L'AI Act est en vigueur depuis le 1er août 2024. Son application pleine et entière pour les systèmes d'intelligence artificielle à haut risque était programmée au 2 août 2026. En mars 2026, le Parlement européen a adopté en commission l'Omnibus Numérique, un paquet d'amendements qui propose de reporter cette échéance de seize mois, au 2 décembre 2027. Le vote en trilogue est prévu fin avril 2026. À l'heure où vous lisez ces lignes, la date butoir est donc incertaine.
Cette incertitude calendaire ne doit pas servir de prétexte pour attendre. Certaines obligations de l'AI Act sont déjà applicables, en particulier l'obligation de formation des équipes (AI literacy) entrée en vigueur le 2 février 2025 et largement ignorée par les entreprises françaises. Les interdictions d'usages à risque inacceptable sont également en application. Les obligations de transparence de l'article 50 ne sont pas concernées par le report éventuel. Et quelles que soient les décisions finales de trilogue, les entreprises qui déploient des systèmes d'IA à haut risque auront besoin de 12 à 18 mois pour se mettre en conformité une fois les normes harmonisées publiées.
Ce guide reprend l'intégralité de ce qu'une entreprise française doit comprendre et mettre en œuvre sur l'AI Act en 2026 : calendrier réel, classification des systèmes, identification de votre rôle, obligations concrètes, feuille de route de conformité, et rôle central de la formation dans le dispositif.
Le règlement européen 2024/1689, couramment appelé AI Act, a été adopté le 13 juin 2024 et publié au Journal officiel de l'Union européenne le 12 juillet 2024. Il est entré en vigueur le 1er août 2024, avec une application progressive.
Voici l'état d'application réel au printemps 2026 :
2 février 2025 (en vigueur) : interdictions des pratiques d'IA à risque inacceptable (scoring social, manipulation subliminale, reconnaissance émotionnelle sur les lieux de travail, catégorisation biométrique sur critères sensibles) et obligation de formation à l'IA, dite AI literacy, imposée à toute organisation qui utilise ou développe un système d'IA (article 4).
2 août 2025 (en vigueur) : obligations applicables aux modèles d'IA à usage général (GPAI), comme GPT, Claude ou Mistral. Ces obligations visent principalement les fournisseurs des modèles, mais les entreprises qui s'appuient sur eux pour des décisions à haut risque restent pleinement soumises aux règles correspondantes. Mise en place du cadre de gouvernance européen avec l'AI Office au sein de la Commission européenne.
2 août 2026 (prévu initialement, report en discussion) : application complète des obligations pour les systèmes d'IA à haut risque listés à l'annexe III du règlement (RH, crédit, éducation, services publics essentiels, biométrie, infrastructures critiques). Application des obligations de transparence de l'article 50. Sanctions pleinement opérationnelles.
2 août 2027 (prévu initialement) : extension des obligations haut risque aux systèmes d'IA intégrés dans des produits déjà réglementés (dispositifs médicaux, jouets, machines industrielles, véhicules autonomes, listés à l'annexe I).
Le paquet Omnibus Numérique proposé par le Parlement européen en mars 2026 décale les échéances des systèmes à haut risque. Si adopté en l'état, l'annexe III passerait du 2 août 2026 au 2 décembre 2027, et l'annexe I du 2 août 2027 au 2 août 2028. Les obligations de transparence et les interdictions restent au calendrier initial. Tant que l'Omnibus n'est pas formellement adopté, le calendrier légal demeure celui du 2 août 2026.
L'AI Act classifie les systèmes d'IA en quatre niveaux de risque. Cette classification détermine l'intensité des obligations applicables.
Ce sont les usages d'IA interdits depuis février 2025 parce qu'ils contreviennent aux valeurs fondamentales de l'Union. La liste inclut notamment le scoring social à usage général, la manipulation cognitive ou comportementale subliminale, la reconnaissance émotionnelle dans les environnements professionnels ou éducatifs, la catégorisation biométrique basée sur des critères sensibles (race, religion, orientation sexuelle), et la police prédictive basée uniquement sur le profilage. Les amendes peuvent atteindre 35 millions d'euros ou 7 % du chiffre d'affaires mondial, le montant le plus élevé étant retenu.
L'annexe III identifie huit domaines critiques où les systèmes d'IA sont considérés comme à haut risque : biométrie, infrastructures critiques (énergie, transports), éducation et formation professionnelle, emploi et gestion des ressources humaines, accès aux services privés essentiels (notation de crédit, assurance santé) et aux services publics, police et justice, gestion des migrations et contrôle aux frontières, administration de la justice et processus démocratiques.
Concrètement, une entreprise qui utilise un logiciel de tri automatisé de CV, un outil de scoring client pour décider de l'octroi d'un crédit, un système d'évaluation de la performance des salariés basé sur de l'IA, ou un dispositif biométrique d'identification, déploie un système classé à haut risque. Les amendes pour non-conformité peuvent atteindre 15 millions d'euros ou 3 % du chiffre d'affaires mondial.
Cette catégorie regroupe les systèmes qui interagissent directement avec des utilisateurs (chatbots, assistants virtuels, générateurs d'images ou de texte). Les obligations sont centrées sur la transparence : l'utilisateur doit savoir qu'il interagit avec une IA, les contenus générés doivent être identifiables comme tels, les deepfakes doivent être étiquetés. Les sanctions peuvent atteindre 7,5 millions d'euros ou 1 % du chiffre d'affaires mondial.
Filtres anti-spam, moteurs de recommandation génériques, systèmes d'IA dans les jeux vidéo : ces usages ne sont soumis à aucune obligation spécifique au titre de l'AI Act. Les bonnes pratiques sont encouragées via des codes de conduite volontaires.
L'AI Act distingue cinq rôles dans la chaîne de valeur IA, dont deux concernent la quasi-totalité des entreprises françaises.
Le fournisseur est l'acteur qui développe un système d'IA ou un modèle GPAI et le met sur le marché sous son propre nom. OpenAI, Anthropic, Mistral, mais aussi une PME qui développe en interne un outil d'IA et le commercialise, sont tous fournisseurs. Les obligations les plus lourdes pèsent sur ce rôle.
Le déployeur est l'acteur qui utilise un système d'IA sous sa propre autorité, dans le cadre d'une activité professionnelle. Une entreprise qui utilise un logiciel de tri de CV, un CRM avec analyse prédictive, un outil de scoring fournisseur ou un assistant IA intégré à sa suite bureautique est déployeur. C'est le statut de la grande majorité des PME et ETI françaises, et il est souvent sous-estimé.
Les trois autres rôles (importateur, distributeur, fabricant de produit) concernent des configurations plus spécifiques. Un importateur met sur le marché européen un système d'IA d'un fournisseur établi hors UE. Un distributeur met à disposition sur le marché un système d'IA qu'il n'a ni conçu ni mis sur le marché initialement. Un fabricant de produit intègre un système d'IA dans un produit qu'il commercialise sous son nom.
La plupart des entreprises françaises se pensent simples utilisatrices et donc peu concernées. C'est une erreur. En tant que déployeur, vous avez des responsabilités opérationnelles réelles : surveillance du fonctionnement, information des personnes concernées, contrôle humain, gestion des incidents, formation des équipes. Ces obligations s'appliquent que vous ayez développé l'outil ou que vous l'ayez acheté à un fournisseur tiers.
L'article 4 de l'AI Act, en vigueur depuis le 2 février 2025, impose à toute organisation qui utilise ou développe un système d'IA de s'assurer que les personnes impliquées disposent d'un niveau suffisant de compréhension et de culture IA. Cette obligation est indépendante du niveau de risque des systèmes utilisés. Elle s'applique à tous les employeurs, quelle que soit leur taille, y compris ceux qui n'utilisent que des outils à risque limité ou minimal (ChatGPT, Copilot, Midjourney).
Concrètement, l'AI literacy recouvre plusieurs dimensions : compréhension du fonctionnement des systèmes d'IA génératives, connaissance des limites (hallucinations, biais, confidentialité des données), maîtrise des pratiques de prompting, conscience des risques juridiques (RGPD, propriété intellectuelle, droit du travail), capacité à exercer un contrôle humain effectif sur les sorties.
L'article 4 ne précise pas le format ni la durée des actions de formation, mais impose à l'employeur de pouvoir démontrer que les personnes concernées ont reçu une sensibilisation adaptée à leurs fonctions. Pour une équipe commerciale qui utilise ChatGPT au quotidien, la simple lecture d'une charte interne ne suffit pas. Une formation structurée, avec évaluation des acquis et attestation, constitue la preuve la plus solide de conformité.
Ce point est souvent négligé dans les audits et les communications grand public autour de l'AI Act. Pourtant, l'AI literacy est la seule obligation actuellement applicable à l'ensemble des entreprises, indépendamment du niveau de risque des systèmes utilisés. La Commission européenne a publié en 2025 des lignes directrices précisant ses attentes sur ce point.
À partir de l'échéance finale (2 août 2026 ou 2 décembre 2027 selon le vote de l'Omnibus), les entreprises fournisseurs ou déployeurs de systèmes d'IA classés à haut risque devront satisfaire à une liste d'obligations substantielles.
Pour les fournisseurs, les obligations incluent la mise en place d'un système de gestion des risques couvrant l'ensemble du cycle de vie du système, la production d'une documentation technique détaillée, des exigences fortes sur la qualité des données d'entraînement (pertinence, représentativité, absence de biais discriminatoires), la traçabilité via des journaux d'activité, l'enregistrement dans la base de données européenne des systèmes à haut risque, l'évaluation de conformité (interne ou par un organisme notifié selon le cas), et le marquage CE avant mise sur le marché.
Pour les déployeurs, les obligations sont plus légères mais bien réelles : utilisation du système conformément aux instructions du fournisseur, surveillance du fonctionnement et signalement des incidents graves, conservation des journaux d'activité générés par le système, information des personnes concernées (salariés, candidats, clients), garantie d'une supervision humaine effective, évaluation d'impact sur les droits fondamentaux pour certains usages publics ou d'intérêt général.
La conformité ne se limite pas à l'adoption d'une charte interne ou d'un code de conduite. Elle suppose la production de preuves vérifiables : dossiers techniques, comptes-rendus de tests, procédures documentées, registres de formation, rapports d'incidents. L'objectif est de pouvoir démontrer la conformité en cas de contrôle, pas seulement de la déclarer.
Quelle que soit la date finale d'application, la démarche de mise en conformité demande plusieurs mois de travail sérieux. Voici une feuille de route structurée en six étapes.
Sans ce recensement, il est impossible de qualifier les niveaux de risque. Beaucoup d'organisations sous-estiment le nombre de composants IA présents dans leurs outils quotidiens : un CRM intégrant de l'analyse prédictive, un ERP avec des recommandations automatisées, un ATS utilisant du machine learning pour classer les profils, un logiciel de gestion de la relation client avec scoring comportemental. Cette cartographie doit documenter pour chaque outil le fournisseur, la finalité, les données traitées, les populations impactées et le niveau d'autonomie décisionnelle accordé au système.
Pour chaque système identifié, déterminer s'il relève du risque inacceptable (à abandonner immédiatement), haut risque (obligations lourdes), limité (transparence) ou minimal (pas d'obligations spécifiques). Cette qualification demande une analyse du cas d'usage réel, pas seulement des fonctionnalités techniques.
Pour chaque système à haut risque, déterminer si votre entreprise est fournisseur, déployeur, importateur, distributeur ou fabricant. Les obligations diffèrent sensiblement. Dans certaines configurations, une entreprise peut être déployeur d'un système acheté et fournisseur d'un système développé en interne.
C'est l'action la plus urgente car déjà exigible depuis février 2025. Identifier les populations concernées (toutes les personnes en contact avec des outils d'IA), définir un programme adapté au niveau de risque des systèmes utilisés, choisir un format pédagogique efficace, conserver les preuves de formation (attestations, feuilles d'émargement, résultats d'évaluation).
Désigner un référent IA (qui peut être le DPO, le RSSI ou un responsable dédié selon la taille de l'organisation), définir des procédures de validation avant déploiement de nouveaux systèmes, mettre en place un comité IA pour arbitrer les cas complexes, rédiger une charte d'usage interne, intégrer les enjeux IA dans les processus existants (achats, juridique, RH).
Pour les systèmes identifiés comme haut risque, constituer progressivement les dossiers exigés : documentation technique, évaluation des risques, journaux d'activité, preuves de supervision humaine, rapports de tests. Cette documentation n'est pas optionnelle : elle sera exigée en cas de contrôle et conditionne le marquage CE pour les fournisseurs.
La formation occupe une place centrale dans le dispositif AI Act pour trois raisons.
Premièrement, elle constitue une obligation légale autonome via l'article 4 (AI literacy), applicable depuis février 2025 à toutes les entreprises, indépendamment du niveau de risque des systèmes utilisés.
Deuxièmement, elle est la condition pratique de la supervision humaine exigée pour les systèmes à haut risque. L'article 14 impose qu'une personne physique puisse comprendre le fonctionnement et les limites du système, détecter les dysfonctionnements, et intervenir si nécessaire. Une supervision humaine effective suppose un niveau de compétence réel, pas une simple mention dans une procédure.
Troisièmement, elle conditionne la qualité de l'usage quotidien. Une équipe non formée utilise mal l'IA, prend des risques sur la confidentialité des données (partage d'informations sensibles dans ChatGPT, fuites de propriété intellectuelle, exposition à des hallucinations dans des livrables clients), et produit des résultats qui exposent l'entreprise à des risques juridiques, commerciaux et réputationnels.
Pour les comités de direction et les CODIR, une session de formation stratégique dédiée est particulièrement pertinente avant l'application de l'AI Act. Elle permet d'aligner la gouvernance IA sur les enjeux réglementaires, de prioriser les systèmes à qualifier, et d'arbitrer les investissements de mise en conformité.
Almera accompagne les entreprises sur ces trois dimensions : formations IA générales pour les équipes, sessions dédiées aux fonctions support (RH, juridique, finance), et parcours stratégiques pour les CODIR. Toutes nos formations sont certifiées Qualiopi et intègrent les enjeux réglementaires (AI Act, RGPD, propriété intellectuelle) dans leur contenu.
Oui. L'obligation de formation AI literacy (article 4) s'applique à toute organisation qui utilise un système d'IA, quel que soit son niveau de risque. ChatGPT et Copilot sont concernés, même s'ils relèvent du risque limité. Cette obligation est déjà en vigueur depuis février 2025.
Si l'Omnibus n'est pas adopté avant le 2 août 2026, le calendrier initial reste en vigueur. Les entreprises déployeurs de systèmes d'IA à haut risque devront être conformes à cette date, sous peine d'amendes pouvant atteindre 15 millions d'euros ou 3 % du chiffre d'affaires mondial. Même si l'Omnibus est adopté, les obligations de transparence (article 50) et les interdictions (article 5) restent au calendrier initial.
Le RGPD encadre le traitement des données personnelles, l'AI Act encadre les systèmes d'IA eux-mêmes. Les deux textes ne se substituent pas, ils s'additionnent. L'intersection crée des zones complexes, notamment quand un système d'IA traite des données personnelles (ce qui est quasi systématique en RH, scoring, relation client). Une conformité RGPD solide est une base utile mais ne suffit pas à satisfaire l'AI Act.
L'annexe III du règlement liste explicitement les systèmes d'IA utilisés pour le recrutement (tri de CV, analyse de candidatures, entretiens automatisés) et la gestion des ressources humaines (évaluation de la performance, décisions de promotion ou de licenciement) comme étant à haut risque. Si votre outil relève de ces catégories, il est à haut risque, qu'il ait été développé en interne ou acheté à un fournisseur tiers.
La responsabilité est partagée. Le fournisseur est responsable de la conformité du système lui-même (documentation, marquage CE, enregistrement). Le déployeur est responsable de son usage conforme aux instructions du fournisseur, de la supervision humaine, de l'information des personnes concernées et de la formation de ses équipes. Un fournisseur non conforme n'exonère pas le déployeur de ses propres obligations.
Le règlement n'impose pas de format précis, mais exige que la formation soit adaptée au niveau de risque des systèmes utilisés et aux fonctions des personnes concernées. Pour les équipes qui utilisent ChatGPT ou Copilot au quotidien, une formation d'une journée couvrant les principes, les usages, les limites et les risques juridiques est généralement considérée comme proportionnée. Pour les équipes qui déploient des systèmes à haut risque, une formation plus approfondie est recommandée, avec un volet spécifique sur la supervision humaine et la gestion des incidents.
Le coût varie fortement selon la taille de l'entreprise, le nombre de systèmes concernés et le niveau de risque de ces systèmes. Pour une PME utilisatrice de systèmes à risque limité, la mise en conformité se limite largement à la formation des équipes (1 500 à 5 000 euros selon le format) et à la rédaction d'une charte interne. Pour une ETI déployant plusieurs systèmes à haut risque, les coûts incluent la cartographie, la documentation technique, les audits éventuels et peuvent atteindre plusieurs dizaines de milliers d'euros sur 12 à 18 mois.
L'incertitude sur le calendrier final de l'AI Act ne justifie pas l'attentisme. Les obligations déjà en vigueur (interdictions, AI literacy) concernent toutes les entreprises qui utilisent des systèmes d'IA. Les obligations à venir pour les systèmes à haut risque demanderont plusieurs mois de travail structuré, quelle que soit la date butoir retenue.
Les entreprises qui anticipent dès maintenant leur mise en conformité prennent un avantage double : elles évitent la précipitation coûteuse qui guette les retardataires, et elles crédibilisent leur offre auprès de clients, partenaires et salariés de plus en plus attentifs à la gouvernance IA des organisations avec lesquelles ils travaillent.
Pour démarrer, le bon point d'entrée est généralement la formation des équipes. Elle satisfait l'obligation déjà applicable, produit des effets immédiats sur la qualité des usages, et met en évidence les systèmes qui demanderont un traitement réglementaire plus approfondi. Réserver un échange de 30 minutes avec Almera pour discuter de votre feuille de route de mise en conformité, ou explorer notre catalogue de formations IA pour les entreprises.
