmes.

Frontière critique : une entreprise qui prend un système d’IA tiers et le modifie substantiellement, en change la finalité prévue, ou le met sur le marché sous sa propre marque devient un fournisseur au titre de l’article 25 et assume l’ensemble des obligations du fournisseur. Le fine-tuning d’un modèle de fondation pour un nouveau cas d’usage, par exemple, peut franchir ce seuil. Les organisations doivent cartographier chaque système d’IA selon le cadre fournisseur-déployeur et documenter la classification.

Pour les systèmes d’IA tiers, la diligence raisonnable du déployeur est essentielle. Demandez une documentation confirmant la classification de risque et le statut de conformité du système. Mettez à jour les contrats fournisseurs afin de couvrir le signalement des incidents, la conservation des journaux, les spécifications de supervision humaine et la répartition des responsabilités. Si un fournisseur ne peut pas fournir une documentation adéquate, cela constitue un risque de conformité significatif.

Scénario fréquent et sous-estimé : les grands fournisseurs SaaS (Salesforce, ServiceNow, Workday et d’autres) intègrent de plus en plus de capacités d’IA susceptibles d’être qualifiées de haut risque dans les catégories emploi ou services essentiels, tout en pouvant refuser de fournir une documentation de conformité. Le déployeur ne peut pas externaliser ses obligations de l’article 26 dans cette situation. Les déployeurs doivent soit mener leur propre évaluation de la fonctionnalité d’IA, soit restreindre l’usage à des contextes non haut risque, soit cesser l’utilisation jusqu’à disponibilité d’une documentation adéquate. Il s’agit d’un risque d’achat significatif qui doit être évalué avant le renouvellement contractuel. Enzai cartographie les obligations fournisseur-déployeur sur l’ensemble de votre pile IA, y compris les configurations GPAI en couches et les systèmes à haut risque.

Obligations relatives aux modèles GPAI

De nombreux systèmes d’IA d’entreprise sont construits sur des modèles d’IA à usage général — modèles de fondation d’Anthropic, OpenAI, Google, Meta et d’autres. Le règlement impose des obligations distinctes aux fournisseurs de modèles GPAI au titre des articles 51 à 56, applicables depuis août 2025.[6]

Tous les fournisseurs GPAI doivent maintenir une documentation technique, fournir aux intégrateurs en aval des informations suffisantes pour leur permettre de respecter leurs propres obligations, mettre en œuvre une politique de conformité au droit d’auteur et publier un résumé des données d’entraînement.

Les modèles au-dessus du seuil de risque systémique (calcul cumulé d’entraînement dépassant 10^25 FLOPs, ou désignés par la Commission sur la base de capacités démontrées) supportent des obligations supplémentaires : tests adversariaux, évaluation et atténuation des risques, signalement des incidents graves à l’Office européen de l’IA et protections de cybersécurité.

Le Code de bonnes pratiques GPAI, approuvé en août 2025, fournit une voie de conformité et crée une présomption de conformité pour les signataires.[7] L’Office européen de l’IA exerce une compétence de supervision exclusive sur les modèles GPAI, distincte des autorités nationales de surveillance du marché.

Pour les entreprises qui déploient des agents et des applications construits sur des modèles GPAI tiers, l’implication pratique est une conformité en couches : le fournisseur du modèle porte les obligations GPAI, tandis que l’organisation déployante porte les obligations relatives aux systèmes à haut risque pour la couche applicative. La clarté sur le point de terminaison d’un ensemble d’obligations et le début de l’autre est essentielle.

Sanctions et application

Le cadre de sanctions est substantiel et hiérarchisé.[8]

L’application est décentralisée. Les autorités nationales de surveillance du marché traitent la conformité des systèmes à haut risque. L’Office européen de l’IA traite la conformité des modèles GPAI. Les autorités de protection des droits fondamentaux (qui peuvent être l’autorité de protection des données dans certains États membres) traitent les cas impliquant l’usage par les autorités publiques d’IA à haut risque.

Les facteurs de détermination de l’amende incluent la nature et la gravité de l’infraction, son caractère intentionnel ou négligent, la taille de l’organisation, la coopération avec les autorités et les mesures prises pour atténuer le préjudice.

Un plan d’action séquencé

À l’approche de l’échéance d’août 2026, les entreprises ont besoin d’une approche structurée. Enzai recommande le séquencement suivant, fondé sur notre expérience auprès d’équipes de conformité d’entreprise qui naviguent dans le règlement.

Phase 1 : immédiat (obligations déjà applicables)

Désigner un responsable intérimaire de la conformité IA pour piloter les actions de la phase 1 et commencer à cadrer le programme complet. Les actions immédiates ci-dessous nécessitent une personne disposant de l’autorité et de la capacité nécessaires pour les mener.

Auditer les pratiques interdites. L’article 5 est applicable depuis février 2025. Examinez tous les systèmes d’IA pour évaluer leur proximité avec les catégories interdites — en particulier la reconnaissance des émotions au travail, la catégorisation biométrique et la notation comportementale.

Établir la culture IA. L’article 4 exige que le personnel impliqué dans les opérations IA dispose d’un niveau suffisant de culture IA. Documentez les programmes de formation et conservez les preuves.

Évaluer l’exposition GPAI. Si votre organisation développe ou affine des modèles de fondation, assurez la conformité aux obligations des articles 51-56 actives depuis août 2025.

Phase 2 : construction des fondations (maintenant jusqu’au T2 2026)

Établir une structure de gouvernance. Désignez un responsable exécutif de la conformité IA, attribuez une responsabilité au niveau produit pour les systèmes à haut risque et réunissez un groupe de gouvernance IA transversal couvrant le juridique, la technologie, la sécurité, les achats et les RH. Sans cette structure d’autorité, les exercices d’inventaire et de classification qui suivent manqueront du mandat organisationnel nécessaire pour imposer la remontée d’informations par les unités métiers. Les décisions budgétaires et d’outillage doivent être prises à ce stade — l’inventaire et la classification à l’échelle de l’entreprise exigent généralement un outillage dédié ou un processus de revue piloté.

Construire un inventaire IA complet. Répertoriez chaque système d’IA que l’organisation conçoit, achète ou déploie — y compris l’IA fantôme, l’IA embarquée dans les plateformes fournisseurs et les outils SaaS dotés de capacités IA. Enregistrez la finalité, les entrées de données, le contexte de déploiement et le propriétaire du système. Le module d’inventaire IA d’Enzai offre une découverte automatisée à travers les environnements cloud et les intégrations SaaS, réduisant l’effort manuel qui consomme généralement la plus grande part de cette phase — voir comment cela fonctionne.

Classer chaque système. Cartographiez chaque système inventorié par rapport aux niveaux de risque. Documentez le raisonnement de classification pour chacun — cela constitue en soi un artefact de conformité.

Phase 3 : construction de la conformité (T2-T3 2026)

Pour chaque système à haut risque, constituer l’ensemble des artefacts de conformité :

• Documentation de gestion des risques (article 9)

• Procédures de gouvernance des données (article 10)

• Documentation technique selon l’annexe IV (article 11)

• Mise en œuvre de la journalisation automatique (article 12)

• Instructions d’utilisation (article 13)

• Cadre de supervision humaine — qui supervise, comment les interventions sont réalisées, comment elles sont consignées (article 14)

• Évaluation de conformité (article 43) — évaluation interne pour les points 2-8 de l’annexe III lorsque des normes harmonisées s’appliquent ; évaluation par un organisme notifié pour l’identification biométrique à distance (point 1(a)) et pour toute catégorie où aucune norme harmonisée n’a été publiée. Vérifiez le registre des normes harmonisées de la Commission avant de finaliser votre voie de conformité

Mettre à jour les contrats fournisseurs. Pour les systèmes d’IA tiers, assurez-vous que les contrats couvrent les droits d’accès à la documentation, le signalement des incidents, la conservation des journaux et la répartition des responsabilités au titre de l’article 25.

Préparer les informations de transparence. Auditez les systèmes d’IA orientés client et orientés salarié au regard des exigences de l’article 50 — divulgations chatbot, étiquetage des deepfakes, notifications de reconnaissance des émotions.

Phase 4 : validation et préparation (T3 2026)

Réaliser une évaluation d’impact sur les droits fondamentaux lorsque requise en vertu de l’article 27 — obligatoire pour les organismes publics et recommandée pour les déployeurs privés utilisant une IA à haut risque dans des contextes à fort impact.

Mettre en place des procédures de réponse aux incidents. Étendez les dispositifs existants de réponse aux incidents de sécurité pour couvrir les incidents spécifiques à l’IA : déclaration sous 15 jours pour les incidents impliquant décès ou préjudice grave, déclaration sous 72 heures pour les violations de données à caractère personnel, identification de l’autorité nationale compétente dans chaque État membre.

Enregistrer les systèmes à haut risque dans la base de données de l’UE avant déploiement (article 71).

Finaliser l’évaluation de conformité et émettre la déclaration UE de conformité (article 47) avec marquage CE (article 48) pour les systèmes mis sur le marché.

Perspectives

Le règlement européen sur l’IA est la réglementation IA la plus complète en vigueur dans le monde. Sa mise en œuvre progressive donne aux entreprises un calendrier défini, mais le périmètre de conformité est large — couvrant la documentation technique, la gestion des risques, la gouvernance des données, la supervision humaine, la transparence et la surveillance post-commercialisation sur potentiellement des centaines de systèmes d’IA.

Les organisations les mieux positionnées sont celles qui construisent dès maintenant leur infrastructure de gouvernance plutôt que d’aborder la conformité comme un exercice ponctuel. Les obligations du règlement sont continues : la gestion des risques doit être permanente, la surveillance doit être active, la documentation doit être à jour. Une approche par système de management — où la conformité est intégrée à la manière dont les systèmes d’IA sont développés, déployés et surveillés — est le seul modèle durable.

Chez Enzai, notre plateforme fournit l’infrastructure opérationnelle de conformité au règlement européen sur l’IA : inventaire IA centralisé, classification automatisée des risques selon le cadre du règlement, documentation structurée pour les articles 9-15, surveillance continue et gestion des preuves prête pour l’audit. Pour les entreprises qui se préparent à août 2026, réservez une démonstration pour voir comment la plateforme s’aligne sur les exigences du règlement.

Références

[1] Règlement (UE) 2024/1689 du Parlement européen et du Conseil, articles 113-114 (entrée en vigueur et dates d’application). Journal officiel de l’Union européenne, série L, 12 juillet 2024.

[2] Commission européenne, « Digital Omnibus on AI » (COM(2025) 871), 26 novembre 2025. Prolongations proposées des échéances des annexes III et I, conditionnées à la disponibilité de normes harmonisées.

[3] Règlement (UE) 2024/1689, article 5 (Pratiques d’IA interdites) et article 99 (Sanctions).

[4] Règlement (UE) 2024/1689, article 6 (Règles de classification des systèmes d’IA à haut risque) et annexe III.

[5] Règlement (UE) 2024/1689, articles 16 (Obligations du fournisseur), 26 (Obligations du déployeur) et 25 (Autres parties de la chaîne de valeur de l’IA).

[6] Règlement (UE) 2024/1689, chapitre V, articles 51-56 (Obligations relatives aux modèles GPAI).

[7] Code de bonnes pratiques GPAI, approuvé par la Commission européenne et le Conseil de l’IA, 1er août 2025.

[8] Règlement (UE) 2024/1689, article 99 (Sanctions).