IgnitionAI

AI Act européen : ce que les CTO d'ETI doivent préparer après le Digital Omnibus

Le Règlement (UE) 2024/1689 sur l'intelligence artificielle, modifié par le Digital Omnibus du 7 mai 2026, impose des obligations contraignantes aux entreprises exploitant des systèmes IA. Échéances actualisées, niveaux de risque, obligations article par article, plan d'action. Pour les CTO et Heads of Data d'ETI françaises.

Salim Laimeche
Salim Laimeche - Fondateur, IgnitionAI

⚠️ Rectification du 23 mai 2026. La version initiale de cet article indiquait le 2 août 2026 comme date d'application des obligations pour les systèmes à risque élevé Annexe III. Cette date a été reportée au 2 décembre 2027 par le Digital Omnibus (accord politique du 7 mai 2026 entre Parlement européen, Conseil de l'UE et Commission). Les systèmes Annexe I basculent au 2 août 2028. Le watermarking des contenus générés est reporté au 2 décembre 2026. Cet article a été corrigé en conséquence, conformément à notre politique éditoriale niveau "rectification substantielle". Voir la note en bas d'article pour le détail des modifications.

Note de transparence. Cet article est rédigé conformément à la politique éditoriale d'IgnitionAI. Chaque date, montant et obligation réglementaire est sourcé vers le texte officiel sur EUR-Lex avec son numéro d'article. Les estimations de durée, de coût et d'effort sont taguées estimation IgnitionAI. La section Méthodologie et sources en fin d'article récapitule l'ensemble des références.

Le cadre en deux phrases

Le Règlement (UE) 2024/1689 sur l'intelligence artificielle, communément appelé AI Act, est entré en vigueur le 1er août 2024 (EUR-Lex, Règlement 2024/1689, Article 113). Ses obligations s'appliquent par paliers progressifs entre février 2025 et août 2027, et concernent toute entreprise européenne qui développe, déploie ou utilise un système d'intelligence artificielle.

Cet article s'adresse aux CTO, Heads of Data et directions techniques d'ETI françaises de 200 à 5 000 collaborateurs. Il couvre la mise en conformité opérationnelle des systèmes IA en production : inventaire, classification du risque, documentation, gouvernance, plan d'action sur 18 mois.

Le calendrier officiel actualisé (Article 113 + Digital Omnibus)

L'Article 113 du règlement fixe l'entrée en application progressive des obligations (EUR-Lex, Article 113). Plusieurs échéances clés ont été modifiées par le Digital Omnibus, accord politique trouvé le 7 mai 2026 entre le Parlement européen, le Conseil de l'UE et la Commission européenne. Ces ajustements visent à laisser le temps aux normes techniques harmonisées d'être finalisées avant l'application des obligations les plus lourdes.

1er août 2024 : Entrée en vigueur. Le règlement est en vigueur dans l'ensemble de l'Union européenne. Les obligations ne sont pas encore exigibles, mais le cadre juridique existe.

2 février 2025 : Interdictions et alphabétisation IA. Les Chapitres I (dispositions générales) et II (pratiques d'IA interdites) deviennent applicables. Les systèmes IA tombant dans les huit catégories prohibées par l'Article 5 doivent être retirés. L'obligation d'« alphabétisation IA » des collaborateurs au sens de l'Article 4 entre également en vigueur.

2 août 2025 : Modèles à usage général, gouvernance, sanctions. Le Chapitre V (modèles d'IA à usage général, dits GPAI), le Chapitre VII (gouvernance européenne et nationale), le Chapitre XII (sanctions, à l'exception de l'Article 101) et l'Article 78 (confidentialité) deviennent applicables. Les fournisseurs des grands modèles fondationnels (OpenAI, Anthropic, Mistral, Google, Meta, Cohere) ont des obligations directes. Les autorités nationales de surveillance doivent être opérationnelles.

2 août 2026 : Obligations de transparence Article 50. Les chatbots, systèmes génératifs et systèmes de reconnaissance d'émotions ou de catégorisation biométrique deviennent soumis aux obligations de transparence : information explicite sur la nature IA du système, identification du contenu généré.

2 décembre 2026 : Watermarking et nouvelle prohibition (date Digital Omnibus). Les obligations spécifiques de marquage numérique (watermarking) des contenus générés par IA deviennent applicables. Le Digital Omnibus a par ailleurs introduit une nouvelle pratique interdite à cette même date : la génération d'images intimes non consensuelles et le matériel d'abus sexuels sur enfants.

2 décembre 2027 : Risque élevé Annexe III (date Digital Omnibus). Les obligations pour les systèmes IA classés à risque élevé selon l'Annexe III deviennent contraignantes. Cette date, initialement fixée au 2 août 2026, a été reportée pour permettre la finalisation des normes techniques harmonisées. C'est l'échéance critique pour la plupart des ETI qui exploitent des systèmes IA en production dans les domaines listés à l'Annexe III.

2 août 2028 : Risque élevé Annexe I (date Digital Omnibus). L'Article 6, paragraphe 1, et les obligations correspondantes deviennent applicables. Ce palier concerne les systèmes IA intégrés à des produits déjà couverts par les législations européennes d'harmonisation listées en Annexe I (sécurité des machines, jouets, ascenseurs, dispositifs médicaux, véhicules, etc.). Date également reportée par le Digital Omnibus.

Pour une ETI dont les systèmes IA ne sont pas intégrés à des produits réglementés, l'horizon de mise en conformité critique est désormais le 2 décembre 2027 pour les obligations Annexe III, avec une étape intermédiaire au 2 août 2026 pour les obligations de transparence Article 50.

Le report apparent du Digital Omnibus ne doit pas masquer l'urgence opérationnelle. Les systèmes à risque élevé nécessitent une préparation de 12 à 18 mois pour atteindre la conformité complète (estimation IgnitionAI fondée sur 8 missions 2024-2025). Les entreprises qui attendront le dernier moment risqueront de ne pas disposer des ressources techniques et organisationnelles nécessaires pour respecter les délais.

Les 4 niveaux de risque définis par le règlement

Le règlement adopte une approche par les risques. Quatre niveaux structurent les obligations.

Risque inacceptable : pratiques interdites (Article 5)

L'Article 5 du règlement liste huit pratiques d'IA interdites dans l'Union européenne (EUR-Lex, Article 5). Toute mise sur le marché, mise en service ou utilisation de ces systèmes est prohibée sans exception, sauf dérogations très étroites prévues par l'article lui-même.

Les huit catégories prohibées au titre de l'Article 5, paragraphe 1 :

  1. Point a) : Systèmes recourant à des techniques subliminales, manipulatrices ou trompeuses dans le but ou avec l'effet de fausser substantiellement le comportement d'une personne et de lui causer un préjudice important.
  2. Point b) : Systèmes exploitant les vulnérabilités d'une personne ou d'un groupe en raison de leur âge, d'un handicap ou d'une situation sociale ou économique spécifique, pour fausser leur comportement de manière préjudiciable.
  3. Point c) : Systèmes de notation sociale fondés sur le comportement social ou des caractéristiques personnelles, lorsque ces notations entraînent un traitement préjudiciable dans des contextes sans rapport avec celui où les données ont été générées, ou un traitement injustifié au regard de la gravité du comportement.
  4. Point d) : Systèmes évaluant ou prédisant le risque qu'une personne commette une infraction pénale, fondés uniquement sur le profilage ou l'évaluation de traits de personnalité.
  5. Point e) : Systèmes créant ou enrichissant des bases de données de reconnaissance faciale par moissonnage non ciblé d'images depuis internet ou des dispositifs de vidéosurveillance.
  6. Point f) : Systèmes inférant les émotions d'une personne dans les contextes du lieu de travail et des établissements d'enseignement, sauf pour raisons médicales ou de sécurité.
  7. Point g) : Systèmes de catégorisation biométrique inférant la race, les opinions politiques, l'affiliation syndicale, les convictions religieuses ou philosophiques, la vie sexuelle ou l'orientation sexuelle.
  8. Point h) : Systèmes d'identification biométrique à distance en temps réel dans les espaces accessibles au public à des fins répressives, sauf exceptions limitativement énumérées.

Pour une ETI française qui n'opère pas dans la sécurité publique ni dans des secteurs manipulant la biométrie sensible, ces huit catégories sont rarement rencontrées en pratique. Une vérification rapide pendant la phase d'inventaire suffit dans la majorité des cas.

Risque élevé : l'enjeu principal pour les ETI (Article 6 et Annexe III)

L'Article 6 du règlement définit deux voies pour qu'un système soit classé à risque élevé.

Première voie (Article 6, paragraphe 1), Systèmes intégrés à des produits réglementés. Le système IA est un composant de sécurité, ou il est lui-même un produit, couvert par les législations d'harmonisation listées en Annexe I (sécurité des machines, jouets, dispositifs médicaux, véhicules à moteur, ascenseurs, etc.). Application au 2 août 2028 (date Digital Omnibus, initialement 2 août 2027).

Seconde voie (Article 6, paragraphe 2), Systèmes listés à l'Annexe III. L'Annexe III énumère huit domaines d'usage automatiquement classés à risque élevé (EUR-Lex, Annexe III). Application au 2 décembre 2027 (date Digital Omnibus, initialement 2 août 2026).

Les huit domaines de l'Annexe III, dans l'ordre du texte officiel :

  1. Biométrie (identification à distance, catégorisation, reconnaissance des émotions hors contextes prohibés)
  2. Infrastructures critiques (gestion et exploitation du trafic routier, de l'eau, du gaz, du chauffage, de l'électricité, des télécommunications, des infrastructures numériques critiques)
  3. Éducation et formation professionnelle (admission, évaluation des apprenants, détection d'irrégularités)
  4. Emploi, gestion des travailleurs et accès au travail indépendant (tri de candidatures, ciblage publicitaire d'offres d'emploi, évaluation de performance, allocation de tâches, surveillance)
  5. Accès et jouissance de services privés essentiels et de services publics (évaluation d'éligibilité à des prestations sociales, scoring crédit hors fraude, tarification d'assurance santé et vie)
  6. Forces de l'ordre
  7. Migration, asile et contrôle aux frontières
  8. Administration de la justice et processus démocratiques

Pour une ETI française, les domaines 3, 4 et 5 sont ceux qui se présentent le plus fréquemment. Un outil de pré-tri de CV, un système de scoring de candidatures, un assistant d'évaluation de performance, un système d'évaluation automatisée des apprenants, un calculateur de prime d'assurance : tous sont susceptibles d'être classés à risque élevé selon leur usage précis.

L'Article 6, paragraphe 3, prévoit une dérogation : si le système n'a pas d'impact significatif sur la prise de décision (par exemple s'il accomplit une tâche procédurale limitée, améliore le résultat d'une activité humaine, ne détecte que des schémas de décision), il peut sortir de la classification risque élevé. Cette dérogation se documente explicitement ; elle ne s'applique pas par défaut.

Risque limité : obligations de transparence (Article 50)

L'Article 50 impose des obligations de transparence pour quatre familles de systèmes (EUR-Lex, Article 50).

  • Les systèmes IA qui interagissent directement avec des personnes physiques doivent les informer qu'elles interagissent avec une IA, sauf si le contexte le rend manifeste.
  • Les systèmes IA générant ou manipulant du contenu audio, image ou vidéo synthétique doivent marquer le contenu dans un format lisible par machine et détectable comme artificiellement généré ou manipulé.
  • Les systèmes de reconnaissance d'émotions ou de catégorisation biométrique doivent informer les personnes concernées du fonctionnement du système.
  • Les systèmes générant des deep fakes doivent divulguer que le contenu est artificiellement généré ou manipulé.

Pour une ETI, l'obligation se traduit concrètement sur les chatbots (affichage explicite « assistant IA » dès le premier message) et sur les contenus marketing ou éditoriaux générés par IA (étiquetage).

Risque minimal : aucune obligation

Tous les systèmes IA non couverts par les trois niveaux précédents relèvent du risque minimal. Le règlement n'impose aucune obligation contraignante pour ces systèmes (filtres anti-spam, IA dans les jeux vidéo, recommandations basiques).

L'inventaire des systèmes IA d'une ETI

Le premier obstacle à la conformité est de répondre à une question simple : combien de systèmes IA exploitez-vous ?

Estimation IgnitionAI : Sur les missions de cadrage gouvernance que nous avons conduites en 2024-2025 (8 missions, ETI françaises 500 à 5 000 collaborateurs), le nombre de systèmes IA effectivement en usage est typiquement compris entre 15 et 60, alors que la perception initiale de la direction technique se situe entre 2 et 5. Le ratio dépend de la maturité du SI et de la culture data de l'entreprise.

Trois sources sont systématiquement sous-estimées dans l'inventaire initial.

Les fonctionnalités IA enchâssées dans les outils SaaS existants. Salesforce Einstein, Zendesk AI, Notion AI, GitHub Copilot, Microsoft Copilot, Google Workspace Duet, Atlassian Intelligence, Slack AI. Chaque fournisseur intègre des fonctionnalités IA activées par défaut. La majorité d'entre elles relèvent du risque limité (transparence chatbot) ou minimal, mais certaines peuvent basculer en risque élevé selon l'usage qu'en font vos équipes. Un outil de pré-rédaction de réponses RH qui propose à un manager d'accepter ou de refuser une candidature peut tomber sous l'Annexe III point 4 (gestion des travailleurs).

Les projets IA non répertoriés par la DSI. Équipes marketing qui utilisent une API OpenAI pour générer des descriptions, équipes RH qui testent un outil de pré-tri de CV, développeurs qui ont mis en place un chatbot interne, équipes finance qui automatisent des analyses. Aucun de ces projets n'apparaît dans le SI officiel, mais chacun manipule des données et produit des décisions.

Les modèles intégrés à des produits achetés. Les logiciels de scoring crédit, les outils de cybersécurité, les systèmes ERP modernes intègrent des modèles IA dont vous n'avez pas conscience. Le fournisseur a des obligations distinctes au titre de l'Article 25 du règlement (fournisseurs de systèmes IA à risque élevé), mais en tant qu'utilisateur (déployeur au sens de l'Article 26), vous avez vos propres obligations.

Le livrable de cette phase est un registre, au format tableur ou base Notion, qui répertorie pour chaque système IA :

  • Nom du système et fonction métier
  • Responsable business et responsable technique
  • Source : développement interne, API SaaS, intégré à un produit
  • Données traitées et leur niveau de classification interne
  • Décisions ou recommandations produites
  • Niveau de risque AI Act présumé (avec justification écrite)
  • Date de mise en service
  • Volumétrie d'utilisation

Estimation IgnitionAI : La phase d'inventaire dure entre 4 et 8 semaines pour une ETI selon sa taille et le nombre de directions métier concernées. Le facteur limitant tient à la disponibilité des correspondants métier pour les entretiens ; la phase de consolidation documentaire passe plus vite.

Les 7 obligations pour les systèmes à risque élevé

Le Chapitre III du règlement détaille les obligations applicables aux systèmes IA à risque élevé. Pour les utilisateurs (déployeurs), elles se concentrent dans les Articles 8 à 17. Pour les fournisseurs (que vous êtes potentiellement quand vous développez vos propres systèmes), elles couvrent en outre les Articles 16 à 27.

1. Système de gestion des risques (Article 9)

L'Article 9 impose la mise en place d'un système de gestion des risques continu sur tout le cycle de vie du système IA. Le système fonctionne comme un processus vivant : identification des risques, estimation et évaluation, mesures d'atténuation, tests, ajustements. Une revue annuelle au minimum, plus à chaque modification substantielle du système.

Livrable type : un document de gestion des risques structuré, mis à jour annuellement ou à chaque modification substantielle du système.

2. Gouvernance des données (Article 10)

L'Article 10 exige que les données utilisées pour l'entraînement, la validation et le test des systèmes IA à risque élevé répondent à des critères de qualité, de représentativité et d'absence de biais préjudiciables. Vous devez documenter la provenance des données, leurs caractéristiques statistiques, les biais identifiés et les mesures de mitigation.

Pour les systèmes utilisant des modèles pré-entraînés (la majorité des déploiements en ETI), cette obligation se traduit par : documentation des données d'enrichissement (fine-tuning, RAG, prompts), tests de biais sur les sorties, audit régulier de la qualité.

3. Documentation technique (Article 11 et Annexe IV)

L'Article 11 impose une documentation technique détaillée. L'Annexe IV liste les éléments obligatoires : description générale du système, éléments techniques détaillés, gestion des données, performances, gestion des risques, modifications, mesures de cybersécurité.

Estimation IgnitionAI : Pour un système RAG d'entreprise classique, le dossier technique conforme à l'Annexe IV fait entre 40 et 80 pages. Sa rédaction représente 3 à 6 semaines de travail d'un référent technique dédié, sur la base de modèles que nous avons développés pour 4 missions en 2024-2025.

4. Tenue de registres (Article 12)

L'Article 12 impose la journalisation automatique des événements relatifs au fonctionnement du système IA. Les journaux doivent permettre la traçabilité a posteriori et la conservation est imposée pour une durée appropriée à la finalité du système, d'au moins six mois sauf disposition contraire du droit de l'Union ou du droit national applicable (notamment le RGPD).

Concrètement pour un chatbot interne : qui a posé quelle question, à quel moment, avec quels documents en contexte, sous quelle version du modèle, avec quelle réponse. Pour un scoring : quelles variables d'entrée, quel score produit, quelle décision recommandée, quelle décision finalement prise par l'opérateur humain.

5. Transparence et information des déployeurs (Article 13)

L'Article 13 oblige les fournisseurs à fournir aux déployeurs une notice d'utilisation claire, complète et accessible, contenant les éléments listés au paragraphe 3. Cette obligation tombe sur le fournisseur du système. En tant que déployeur, vous devez exiger cette notice avant utilisation.

6. Surveillance humaine (Article 14)

L'Article 14 impose que les systèmes à risque élevé soient conçus pour être effectivement supervisés par des personnes physiques. La surveillance doit permettre de prévenir ou de minimiser les risques pour la santé, la sécurité ou les droits fondamentaux.

La personne en charge de la surveillance doit pouvoir comprendre les capacités et limites du système, rester consciente du biais d'automatisation, interpréter correctement les sorties, et décider de ne pas utiliser le système ou de passer outre sa recommandation.

La surveillance humaine effective implique formation, autorité de décision contre la machine, et documentation des cas d'intervention.

7. Exactitude, robustesse et cybersécurité (Article 15)

L'Article 15 impose que les systèmes atteignent un niveau approprié d'exactitude, de robustesse et de cybersécurité. Les niveaux et métriques pertinents doivent être déclarés dans la notice d'utilisation.

Vous devez mesurer la performance du système en conditions réelles, documenter sa performance par sous-population pertinente, et mettre en place des mécanismes de détection d'attaques (prompt injection, extraction de données, attaques par perturbation des entrées).

Les obligations propres à l'utilisation de modèles GPAI

Le Chapitre V (Articles 51 à 56) impose des obligations aux fournisseurs de modèles d'IA à usage général (GPAI) : OpenAI, Anthropic, Mistral, Google, Meta, Cohere et autres. Ces obligations s'appliquent depuis le 2 août 2025.

En tant qu'utilisateur d'API GPAI, vous n'héritez pas directement de ces obligations. Mais vous restez responsable du système IA global que vous construisez sur ces fondations, au titre des Articles 25 (si vous êtes considéré comme fournisseur en aval) ou 26 (déployeur).

Deux conséquences pratiques pour vos contrats.

D'une part, vous êtes en droit d'exiger du fournisseur GPAI les éléments documentaires nécessaires à votre propre conformité : caractéristiques du modèle, limites connues, données d'entraînement résumées au sens de l'Article 53, paragraphe 1, point d.

D'autre part, vous devez documenter dans votre propre dossier technique comment vous utilisez le modèle GPAI, quelles mitigations vous avez mises en place pour ses limites, et comment vous gérez les évolutions silencieuses (rolling updates) que le fournisseur peut pousser sans préavis.

Sanctions et autorités (Articles 99 et 70)

Sanctions financières (Article 99)

L'Article 99 prévoit un régime de sanctions à trois niveaux (EUR-Lex, Article 99).

  • Non-conformité avec l'Article 5 (pratiques interdites) : jusqu'à 35 millions d'euros ou, pour les entreprises, jusqu'à 7% du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu.
  • Non-conformité avec d'autres obligations (Articles 16, 22, 23, 24, 26, 31, 33, 34, 50 notamment) : jusqu'à 15 millions d'euros ou 3% du chiffre d'affaires annuel mondial.
  • Fourniture d'informations incorrectes, incomplètes ou trompeuses aux autorités : jusqu'à 7,5 millions d'euros ou 1% du chiffre d'affaires annuel mondial.

Pour les PME et les jeunes pousses, l'Article 99, paragraphe 6, prévoit que les sanctions s'appliquent au montant le plus faible entre la somme fixe et le pourcentage.

Autorités compétentes (Article 70)

L'Article 70 du règlement impose à chaque État membre de désigner ou d'établir au moins une autorité notifiante et au moins une autorité de surveillance du marché.

Note IgnitionAI sur la situation française, À la date de cette publication (mai 2026), la désignation officielle des autorités nationales françaises compétentes pour l'AI Act faisait l'objet d'un processus législatif et réglementaire. La CNIL a publié des positions et guidances et se positionne sur la dimension protection des données. L'ANSSI couvre la cybersécurité. Le lecteur est invité à vérifier l'état actuel de la désignation auprès du gouvernement français et du Bureau européen de l'IA avant tout engagement contractuel ou déclaratif. Voir les communications de la CNIL sur l'IA pour le suivi français.

Au niveau européen, le Bureau de l'IA (AI Office) au sein de la Commission est responsable de la surveillance des modèles d'IA à usage général à risque systémique.

Plan d'action sur 18 mois pour un CTO d'ETI

Le calendrier suivant suppose un démarrage aujourd'hui et vise la conformité aux obligations Annexe III applicables au 2 décembre 2027 (date Digital Omnibus).

Estimation IgnitionAI : Ce calendrier et les estimations d'effort sont basés sur 6 missions d'audit ou de mise en conformité partielle que nous avons menées en 2024-2025. Les durées et budgets peuvent varier de ±30% selon la maturité initiale et la complexité du parc applicatif.

Mois 1 à 3 : Inventaire complet

Entretiens avec chaque direction métier, audit des outils SaaS en place, identification des projets IA non répertoriés, recensement des modèles intégrés aux produits achetés. Livrable : registre des systèmes IA avec classification préliminaire au regard de l'Article 5, de l'Annexe III et de l'Article 50.

Mois 3 à 6 : Classification approfondie et priorisation

Confirmation du niveau de risque pour chaque système, identification de ceux qui basculent en risque élevé. Décisions stratégiques par système : maintien, refonte, ou retrait. Livrable : matrice de risque et plan de conformité priorisé.

Mois 6 à 9 : Documentation technique et gouvernance des données

Rédaction des dossiers techniques conformes à l'Annexe IV pour les systèmes en risque élevé, mise en place des procédures de gouvernance des données au titre de l'Article 10, audit des biais sur les sorties. Livrable : dossiers techniques et procédures documentées.

Mois 9 à 12 : Journalisation et surveillance humaine

Définition des mécanismes de supervision au titre de l'Article 14, formation des opérateurs, mise en place de l'infrastructure de logging conforme à l'Article 12. Livrable : procédures de surveillance et infrastructure technique.

Mois 12 à 15 : Audit interne et ajustements

Revue de conformité par un tiers ou par votre audit interne, identification des écarts, plan de correction. Livrable : rapport d'audit et plan d'action.

Mois 15 à 18 : Conformité finale

Mise à jour finale des contrats fournisseurs, communication aux parties prenantes, alignement final des procédures. Livrable : système prêt pour la date d'application du 2 décembre 2027 (Annexe III, date Digital Omnibus).

Estimation IgnitionAI : Ce calendrier suppose la mobilisation d'un équivalent d'un référent à temps plein pendant 18 mois, avec un budget complémentaire qui s'inscrit typiquement dans une fourchette de 80 000 à 250 000 euros pour une ETI ayant 3 à 8 systèmes à classer en risque élevé. Les fourchettes varient fortement selon la complexité technique, l'état de la documentation existante, et le niveau d'externalisation choisi.

Le piège de l'attentisme

L'argument le plus fréquent contre une mise en conformité immédiate est : « Attendons que les textes se précisent et que les guidances officielles sortent. »

C'est une posture risquée pour trois raisons documentées.

Les guidances officielles sont déjà publiées. Le Bureau européen de l'IA et la Commission publient régulièrement des actes d'exécution, des actes délégués et des lignes directrices. La CNIL a publié plusieurs documents d'orientation depuis 2023 sur les systèmes IA en lien avec le RGPD. L'essentiel des règles applicables aux ETI est déjà connu et stabilisé.

La courbe d'apprentissage est plus longue qu'attendue. Estimation IgnitionAI : Dans nos missions, l'inventaire complet prend 4 à 8 semaines. Le premier dossier technique conforme à l'Annexe IV prend 3 à 6 semaines à rédiger correctement. Une ETI qui démarre 18 mois avant l'échéance dispose de marges. Une ETI qui démarre 6 mois avant l'échéance fait la mise en conformité en urgence avec un coût significativement plus élevé et une qualité dégradée.

Les autorités s'organisent. Le Bureau européen de l'IA est devenu opérationnel en 2024. Les autorités nationales se mettent en place au cours de 2025. Les premiers contrôles ciblés sur les pratiques interdites (Article 5) ont pu démarrer dès février 2025. Note IgnitionAI : nous projetons que les premiers contrôles substantiels sur les systèmes à risque élevé pourront démarrer au second semestre 2026, une fois les obligations applicables ; cette projection n'est pas une annonce officielle d'autorité et reste à vérifier auprès des sources nationales.

Conclusion

Le règlement européen sur l'intelligence artificielle est un texte directement applicable, daté, avec des obligations articulées et des sanctions chiffrées. La fenêtre de mise en conformité pour les obligations Annexe III se referme à l'horizon du 2 décembre 2027 (date Digital Omnibus pour les systèmes Annexe III).

Trois actions structurantes à engager dans les 90 prochains jours, indépendamment de votre maturité IA actuelle.

D'abord, lancer l'inventaire exhaustif des systèmes IA en usage dans l'entreprise, en incluant les fonctionnalités SaaS enchâssées, les projets non répertoriés et les outils intégrés à vos logiciels achetés. Aucune décision de conformité ne peut être prise sans cette base de données.

Ensuite, désigner un référent IA explicite et constituer un comité de gouvernance réunissant le DPO, le RSSI et la direction technique. Ce trio doit se réunir au moins une fois par mois jusqu'à la fin du processus.

Enfin, identifier les systèmes potentiellement classés à risque élevé selon les huit catégories de l'Annexe III et engager leur documentation technique sans attendre. Ce sont les six à neuf mois de travail les plus longs et les plus structurants du projet de mise en conformité.

L'AI Act constitue un cadre qui sécurise les déploiements et qui crée un écart concurrentiel mesurable entre les entreprises qui exploitent l'IA avec gouvernance et celles qui le font sans contrôle.

Méthodologie et sources

Sources réglementaires primaires (consultées le 23 mai 2026)

  • Règlement (UE) 2024/1689 du Parlement européen et du Conseil du 13 juin 2024 établissant des règles harmonisées concernant l'intelligence artificielle et modifiant les règlements (CE) n° 300/2008, (UE) n° 167/2013, (UE) n° 168/2013, (UE) 2018/858, (UE) 2018/1139 et (UE) 2019/2144, et les directives 2014/90/UE, (UE) 2016/797 et (UE) 2020/1828. Version officielle consolidée sur EUR-Lex.
    • Article 4 : alphabétisation IA
    • Article 5 : pratiques d'IA interdites (8 catégories au paragraphe 1)
    • Article 6 : règles de classification pour les systèmes à risque élevé
    • Article 9 : système de gestion des risques
    • Article 10 : données et gouvernance des données
    • Article 11 + Annexe IV : documentation technique
    • Article 12 : tenue de registres
    • Article 13 : transparence et information des déployeurs
    • Article 14 : surveillance humaine
    • Article 15 : exactitude, robustesse et cybersécurité
    • Article 25 : fournisseurs et autres entités le long de la chaîne de valeur
    • Article 26 : obligations des déployeurs
    • Article 50 : obligations de transparence pour certains systèmes (risque limité)
    • Article 70 : autorités nationales compétentes
    • Articles 51 à 56 : modèles d'IA à usage général
    • Article 99 : sanctions administratives
    • Article 113 : entrée en vigueur et date d'application
    • Annexe I : législations d'harmonisation de l'Union
    • Annexe III : systèmes à risque élevé (8 domaines)
    • Annexe IV : documentation technique

Sources institutionnelles françaises

Bureau européen de l'IA

  • European AI Office, surveillance des modèles GPAI à risque systémique, publication des actes d'exécution

Estimations IgnitionAI

Les fourchettes de durée, d'effort et de coût citées sont des estimations basées sur 8 missions de conception, d'audit ou de mise en conformité IA menées en 2024-2025 dans des ETI françaises (industrie, secteur public, assurance, santé privée). Échantillon limité. Les ordres de grandeur peuvent varier de ±30% selon le contexte précis de l'organisation. Un cadrage spécifique est nécessaire pour chiffrer une démarche réelle.

Limites et invitations à vérification

  • La désignation officielle des autorités nationales françaises compétentes pour l'AI Act faisait l'objet d'un processus réglementaire à la date de cette publication. Le lecteur est invité à vérifier l'état actuel auprès du gouvernement français avant tout engagement.
  • La projection sur le calendrier des premiers contrôles substantiels (« second semestre 2026 ») est une estimation IgnitionAI et non une annonce officielle d'autorité.
  • Les guidances officielles évoluent. Une vérification mensuelle des publications du Bureau européen de l'IA et de la CNIL est recommandée pendant la phase de mise en conformité.

Politique de rectification

Si vous identifiez une erreur factuelle, une source devenue obsolète ou une évolution réglementaire récente, signalez-le à contact@ignitionai.fr. La politique éditoriale d'IgnitionAI prévoit une correction sous 5 jours ouvrés et, en cas d'erreur substantielle, une note de rectification visible en tête d'article.

Dernière relecture des sources

23 mai 2026. Cet article fait partie de notre revue annuelle de janvier.

Historique des rectifications

23 mai 2026 : Rectification substantielle. Mise à jour des dates d'application suite au Digital Omnibus (accord politique du 7 mai 2026 entre Parlement européen, Conseil de l'UE et Commission). Modifications principales :

  • Annexe III (systèmes à risque élevé hors produits) : 2 août 2026 → 2 décembre 2027
  • Annexe I (systèmes intégrés à des produits réglementés) : 2 août 2027 → 2 août 2028
  • Watermarking des contenus générés : ajout de la date 2 décembre 2026
  • Ajout d'une nouvelle prohibition introduite par le Digital Omnibus : images intimes non consensuelles et matériel d'abus sexuels sur enfants (applicable décembre 2026)

Procédure appliquée conformément à la politique éditoriale, niveau "rectification substantielle". Le titre, le résumé, le calendrier officiel, la section Article 6 et le plan d'action 18 mois ont été mis à jour. Les références EUR-Lex sous-jacentes pointent vers la version consolidée du règlement qui reflètera les modifications dès leur publication officielle.

Cet article s'inscrit dans notre approche de la gouvernance IA chez IgnitionAI. Pour un audit de conformité AI Act, un cadrage d'inventaire ou la mise en place de votre comité de gouvernance, présentez-nous votre projet. Notre page dédiée à la gouvernance IA détaille notre approche opérationnelle. Voir aussi notre article sur le contrôle d'accès dans un RAG d'entreprise, qui couvre la dimension technique du sujet.

À lire ensuite

Architecture·15 juin 2026

RAG d'entreprise en production : 5 décisions critiques que vos premiers POC vous cachent

Le POC RAG sur laptop tient en une journée. Le même système déployé pour 500 utilisateurs sur 100 000 documents craque en trois semaines. Cinq décisions structurantes (ingestion, chunking, recherche, observabilité, contrôle d'accès) déterminent si votre RAG passera ce cap. Grille décisionnelle pour CTO et Heads of Data d'ETI.

Salim Laimeche
Salim Laimeche
Gouvernance·24 mai 2026

Architecture multi-agents en production : trois patterns d'erreur d'autorisation observés en mission

Les systèmes multi-agents échouent au niveau de la composition entre agents : orchestrateur sans contrôle d'accès, sub-agent à données sensibles dans un pool générique, perte du contexte utilisateur dans la chaîne de délégation. Décomposition des trois patterns d'erreur récurrents et mapping vers le référentiel OWASP LLM06 Excessive Agency. Pour les architectes IA, lead engineers et CTO d'ETI qui déploient des systèmes multi-agents.

Salim Laimeche
Salim Laimeche
Gouvernance·24 mai 2026

Microsoft 365 Copilot en entreprise : l'audit de gouvernance que personne ne fait

Microsoft 365 Copilot révèle l'oversharing accumulé dans votre tenant et le rend actionnable à l'échelle de l'organisation en quelques semaines. Pourquoi l'audit Microsoft Purview préalable change tout, et comment le mener. Pour les CTO, DPO et RSSI d'ETI françaises qui déploient ou ont déployé Copilot.

Salim Laimeche
Salim Laimeche
Contact

Présentez-nous votre projet IA

Un premier échange de trente minutes avec un consultant senior. Vous repartez avec un avis documenté sur la faisabilité, le périmètre et l'ordre de grandeur des coûts. Si nous estimons que le projet n'est pas mûr, nous vous l'indiquons par écrit.

Réserver un échange ->Voir nos expertises ->

Réponse sous 24 heures ouvrées par un consultant nommé.