Un guide pratique pour les entreprises sur la conformité au règlement européen sur l’IA : classification des risques, obligations applicables aux systèmes à haut risque, calendrier d’application et mesures à prendre avant août 2026.
•
•
19 minutes de lecture
Sujets
L’AI Act de l’UE n’est plus à venir. Il est désormais en vigueur. L’interdiction des systèmes d’IA à risque inacceptable est applicable depuis le 2 février 2025. Les obligations relatives aux modèles d’IA à usage général sont entrées en vigueur le 2 août 2025. Et l’ensemble des exigences applicables aux systèmes à haut risque — gestion des risques, documentation technique, supervision humaine, évaluation de la conformité — s’applique à compter du 2 août 2026.[1] Cela n’est plus qu’à quatre mois.
Pour les équipes de conformité des entreprises, le défi n’est pas de comprendre le règlement en théorie. Il s’agit de le mettre en œuvre opérationnellement sur des dizaines, voire des centaines de systèmes d’IA, chacun présentant des profils de risque, des fournisseurs et des contextes de déploiement différents. Le volume de commentaires juridiques consacrés à l’Acte est considérable ; les orientations pratiques de mise en œuvre sont rares.
Ce guide comble cette lacune. Il propose une approche structurée de la conformité à l’AI Act de l’UE pour les équipes d’entreprise — couvrant la classification des risques, les obligations associées à chaque niveau, le calendrier d’application et un plan d’action séquencé pour les mois à venir.
Le calendrier d’application
Le règlement est entré en vigueur le 1er août 2024, mais les obligations sont déployées par phases, en plusieurs vagues. Comprendre quelles obligations sont déjà actives et lesquelles approchent constitue le point de départ de tout programme de conformité.
Date | Dispositions applicables |
|---|---|
2 février 2025 | Pratiques d’IA interdites (article 5). Obligation de culture de l’IA (article 4). Déjà en vigueur. |
2 août 2025 | Obligations relatives aux modèles GPAI (articles 51 à 56). Cadre des sanctions et de l’application (article 99). Structures de gouvernance (chapitre VII). Déjà en vigueur. |
2 août 2026 | Ensemble complet des obligations applicables aux systèmes d’IA à haut risque (articles 9 à 15). Évaluation de la conformité (article 43). Obligations de transparence (article 50). Enregistrement dans la base de données de l’UE (article 71). |
2 août 2027 | Les modèles GPAI mis sur le marché avant août 2025 doivent être mis en conformité. |
Le projet de Digital Omnibus proposé en novembre 2025 prolongerait l’échéance de l’annexe III relative aux systèmes à haut risque jusqu’en décembre 2027 et celle de l’annexe I relative aux produits intégrés jusqu’en août 2028.[2] Toutefois, ces propositions n’ont pas encore force de loi — les négociations en trilogue entre le Parlement, le Conseil et la Commission sont en cours, et leur issue demeure incertaine. Les entreprises devraient planifier en fonction de la date du 2 août 2026 et considérer toute extension comme une éventualité, non comme une hypothèse de base.
Classification des risques : où se situe chaque système d’IA ?
L’architecture réglementaire de l’Acte repose sur un système de classification des risques à quatre niveaux. Chaque système d’IA qu’une entreprise développe, achète ou déploie doit être classé au regard de ces niveaux.
Risque inacceptable : pratiques interdites (article 5)
Huit catégories d’utilisation de l’IA sont purement et simplement interdites, avec des amendes pouvant aller jusqu’à 35 millions d’euros ou 7 % du chiffre d’affaires annuel mondial.[3] Les plus pertinentes pour les entreprises :
Reconnaissance des émotions sur le lieu de travail ou dans l’enseignement — systèmes d’IA qui déduisent les états émotionnels d’employés ou d’étudiants, sauf lorsqu’ils sont utilisés à des fins de sécurité ou médicales
Catégorisation biométrique fondée sur des attributs sensibles — systèmes qui catégorisent des personnes selon la race, les opinions politiques, l’appartenance syndicale, les croyances religieuses, la vie sexuelle ou l’orientation sexuelle à l’aide de données biométriques
Notation sociale — systèmes utilisés par des autorités publiques pour évaluer des personnes dans le temps sur la base de leur comportement social, conduisant à un traitement disproportionné
Manipulation subliminale — IA utilisant des techniques en deçà du seuil de conscience afin de fausser le comportement d’une manière susceptible de causer un préjudice important
Mesure à prendre par l’entreprise : auditer immédiatement tous les systèmes d’IA afin d’identifier tout rapprochement avec ces catégories. Les outils RH utilisant l’analyse émotionnelle, les systèmes biométriques et les outils de notation comportementale requièrent une vigilance particulière. Si un système ne peut pas être clairement distingué d’une pratique interdite, il convient de le retirer ou de le refondre. Cette obligation est applicable depuis février 2025.
Haut risque : l’obligation de conformité centrale
La classification « haut risque » est déclenchée selon deux voies.[4]
Voie 1 — Composants de sécurité (article 6(1)) : systèmes d’IA constituant un composant de sécurité de produits déjà régis par la législation sectorielle de l’UE (dispositifs médicaux, machines, aviation, automobile, équipements sous pression, et autres produits énumérés à l’annexe I), lorsque ces produits requièrent une évaluation de conformité par un tiers.
Voie 2 — Systèmes autonomes relevant de l’annexe III (article 6(2)) : systèmes d’IA déployés dans huit catégories de cas d’usage sensibles :
Catégorie | Exemples |
|---|---|
Biométrie | Identification biométrique à distance ; reconnaissance des émotions |
Infrastructures critiques | Composants de sécurité dans l’eau, le gaz, l’électricité, les infrastructures numériques, la gestion du trafic routier |
Éducation | Détermination des admissions ; évaluation des résultats d’apprentissage ; surveillance de la triche |
Emploi | Tri des CV ; évaluation des entretiens ; suivi des performances ; affectation des tâches ; décisions de licenciement |
Services essentiels | Évaluation du score de crédit ; appréciation du risque assurantiel ; éligibilité aux prestations sociales ; orientation des secours d’urgence |
Application de la loi | Évaluation du risque d’individus ; appréciation des preuves ; prédiction de la récidive |
Migration et gestion des frontières | Évaluation du risque de migration irrégulière ; examen des demandes de visa et d’asile |
Justice et démocratie | Assistance à l’établissement des faits judiciaires ; systèmes susceptibles d’influencer des élections |
Nuance importante : en vertu de l’article 6(3), un fournisseur peut déterminer qu’un système entrant dans une catégorie de l’annexe III ne présente en réalité pas de risque significatif, à condition que le système soit utilisé à une finalité procédurale limitée, n’influence pas les décisions de fond, ou que le risque soit démontrablement négligeable compte tenu du contexte. Le fournisseur doit notifier l’autorité nationale de surveillance du marché compétente et enregistrer l’auto-détermination dans la base de données de l’UE avant que cette détermination ne prenne effet. Il ne s’agit pas d’une exemption de risque — mais d’une affirmation documentée et contrôlable, susceptible de résister à l’examen réglementaire.
Risque limité : obligations de transparence (article 50)
Les systèmes qui interagissent directement avec des individus mais ne relèvent pas des catégories à haut risque doivent satisfaire aux exigences de transparence à partir d’août 2026 :
Les chatbots et les IA conversationnelles doivent indiquer que l’utilisateur interagit avec un système d’IA
Les contenus deepfake doivent être signalés comme générés ou manipulés par IA
Les textes générés par IA portant sur des sujets d’intérêt public nécessitent une mention explicite
Les systèmes de reconnaissance des émotions et de catégorisation biométrique doivent notifier les personnes exposées
Risque minimal : aucune obligation obligatoire
Les systèmes d’IA qui ne relèvent d’aucune des catégories ci-dessus — filtres anti-spam, moteurs de recommandation, outils de correction grammaticale assistés par IA, IA dans les jeux vidéo — ne sont soumis à aucune obligation obligatoire. Les codes de conduite volontaires prévus à l’article 95 sont encouragés, mais non requis.
Obligations applicables aux systèmes à haut risque : ce que la conformité exige réellement
Pour les systèmes d’IA classés à haut risque, le règlement impose, via les articles 9 à 15, sept catégories d’exigences obligatoires. Il ne s’agit pas de principes abstraits ; ce sont des obligations spécifiques, contrôlables et assorties d’exigences documentaires.
Gestion des risques (article 9)
Mettre en place un processus continu de gestion des risques — non pas une évaluation ponctuelle, mais un cycle continu sur l’ensemble du cycle de vie du système d’IA. Le processus doit identifier et analyser les risques prévisibles pour la santé, la sécurité et les droits fondamentaux ; estimer et évaluer ces risques ; adopter des mesures d’atténuation (les modifications de conception devant être privilégiées par rapport aux contrôles opérationnels) ; et tester le système au regard du plan de gestion des risques avant son déploiement. Les risques résiduels doivent être documentés et communiqués aux déployeurs.
Gouvernance des données (article 10)
Les jeux de données d’entraînement, de validation et de test doivent être pertinents, représentatifs, exempts d’erreurs et suffisamment complets. Les pratiques de gouvernance des données doivent couvrir la collecte, l’étiquetage, le traitement et la conservation. Des procédures de détection et de correction des biais sont requises, et les données à caractère personnel doivent être traitées conformément au RGPD.
Documentation technique (article 11 et annexe IV)
Préparer une documentation technique complète avant la mise sur le marché du système. L’annexe IV précise les éléments à inclure : description et finalité du système, spécifications de conception, méthodologie d’entraînement et caractéristiques des données, indicateurs de performance, procédures de test, limites connues, mesures de cybersécurité et plan de surveillance après commercialisation. Cette documentation doit être tenue à jour et mise à disposition des autorités sur demande.
Tenue des registres (article 12)
Les systèmes à haut risque doivent intégrer des capacités de journalisation automatique, enregistrant les événements pertinents pour l’identification des risques et des modifications substantielles tout au long du cycle de vie du système. Les déployeurs doivent conserver les journaux pendant au moins six mois. Pour les systèmes d’IA agentique opérant sur plusieurs chaînes de raisonnement successives, l’exigence de journalisation est particulièrement exigeante — et particulièrement importante.
Transparence (article 13)
Les fournisseurs doivent fournir des instructions d’utilisation permettant aux déployeurs de comprendre les capacités du système, ses limites, ses indicateurs de précision, sa finalité prévue et les mesures de supervision humaine requises. Ces instructions doivent être compréhensibles par une personne ne disposant pas de connaissances spécialisées en IA.
Supervision humaine (article 14)
Les systèmes doivent être conçus de manière à permettre une supervision humaine effective — c’est-à-dire que les humains puissent comprendre les résultats du système, intervenir ou interrompre son fonctionnement, ignorer ou surclasser ses résultats, et empêcher le système d’annuler des décisions humaines sans autorisation préalable. Les fournisseurs mettent en place la capacité ; les déployeurs désignent et forment le personnel qualifié chargé de l’exercer.
Exactitude, robustesse et cybersécurité (article 15)
Les systèmes doivent maintenir les niveaux d’exactitude déclarés tout au long de leur cycle de vie, résister aux erreurs et incohérences dans les entrées, supporter les manipulations adversariales et satisfaire aux normes de cybersécurité applicables.
Au-delà des articles 9 à 15, les fournisseurs doivent également établir un système de gestion de la qualité (article 17), se soumettre à une évaluation de la conformité (article 43), émettre une déclaration UE de conformité (article 47), apposer le marquage CE (article 48), enregistrer le système dans la base de données de l’UE (article 71), mettre en œuvre une surveillance après commercialisation (article 72) et signaler les incidents graves dans un délai de 15 jours (article 73).
La distinction fournisseur-déployeur
Le règlement répartit les obligations différemment selon qu’une organisation est un fournisseur (qui développe ou fait développer le système d’IA) ou un déployeur (qui l’utilise dans un contexte professionnel).[5]
Les fournisseurs supportent la charge la plus lourde : conformité complète aux articles 9 à 15, évaluation de la conformité, documentation et surveillance après commercialisation. Les déployeurs doivent utiliser les systèmes conformément aux instructions du fournisseur, confier la supervision humaine à du personnel qualifié, conserver les journaux, informer les personnes concernées et signaler les problèmes.
La frontière déterminante : une entreprise qui prend un système d’IA tiers et le modifie de manière substantielle, en change sa finalité prévue ou le met sur le marché sous sa propre marque devient un fournisseur au sens de l’article 25 et assume l’ensemble des obligations du fournisseur. Le réglage fin d’un modèle de base pour un nouveau cas d’usage, par exemple, peut franchir ce seuil. Les organisations devraient cartographier chaque système d’IA selon le cadre fournisseur-déployeur et documenter cette classification.
Pour les systèmes d’IA tiers, la diligence raisonnable du déployeur est essentielle. Demandez une documentation confirmant la classification des risques du système et son statut de conformité. Mettez à jour les contrats fournisseurs afin de traiter le signalement des incidents, la conservation des journaux, les spécifications de supervision humaine et la répartition des responsabilités. Si un fournisseur ne peut pas fournir une documentation adéquate, il s’agit d’un risque de conformité matériel.
Un scénario fréquent et sous-estimé : les grands fournisseurs de SaaS (Salesforce, ServiceNow, Workday et d’autres) intègrent de plus en plus des fonctionnalités d’IA pouvant relever des catégories à haut risque au titre de l’emploi ou des services essentiels, tout en pouvant refuser de fournir une documentation de conformité. Dans ce contexte, le déployeur ne peut pas externaliser ses obligations au titre de l’article 26. Les déployeurs doivent soit procéder à leur propre évaluation de la fonctionnalité d’IA, soit limiter l’utilisation à des contextes non à haut risque, soit cesser l’utilisation jusqu’à ce qu’une documentation adéquate soit disponible. Il s’agit d’un risque d’approvisionnement significatif qui devrait être évalué avant le renouvellement du contrat. Enzai cartographie les obligations fournisseur-déployeur sur l’ensemble de votre pile d’IA, y compris les configurations GPAI en couches et les systèmes à haut risque.
Obligations relatives aux modèles GPAI
De nombreux systèmes d’IA d’entreprise reposent sur des modèles d’IA à usage général — des modèles de base fournis par Anthropic, OpenAI, Google, Meta et d’autres. Le règlement impose des obligations distinctes aux fournisseurs de modèles GPAI en vertu des articles 51 à 56, applicables depuis août 2025.[6]
Tous les fournisseurs de GPAI doivent maintenir une documentation technique, fournir aux intégrateurs en aval des informations suffisantes pour leur permettre de respecter leurs propres obligations, mettre en œuvre une politique de conformité au droit d’auteur et publier un résumé des données d’entraînement.
Les modèles dépassant le seuil de risque systémique (calcul cumulé d’entraînement supérieur à 10^25 FLOPs, ou désignés par la Commission sur la base de capacités démontrées) sont soumis à des obligations supplémentaires : tests adversariaux, évaluation et atténuation des risques, signalement des incidents graves au Bureau européen de l’IA, et protections de cybersécurité.
Le Code de bonnes pratiques GPAI, approuvé en août 2025, offre une voie de mise en conformité et crée une présomption de conformité pour les signataires.[7] Le Bureau européen de l’IA dispose d’une compétence de supervision exclusive sur les modèles GPAI, distincte de celle des autorités nationales de surveillance du marché.
Pour les entreprises qui déploient des agents et des applications fondés sur des modèles GPAI tiers, la conséquence pratique est une conformité à plusieurs niveaux : le fournisseur du modèle assume les obligations GPAI, tandis que l’organisation déployante assume les obligations applicables aux systèmes à haut risque pour la couche applicative. Il est essentiel de bien définir où s’arrête un ensemble d’obligations et où commence l’autre.
Sanctions et application
Le cadre des sanctions est substantiel et gradué.[8]
Violation | Amende maximale |
|---|---|
Pratiques interdites (article 5) | 35 millions d’euros ou 7 % du chiffre d’affaires annuel mondial |
Obligations applicables aux systèmes à haut risque et de transparence | 15 millions d’euros ou 3 % du chiffre d’affaires annuel mondial |
Communication d’informations inexactes aux autorités | 7,5 millions d’euros ou 1 % du chiffre d’affaires annuel mondial |
L’application est décentralisée. Les autorités nationales de surveillance du marché traitent la conformité des systèmes à haut risque. Le Bureau européen de l’IA traite la conformité des modèles GPAI. Les autorités de protection des droits fondamentaux (qui peuvent, dans certains États membres, être l’autorité de protection des données) traitent les cas impliquant l’utilisation par des autorités publiques d’une IA à haut risque.
Les facteurs pris en compte pour déterminer le montant de l’amende comprennent la nature et la gravité de l’infraction, son caractère intentionnel ou négligent, la taille de l’organisation, sa coopération avec les autorités et les mesures prises pour atténuer le préjudice.
Un plan d’action séquencé
À l’approche de l’échéance d’août 2026, les entreprises ont besoin d’une approche structurée. Enzai recommande la séquence suivante, fondée sur notre expérience auprès des équipes de conformité d’entreprise confrontées à l’Acte.
Phase 1 : immédiate (obligations déjà applicables)
Désigner un responsable provisoire de la conformité IA chargé des actions de la phase 1 et du cadrage du programme complet. Les actions immédiates ci-dessous exigent une personne disposant de l’autorité et de la capacité nécessaires pour les piloter.
Auditer les pratiques interdites. L’article 5 est applicable depuis février 2025. Examiner tous les systèmes d’IA à la lumière des catégories interdites — en particulier la reconnaissance des émotions sur le lieu de travail, la catégorisation biométrique et la notation comportementale.
Mettre en place la culture de l’IA. L’article 4 exige que le personnel impliqué dans les opérations d’IA dispose d’un niveau suffisant de culture de l’IA. Documenter les programmes de formation et conserver les preuves.
Évaluer l’exposition au GPAI. Si votre organisation développe ou affine des modèles de base, assurez-vous du respect des obligations des articles 51 à 56, applicables depuis août 2025.
Phase 2 : construction des fondations (de maintenant à T2 2026)
Mettre en place la structure de gouvernance. Désigner un responsable exécutif de la conformité IA, attribuer une responsabilité produit pour les systèmes à haut risque et constituer un groupe de gouvernance IA transversal couvrant le juridique, la technologie, la sécurité, les achats et les RH. Sans cette structure d’autorité, les exercices d’inventaire et de classification qui suivent ne disposeront pas du mandat organisationnel nécessaire pour obtenir des informations des unités opérationnelles. Les décisions budgétaires et de déploiement d’outillage devraient être prises à cette étape — l’inventaire et la classification à l’échelle de l’entreprise nécessitent généralement un outillage dédié ou un processus d’examen géré.
Établir un inventaire complet de l’IA. Recenser chaque système d’IA que l’organisation développe, achète ou déploie — y compris l’IA « fantôme », l’IA intégrée aux plateformes fournisseurs et les outils SaaS dotés de capacités d’IA. Enregistrer la finalité, les entrées de données, le contexte de déploiement et le propriétaire du système. Le module d’inventaire IA d’Enzai permet une découverte automatisée à travers les environnements cloud et les intégrations SaaS, réduisant l’effort manuel qui consomme généralement la plus grande part de cette phase — voir son fonctionnement.
Classer chaque système. Rattacher chaque système inventorié aux niveaux de risque appropriés. Documenter le raisonnement de classification pour chacun — il s’agit en soi d’un élément de conformité.
Phase 3 : mise en conformité (T2-T3 2026)
Pour chaque système à haut risque, constituer le dossier de conformité :
Documentation de gestion des risques (article 9)
Procédures de gouvernance des données (article 10)
Documentation technique conformément à l’annexe IV (article 11)
Mise en œuvre de la journalisation automatique (article 12)
Instructions d’utilisation (article 13)
Cadre de supervision humaine — qui supervise, comment intervenir, comment les interventions sont journalisées (article 14)
Évaluation de la conformité (article 43) — évaluation interne pour les points 2 à 8 de l’annexe III lorsque des normes harmonisées s’appliquent ; évaluation par organisme notifié pour l’identification biométrique à distance (point 1(a)) et pour toute catégorie pour laquelle aucune norme harmonisée n’a été publiée. Vérifiez le registre des normes harmonisées de la Commission avant de finaliser votre voie de conformité
Mettre à jour les contrats fournisseurs. Pour les systèmes d’IA tiers, veiller à ce que les contrats traitent les droits d’accès à la documentation, le signalement des incidents, la conservation des journaux et la répartition des responsabilités au titre de l’article 25.
Préparer les informations de transparence. Auditer les systèmes d’IA à destination des clients et des collaborateurs au regard des exigences de l’article 50 — mentions relatives aux chatbots, signalement des deepfakes, notifications de reconnaissance des émotions.
Phase 4 : validation et préparation opérationnelle (T3 2026)
Réaliser une évaluation de l’impact sur les droits fondamentaux lorsque cela est requis au titre de l’article 27 — obligatoire pour les organismes publics et recommandé pour les déployeurs privés utilisant une IA à haut risque dans des contextes à fort impact.
Établir des procédures de réponse aux incidents. Étendre la réponse existante aux incidents de sécurité pour couvrir les incidents propres à l’IA : signalement sous 15 jours pour les incidents entraînant un décès ou un préjudice grave, signalement sous 72 heures pour les violations de données à caractère personnel, identification de l’autorité nationale compétente dans chaque État membre.
Enregistrer les systèmes à haut risque dans la base de données de l’UE avant leur déploiement (article 71).
Finaliser l’évaluation de la conformité et émettre la déclaration UE de conformité (article 47) avec marquage CE (article 48) pour les systèmes mis sur le marché.
Perspectives
L’AI Act de l’UE est la réglementation la plus complète au monde en matière d’IA. Son déploiement progressif donne aux entreprises un calendrier défini, mais la surface de conformité est vaste — elle couvre la documentation technique, la gestion des risques, la gouvernance des données, la supervision humaine, la transparence et la surveillance après commercialisation sur potentiellement des centaines de systèmes d’IA.
Les organisations les mieux positionnées sont celles qui construisent dès à présent leur infrastructure de gouvernance, plutôt que d’aborder la conformité comme un exercice ponctuel. Les obligations du règlement sont continues : la gestion des risques doit être permanente, la surveillance doit être active, la documentation doit être à jour. Une approche fondée sur un système de gestion — dans laquelle la conformité est intégrée à la manière dont les systèmes d’IA sont développés, déployés et surveillés — est le seul modèle durable.
Chez Enzai, notre plateforme fournit l’infrastructure opérationnelle nécessaire à la conformité à l’AI Act de l’UE : inventaire centralisé de l’IA, classification automatisée des risques selon le cadre de l’Acte, documentation structurée pour les articles 9 à 15, surveillance continue et gestion des preuves prêtes pour audit. Pour les entreprises qui se préparent à août 2026, réservez une démonstration pour découvrir comment la plateforme se mappe aux exigences de l’Acte.
Enzai est la plateforme leader de gouvernance de l’IA en entreprise, conçue spécialement pour aider les organisations à passer d’une politique abstraite à une supervision opérationnelle. Notre plateforme de gestion des risques IA fournit l’infrastructure spécialisée nécessaire pour gérer la gouvernance de l’IA agentique, maintenir un inventaire IA complet et garantir la conformité à l’AI Act de l’UE. En automatisant des flux de travail complexes, Enzai permet aux entreprises de faire évoluer l’adoption de l’IA avec confiance, tout en restant alignées sur des normes mondiales telles que l’ISO 42001 et NIST.
Références
[1] Règlement (UE) 2024/1689 du Parlement européen et du Conseil, articles 113 à 114 (entrée en vigueur et dates d’application). Journal officiel de l’Union européenne, série L, 12 juillet 2024.
[2] Commission européenne, « Digital Omnibus on AI » (COM(2025) 871), 26 novembre 2025. Prolongations proposées des échéances de l’annexe III et de l’annexe I, sous réserve de la disponibilité de normes harmonisées.
[3] Règlement (UE) 2024/1689, article 5 (pratiques d’IA interdites) et article 99 (sanctions).
[4] Règlement (UE) 2024/1689, article 6 (règles de classification des systèmes d’IA à haut risque) et annexe III.
[5] Règlement (UE) 2024/1689, articles 16 (obligations du fournisseur), 26 (obligations du déployeur) et 25 (autres parties de la chaîne de valeur de l’IA).
[6] Règlement (UE) 2024/1689, chapitre V, articles 51 à 56 (obligations relatives aux modèles GPAI).
[7] Code de bonnes pratiques GPAI, approuvé par la Commission européenne et le Conseil de l’IA, le 1er août 2025.
[8] Règlement (UE) 2024/1689, article 99 (sanctions).
Donnez à votre organisation les moyens d'adopter, de gérer et de surveiller l'IA avec une confiance de niveau entreprise. Conçu pour les organisations réglementées opérant à grande échelle.