La source d'information de référence
sur l'intelligence artificielle

Publier
Français English Español Italiano Deutsch Português Nederlands Polski Română Українська Türkçe العربية 中文 日本語 한국어
Créer mon compte
Loi / texte adopté

AI Act : le compte à rebours est lancé pour les entreprises avant le 2 août 2026

L'AI Act est déjà applicable de façon progressive et la prochaine échéance du 2 août 2026 impose des obligations de transparence (article 50) pour de nombreux usages d'IA. Le report partiel des règles « haut risque » n'enlève pas ces obligations : les entreprises doivent passer de la veille réglementaire à un inventaire opérationnel de leurs usages d'IA pour assurer conformité.

STStephane Nachez · ·10 min
Loi / texte adopté
AI Act : le compte à rebours est lancé pour les entreprises avant le 2 août 2026
Visuel d'illustration généré avec l'IA
Sommaire

Le report d’une partie des obligations sur les systèmes à haut risque ne doit pas tromper les entreprises : l’AI Act est déjà en application progressive. À partir du 2 août 2026, une nouvelle échéance majeure s’ouvre, notamment pour les obligations de transparence. Chatbots, contenus générés par IA, deepfakes, outils RH, SaaS enrichis par IA, agents conversationnels : IntelligenceArtificielle.com rappelle, dans une note de référence, que les organisations doivent désormais passer de la veille réglementaire à l’inventaire opérationnel.

Dans beaucoup d’entreprises, l’AI Act reste encore classé dans les dossiers “juridique”, “conformité” ou “à traiter plus tard”. C’est un mauvais calcul.

Le règlement européen sur l’intelligence artificielle n’est plus un texte lointain. Il est entré en vigueur le 1er août 2024 et s’applique progressivement. Les interdictions visant certaines pratiques d’IA et l’obligation de culture IA sont applicables depuis le 2 février 2025. Les règles de gouvernance et les obligations relatives aux modèles d’IA à usage général s’appliquent depuis le 2 août 2025. La prochaine grande étape arrive le 2 août 2026, avec l’entrée en application générale de nombreuses dispositions, en particulier les obligations de transparence prévues par l’article 50.

Autrement dit, le sujet n’est plus : “Que prévoit l’AI Act ?” Mais : “Savons-nous où, comment et pourquoi nous utilisons déjà de l’IA dans l’entreprise ?”

Le report du haut risque ne reporte pas l’AI Act

Le Digital Omnibus a pu créer une impression de répit. Les règles applicables aux systèmes d’IA à haut risque doivent désormais être réaménagées, avec une application prévue au 2 décembre 2027 pour les systèmes autonomes relevant de l’annexe III, et au 2 août 2028 pour les systèmes intégrés dans des produits soumis à une réglementation sectorielle. Le Parlement européen a approuvé ces mesures de simplification le 16 juin 2026, mais le texte doit encore être formellement adopté par le Conseil avant son entrée en vigueur.

Mais ce report ne suspend pas le reste du règlement.

Il ne reporte pas les pratiques interdites déjà applicables. Il ne reporte pas l’obligation de culture IA. Il ne reporte pas les obligations relatives aux modèles d’IA à usage général. Et il ne doit pas conduire les entreprises à ignorer l’échéance du 2 août 2026.

C’est précisément le piège : croire que l’AI Act commence uniquement avec les systèmes à haut risque. En réalité, la première vague opérationnelle concerne beaucoup d’usages beaucoup plus courants : assistants conversationnels, chatbots clients, contenus générés par IA, textes publiés avec l’aide d’IA, images synthétiques, voix artificielles, deepfakes, outils de génération intégrés aux logiciels métiers.

Ce qui change le 2 août 2026

À partir du 2 août 2026, les obligations de transparence deviennent centrales. Elles visent notamment à éviter que des personnes interagissent avec une IA sans le savoir, que des contenus synthétiques soient diffusés sans signalement approprié, ou que des deepfakes et certains contenus d’intérêt public générés par IA soient présentés comme s’ils étaient entièrement humains.

La Commission européenne a publié le 10 juin 2026 un Code de bonnes pratiques sur la transparence des contenus générés par IA. Il doit aider les fournisseurs et déployeurs à respecter les obligations de marquage, de labellisation et de détection prévues par l’article 50. L’adhésion au code est volontaire, mais les obligations de transparence de l’article 50 sont, elles, des obligations légales.

Pour une entreprise, cela peut se traduire par des questions très concrètes :

  • un client sait-il qu’il parle à un chatbot ?
  • un contenu publié sur un sujet d’intérêt public a-t-il été généré ou fortement modifié par IA ?
  • une image, une vidéo ou une voix synthétique est-elle signalée comme telle ?
  • un outil interne produit-il des textes, recommandations ou analyses qui influencent des décisions humaines ?
  • les équipes marketing, RH, service client ou produit savent-elles ce qu’elles doivent indiquer, archiver ou vérifier ?

Le Digital Omnibus prévoit aussi un délai jusqu’au 2 décembre 2026 pour certaines obligations de marquage des contenus générés par IA concernant les systèmes déjà placés sur le marché avant le 2 août 2026. Mais cette période transitoire ne doit pas être comprise comme un report général de la transparence : elle vise un périmètre spécifique.

Le vrai risque : l’IA invisible

Le plus grand risque pour les entreprises n’est pas toujours le grand projet IA présenté en comité de direction. Il est souvent dans l’IA déjà là.

Des fonctionnalités d’IA activées dans un CRM. Un module de scoring ajouté à un outil marketing. Un assistant RH testé par une équipe recrutement. Un générateur de contenus utilisé par la communication. Un agent conversationnel branché sur une base documentaire. Un copilote bureautique déployé sans cartographie précise des usages. Un prestataire qui utilise de l’IA dans ses livrables sans le signaler explicitement.

Le Hub France IA insiste justement sur la nécessité de recenser les systèmes d’IA présents dans l’organisation, y compris ceux intégrés à des solutions du marché, ceux en cours de développement, ceux en production et ceux qui émergent dès l’idéation. Son guide “Premiers pas vers l’IA de Confiance” recommande d’alimenter un registre des systèmes d’IA avec les sources de données, les architectures techniques, les cas d’usage métier, les populations concernées, le contexte de déploiement et l’analyse préalable des risques.

Le même document alerte sur les systèmes fournis par des tiers — éditeurs, prestataires, intégrateurs — qui embarquent de plus en plus souvent des composants d’IA parfois invisibles pour l’utilisateur final. Il met aussi en avant le phénomène de “Shadow AI” : usages informels d’outils généralistes, options IA ajoutées par des fournisseurs, petits contrats SaaS souscrits hors processus achats, expérimentations internes hors radar de l’IT.

C’est là que la conformité AI Act devient un sujet de gouvernance, pas seulement de droit.

La conformité commence par un registre

Pour beaucoup d’organisations, la première action utile n’est pas de lancer un grand chantier juridique. C’est de construire un registre simple des usages IA.

Ce registre n’a pas besoin d’être parfait au premier jour. Il doit permettre de répondre à quelques questions essentielles :

  • quel outil ou système d’IA est utilisé ?
  • par quel service ?
  • pour quel usage métier ?
  • avec quelles données ?
  • sur quelles personnes ou catégories de personnes l’usage peut-il avoir un effet ?
  • l’entreprise agit-elle comme simple utilisatrice, déployeur, intégrateur ou fournisseur ?
  • l’usage relève-t-il d’une obligation de transparence ?
  • l’usage peut-il relever du haut risque ?
  • quelles preuves sont conservées ?
  • quel fournisseur est responsable de quoi ?

L’objectif n’est pas de bloquer l’innovation. Il est de reprendre le contrôle.

Une entreprise qui ne sait pas où elle utilise de l’IA ne peut pas démontrer qu’elle la maîtrise. Et une entreprise qui ne sait pas qui utilise quoi, avec quelles données et dans quel objectif, aura beaucoup de mal à répondre à une demande d’un client, d’un auditeur, d’un assureur, d’un partenaire, d’un acheteur public ou d’une autorité de contrôle.

La checklist à engager maintenant

À quelques semaines de l’échéance du 2 août 2026, les entreprises peuvent déjà avancer avec une méthode pragmatique.

1. Nommer un pilote AI Act.
Il ne s’agit pas nécessairement de créer un nouveau poste. Mais il faut un responsable identifié, capable de coordonner DSI, juridique, achats, métiers, RH, conformité, sécurité et communication.

2. Lancer l’inventaire des usages IA.
Commencer par les outils visibles : chatbots, générateurs de contenus, copilotes, agents internes, API de modèles, solutions RH, outils marketing, outils de scoring, outils d’analyse documentaire.

3. Chercher l’IA invisible.
Interroger les métiers, les achats et les prestataires. Les usages critiques ne sont pas toujours dans les projets officiels. Ils peuvent être dans des options SaaS, des comptes individuels ou des expérimentations locales.

4. Créer un registre minimal.
Pour chaque usage : outil, fournisseur, finalité, service utilisateur, données traitées, personnes concernées, niveau de risque pressenti, obligation de transparence éventuelle, supervision humaine, preuves disponibles.

5. Identifier les usages sensibles.
RH, recrutement, évaluation des salariés, éducation, crédit, assurance, santé, biométrie, sécurité, accès à des services essentiels : ces domaines doivent être analysés en priorité.

6. Préparer la transparence.
Pour les chatbots, agents conversationnels, contenus générés, images synthétiques, voix artificielles, deepfakes ou textes d’intérêt public, l’entreprise doit décider quoi signaler, où, avec quelle formulation, dans quelle interface et avec quelle preuve.

7. Revoir les contrats fournisseurs.
Les acheteurs doivent demander aux éditeurs et prestataires les informations nécessaires : rôle dans la chaîne de valeur, documentation disponible, modèle utilisé, données utilisées, conditions d’entraînement, logs, sécurité, changements de version, retrait du service, sous-traitants.

8. Former les équipes.
La culture IA ne se limite pas à une formation générique. Un recruteur, un marketeur, un juriste, un développeur, un responsable achats ou un manager n’ont pas les mêmes risques ni les mêmes besoins.

9. Mettre en place une supervision.
Pour les usages les plus importants, il faut définir qui contrôle, à quel moment, avec quels seuils d’alerte et quelles actions correctives. Le Hub France IA recommande notamment de prévoir supervision continue, contrôle humain, logs, alertes, monitoring des biais, protocole de signalement des incidents et mise à jour de la documentation.

10. Constituer un dossier de preuve.
La conformité ne consiste pas seulement à faire. Elle consiste aussi à pouvoir montrer ce qui a été fait : registre, décisions, analyses de risque, formations, clauses fournisseurs, captures d’écran d’information utilisateur, procédures internes, logs et comptes rendus de revue.

 

Checklist partageable dans un format condensé :

Les sanctions ne sont qu’une partie du sujet

L’AI Act prévoit des sanctions importantes : jusqu’à 35 millions d’euros ou 7 % du chiffre d’affaires annuel mondial pour les pratiques interdites, jusqu’à 15 millions d’euros ou 3 % pour de nombreux autres manquements, dont les obligations de transparence, et jusqu’à 7,5 millions d’euros ou 1 % pour la fourniture d’informations incorrectes, incomplètes ou trompeuses aux autorités.

Mais le risque le plus immédiat pour beaucoup d’entreprises sera peut-être moins spectaculaire : perdre un appel d’offres, être incapable de répondre à un questionnaire fournisseur, découvrir qu’un outil RH n’a pas été qualifié, constater qu’un chatbot client n’est pas signalé, ou ne pas pouvoir prouver qu’une décision assistée par IA reste effectivement supervisée par un humain.

La conformité IA devient donc aussi un sujet de confiance commerciale.

Dans les prochains mois, les grandes entreprises, les acheteurs publics, les assureurs, les investisseurs et les partenaires technologiques vont demander de plus en plus souvent : quels systèmes d’IA utilisez-vous ? Avec quelles données ? Pour quels usages ? Avec quelle supervision ? Avec quelles garanties fournisseurs ? Avec quelles preuves ?

Ne pas attendre la conformité parfaite

Le piège serait d’attendre la version définitive de tous les guides, de toutes les normes et de toutes les pratiques de marché pour commencer. À ce stade, l’enjeu n’est pas d’avoir un dispositif parfait. Il est d’avoir une première cartographie, un premier registre, une première analyse des usages sensibles et une première capacité de réponse.

La conformité AI Act ne commence pas par un classeur juridique. Elle commence par une question opérationnelle : savons-nous ce que nous faisons tourner, où, pour quoi faire, avec quelles données, sous quelle responsabilité et avec quelles preuves ?

Les entreprises qui sauront répondre auront un avantage. Les autres découvriront que l’IA, déployée sans cartographie, devient vite impossible à gouverner.

Cet article s'appuie sur la note de référence dédiée au compte à rebours opérationnel de l’AI Act en entreprise, avec calendrier consolidé, obligations déjà applicables, points d’attention sur les modèles d’IA à usage général, transparence, haut risque, fournisseurs et registre IA.

Cet article constitue une information générale et ne remplace pas un avis juridique adapté à la situation de chaque organisation.

ST
Stephane Nachez

Rédaction ActuIA — actualités, données et analyses sur l'intelligence artificielle pour les décideurs.

Sur le même sujet
AI Act : entrée en vigueur des premières mesures visant à encadrer les risques de l'IA
04/02/2025
Nouvelle étape pour l'AI Act : les obligations pour les modèles d'IA à usage général sont entrées en vigueur
04/08/2025
La Commission européenne lance une consultation publique sur les systèmes d'intelligence artificielle à haut risque
18/06/2025
L'Hebdo ActuIA

Inscription confirmée, à très vite !