Entré en vigueur le 1er août 2024, le règlement européen sur l’intelligence artificielle (AI Act) déploie progressivement ses effets. Alors que les premières interdictions sont effectives depuis février 2025 et que les obligations relatives aux modèles d’IA à usage général s’appliquent depuis août 2025, c’est en août 2026 que le texte atteindra sa pleine application pour les systèmes d’IA à haut risque. Tour d’horizon d’un cadre réglementaire inédit au niveau mondial.
Un déploiement par étapes, conçu pour laisser le temps de l’adaptation
Le législateur européen a opté pour une mise en application progressive, échelonnée sur trois ans. Ce choix stratégique vise à permettre aux entreprises, aux autorités et aux développeurs d’adapter leurs pratiques sans subir un choc réglementaire brutal.
La première échéance majeure est intervenue le 2 février 2025, avec l’application de l’article 5 du règlement. Depuis cette date, un certain nombre de pratiques d’IA sont purement et simplement interdites dans l’Union européenne. Il s’agit notamment des systèmes de manipulation subliminale, du scoring social (notation des citoyens par les autorités publiques), de la catégorisation biométrique fondée sur des caractéristiques sensibles, et de l’identification biométrique à distance en temps réel dans les espaces publics (sauf exceptions strictement encadrées pour les forces de l’ordre).
La deuxième étape, franchie le 2 août 2025, a vu entrer en vigueur les règles relatives aux modèles d’IA à usage général (GPAI), comme les grands modèles de langage. Les fournisseurs de ces systèmes doivent désormais respecter des obligations de transparence, fournir une documentation technique, mettre en place des politiques de respect du droit d’auteur et, pour les modèles présentant un risque systémique, réaliser des évaluations de sécurité approfondies.
Août 2026 : l’échéance décisive pour les systèmes à haut risque
C’est le 2 août 2026 qui constitue le véritable point de bascule. À cette date, l’ensemble des obligations relatives aux systèmes d’IA classés « à haut risque » dans l’annexe III du règlement seront pleinement applicables. Ces systèmes couvrent des domaines particulièrement sensibles : la biométrie, la gestion des infrastructures critiques, l’éducation et la formation professionnelle, l’emploi et la gestion des travailleurs, l’accès aux services publics et privés essentiels, la migration et le contrôle aux frontières, ainsi que l’administration de la justice.
Pour ces systèmes, les obligations sont substantielles : mise en place d’un système de gestion des risques, exigences en matière de qualité des données d’entraînement, documentation technique détaillée, transparence vis-à-vis des utilisateurs, contrôle humain, et robustesse technique. Les fournisseurs devront obtenir une évaluation de conformité avant la mise sur le marché.
Une dernière échéance est prévue pour le 2 août 2027, concernant les systèmes d’IA à haut risque intégrés dans des produits déjà soumis à une réglementation européenne spécifique (dispositifs médicaux, jouets, machines, véhicules).
La CNIL, autorité de régulation de l’IA en France
En France, la CNIL a été désignée comme l’une des autorités compétentes pour la mise en oeuvre de l’AI Act, en particulier pour les aspects touchant à la protection des données personnelles et à la biométrie. Cette double casquette de régulateur du RGPD et de l’AI Act positionne la CNIL comme un acteur central de la conformité numérique en France.
Concrètement, la CNIL supervisera les pratiques de catégorisation biométrique, la reconnaissance des émotions dans les contextes professionnels et éducatifs, le scoring social, la prédiction du risque criminel et l’identification biométrique à distance. Elle a d’ores et déjà commencé à publier des recommandations et des fiches pratiques pour accompagner les acteurs dans leur mise en conformité.
Quelles conséquences pour les entreprises ?
Les entreprises qui développent, déploient ou utilisent des systèmes d’IA doivent dès maintenant évaluer leur exposition au règlement. La première étape consiste à cartographier les systèmes d’IA utilisés et à les classer selon les catégories de risque définies par le texte (risque inacceptable, haut risque, risque limité, risque minimal).
Pour les systèmes à haut risque, les obligations de conformité sont comparables en complexité à celles du RGPD. Il est recommandé de mettre en place une gouvernance dédiée, associant les équipes techniques, les responsables conformité et les DPO, qui seront en première ligne pour assurer la cohérence entre les exigences du RGPD et celles de l’AI Act.
Les sanctions prévues sont dissuasives : jusqu’à 35 millions d’euros ou 7 % du chiffre d’affaires mondial pour les manquements les plus graves (pratiques interdites), et jusqu’à 15 millions d’euros ou 3 % du chiffre d’affaires pour les autres infractions.
Un cadre réglementaire qui fait école
L’AI Act est le premier cadre réglementaire global dédié à l’intelligence artificielle au niveau mondial. Son approche fondée sur le risque inspire déjà d’autres législateurs, du Brésil au Canada en passant par la Chine. Pour les entreprises européennes, c’est aussi un potentiel avantage compétitif : la conformité à l’AI Act pourrait devenir un label de confiance reconnu internationalement.
À cinq mois de l’échéance d’août 2026, le temps presse. Les entreprises qui n’ont pas encore engagé leur démarche de mise en conformité doivent s’y atteler sans tarder.
