Le 2 août 2026, tous les systèmes IA classés haute-risque en Europe doivent respecter des obligations strictes : évaluation des risques, documentation technique, audit tiers, surveillance humaine. Passé ce délai, amendes jusqu’à 30 millions d’euros. Ce guide déploie le calendrier, les phases de conformité, les rôles et les pièges à éviter.
Calendrier réglementaire : où nous en sommes
Le Règlement (UE) 2024/1689, entré en vigueur le 1er août 2024, étale ses obligations selon un calendrier précis.
Étapes franchies
- Février 2025 : Interdiction de l’IA inacceptable. Reconnaissance faciale temps réel en espace public, notation sociale gouvernementale. Arrêt immédiat obligatoire.
- Août 2025 : Transparence pour les modèles IA générative ; activation des autorités nationales et Notified Bodies.
Étapes décisives
- Août 2026 (8 mois) : Tous les systèmes haute-risque doivent recevoir un certificat de conformité et marquage CE.
- Août 2027 : Systèmes IA intégrés dans produits réglementés (dispositifs médicaux, automobiles, machines industrielles).
Vous avez raté les deux premiers actes. Le troisième est inévitable.
Classification : situer votre niveau de risque
L’IA Act répartit tout système en quatre niveaux, chacun imposant des obligations distinctes.
Risque inacceptable : interdiction immédiate
Depuis février 2025, aucun délai, aucune conformité possible.
Systèmes interdits
- Identification biométrique temps réel en espace public.
- Notation sociale gouvernementale.
- Manipulation subliminale du comportement.
- Profilage discriminatoire (refuser services selon race, genre, handicap prédit).
Action requise : Arrêt immédiat si vous opérez l’une de ces applications.
Haute-risque : 8 catégories strictement régulées
Ces systèmes exigent documentation complète, audit de qualité, évaluation des risques, surveillance humaine et approbation d’un Notified Body avant mise en marché.
Catégorie 1 — BiométrieIdentification biométrique à distance, catégorisation par traits protégés, reconnaissance d’émotions.
Catégorie 2 — Infrastructures critiquesComposants de sécurité dans réseaux numériques, trafic routier, eau, gaz, chauffage, électricité.
Catégorie 3 — Éducation et formationDécisions d’accès, évaluation des résultats, notation du comportement lors de tests.
Catégorie 4 — Emploi et gestion du travailRecrutement, évaluation de performance, surveillance comportementale, attribution de tâches selon traits individuels.
Catégorie 5 — Services publics essentielsÉligibilité aux soins, allocations sociales, notation de crédit, tarification assurances vie/santé, allocation de ressources d’urgence.
Catégorie 6 — Application de la loiÉvaluation du risque de victimisation, prédiction de récidive, profilation dans enquête criminelle.
Catégorie 7 — Migration, asile et contrôles aux frontièresTests d’authenticité, évaluation du risque sécurité ou santé, évaluation de visas ou demandes d’asile.
Catégorie 8 — Justice et démocratieSupport décisionnel judiciaire, systèmes d’influence électorale.
Action requise : Mappez chaque système IA contre ces catégories. Une correspondance = obligation de conformité.
Risque limité : transparence seule
Chatbots, générateurs de contenu, résumés automatisés. Obligation : clarifier que l’utilisateur interagit avec de l’IA. Aucun Notified Body requis.
Risque minimal : bonnes pratiques optionnelles
Filtres anti-spam, moteurs de recommandation simples. Aucune obligation formelle du Règlement.
Conformité haute-risque : 4 phases en 8 mois
Vous avez confirmé qu’au moins un système est haute-risque. Voici la feuille de route structurée par phase, avec responsables et livrables.
Phase 1 : Audit et inventaire (février – mars 2026)
Responsables : Directeur de conformité, Architecte en chef.
- Registre exhaustif de tous les systèmes IANom, fournisseur ou création interne, cas d’usage, sources de données, date de déploiement, équipe propriétaire.
- Mapping aux catégories de risquePour chaque système : “Entre-t-il dans l’une des 8 catégories Annex III ?” Documentez le raisonnement. Cette traçabilité est critique en audit.
- Identification des zones d’incertitudeBorderline ? Marquez et pilotez juridique.
- Affectation de propriétaires fonctionnelsChaque système haute-risque a un propriétaire (Tech, Produit, Juridique, RH).
Livrable : Registre IA classé par risque avec traçabilité décisionnelle.
Phase 2 : Gestion des risques et documentation technique (avril – mai 2026)
Responsables : Produit, Data Science, Sécurité, Conformité.
Pour chaque système haute-risque, assemblez un dossier technique complet et un système de gestion formalisé.
Système de gestion des risques (Article 9)
- Inventaire des risques : biais, robustesse, sécurité, régulation.
- Évaluation et priorisation : probabilité et gravité pour chaque risque.
- Documentation des mesures d’atténuation : retraining, audit continu, human override, timeout.
- Boucle de feedback humain : mécanisme permettant aux humains de rejeter ou corriger une décision IA.
- Processus de monitoring : surveillance de la performance post-déploiement.
Documentation technique (Annex IV, Article 11)
- Model CardNom, version, historique, auteurs, objectifs métier, architecture, hyperparamètres.
- Données d’entraînementProvenance, taille, caractéristiques démographiques, biais connus, nettoyage appliqué.
- Tests de biais et robustesseRésultats sur données stratifiées par groupes protégés. Tests adversariaux.
- Métriques de performancePrécision, rappel, F1, AUC selon le cas métier. Performance sur données déséquilibrées.
- Système de logsEnregistrement automatique : date, heure, données d’entrée, sortie, confiance du modèle, feedback utilisateur.
- CybersécuritéChiffrement en transit/repos, gestion des accès, versioning des poids, incident response.
Système de gestion de la qualité (Article 17)
- Contrôle de version : tout changement de code, données, modèle enregistré.
- Procédures de test : critères d’acceptation avant déploiement.
- Traçabilité : chaque décision IA retracée à sa version de modèle et jeu de données.
- Escalade : protocole d’alerte si performance se dégrade post-déploiement.
- Autorisations : qui peut modifier le modèle ? Quels contrôles ?
Documentation de transparence (Article 13)
- Avertissement utilisateur : clarté absolue que l’IA participe à la décision.
- Résumés de données d’entraînement : synthèse non-technique.
- Disclosure de performance : taux d’erreur approximatif, limites connues.
Livrable : Dossier technique (30–100 pages selon complexité), Registre des risques, Plan QMS.
Phase 3 : Engagement Notified Body et conformité formelle (mai – juillet 2026)
Responsables : Directeur de conformité, Conseil juridique, Lead technique.
Identifier un Notified Body
Les Notified Bodies sont des organismes d’évaluation tiers désignés par l’Union européenne.
Règles d'or
- Seuls les Notified Bodies désignés par l’UE comptent.
- Consultez la base NANDO (ec.europa.eu/growth/nando).
- Choisissez un organisme correspondant à votre domaine.
- Demandez références clients et délais réalistes.
Préparer et soumettre le dossier
- Checklist Notified Body : complétez intégralement selon leur modèle.
- Dossier technique : output de Phase 2, complet et daté.
- Attestation interne : déclaration légale de complétude et exactitude.
- Preuve de QMS : documentation du système de gestion.
- Plan post-marché : stratégie de surveillance après déploiement.
Anticiper l'examen
- Délai d’examen : 4 à 12 semaines typiquement. Planifiez large.
- Risque : Notified Body peut identifier des lacunes. Correction obligatoire avant approbation.
- Pré-audit optionnel : revue préalable (~1–2k€) peut économiser des mois si des findings lourds émergent tard.
Livrable : Certificat de conformité ou demandes de correction.
Attention critique : Si le Notified Body découvre des lacunes majeures en juin, vous n’aurez pas le temps de corriger avant août 2. Lancez Phase 2 en avril, pas mai.
Phase 4 : Mise en marché et surveillance post-déploiement (août 2026 et après)
Responsables : Produit, Support, Conformité.
Enregistrement et marquage
- Marquage CE : apposition sur documentation produit et interface (si pertinent).
- Déclaration UE de conformité : document signé déclarant respect de tous les articles du Règlement. Conservez 7 ans.
- Enregistrement en base de données (Annex VIII) : soumission auprès de l’autorité nationale compétente pour inscription dans la base publique UE AI Act.
Surveillance post-marché (Article 72)
- Logging continu : chaque utilisation enregistrée dans un système centralisé.
- Tableau de bord : métriques clés tracées (précision en direct, taux de rejet humain, anomalies).
- Escalade d’incident : tout problème de sécurité ou droits fondamentaux remonte immédiatement.
Signalement d'incident grave (Article 73)
Notifiez l’autorité nationale compétente dans les 15 jours si le système détecte une faille critique.
Exemples d'incidents graves
- Biais découvert affectant 5 % des décisions avec impact légal.
- Injection d’adversaire ayant manipulé le système.
- Données de formation compromise.
Livrable : Plan de surveillance formalisé, logs archivés, SOP d’incident.
Rôles et responsabilités
| Rôle | Phase 1 | Phase 2 | Phase 3 | Phase 4 |
|---|---|---|---|---|
| Directeur Conformité | Lead audit | Oversee risques | Lead Notified Body, signatures | Enregistrement, escalade |
| Responsable Produit | Inventaire systèmes | Documentation produit | Support dossier | Monitoring, feedback |
| Tech / Data Science | Classification IA | Tests biais, robustesse | Présentation technique | Logs, anomalies |
| Sécurité | Audit sécurité | Cryptage, gestion accès | Validation QMS | Incident response |
| Juridique | Traçabilité décisions | Documentation transparence | Déclaration conformité, signatures | Incident reporting |
Amendes : coût de la non-conformité
Les autorités nationales et le Bureau de l’IA de la Commission appliquent le Règlement. Les sanctions sont cumulatives et irrévocables.
Violer une obligation haute-risque (déployer sans Notified Body)Jusqu’à 30 millions € ou 6 % du chiffre d’affaires annuel mondial (le plus élevé retenu). Pour une entreprise de 5 milliards €, cela représente 300 millions €.
Violer obligation documentaire ou transparenceJusqu’à 15 millions € ou 3 % du CA mondial.
Fausse déclaration ou obstructionJusqu’à 10 millions € ou 2 % du CA.
Les autorités recrutent inspecteurs depuis 2024. Attendez audits de marché à partir de 2026–2027. Les violations graves seront poursuivies en priorité.
Conformité multiégionale : EU + New York
Si vous opérez ou servez le marché new-yorkais, intégrez cette couche supplémentaire.
La Fundamental Artificial Intelligence Requirements in News Act (FAIR News Act), proposée par le Sénat de New York en février 2025, impose que le contenu d’actualité généré par IA soit clairement étiqueté avant publication, examiné par un humain ayant autorité éditoriale, accompagné de protection des sources journalistiques et de protections du travail.
État : Proposée février 2025 ; statut législatif à confirmer.
Implications : Si vous êtes fournisseur SaaS pour newsrooms, vous devez respecter EU AI Act et NY FAIR News Act (si en vigueur). Les deux règles s’empilent. Traitez-les comme régimes séparés et confirmez le statut de NY FAIR News Act à chaque trimestre.
Questions fréquentes
Mon système entre partiellement en haute-risque. Faut-il vraiment le certifier ?Oui. La légalité est binaire. Si un système entre dans l’une des 8 catégories Annex III, certification obligatoire, peu importe l’usage réel. Vous devez certifier ou retirer la fonctionnalité. Aucune marge n’existe légalement.
Pouvons-nous demander une extension ?Non. La Commission a refusé explicitement les demandes d’extension en 2024 et 2025. Le 2 août est date fixe.
Notre Notified Body est en dehors de l’UE. C’est acceptable ?Non. Seuls les Notified Bodies désignés par États-membres de l’UE peuvent émettre un certificat légalement valide. Consultez uniquement la base NANDO.
Nous avons lancé le système avant août 2024. Sommes-nous dispensés ?Partiellement selon l’Article 111 : intégration de systèmes anciens dans produits régulés jusqu’au 2 août 2027, seulement si mis en marché avant 1er août 2024 et ne correspondant pas aux catégories haute-risque. Exemption très étroite. Si haute-risque, certification requise par août 2026.
Notre système est dans un dispositif médical. Comment s’ajoute le cadre MDR ?Le système doit respecter les deux cadres. La MDR s’applique au dispositif global ; l’EU AI Act ajoute exigences IA spécifiques (risk management IA, documentation IA, QMS IA). Consultez avocat spécialisé santé IA.
Sommes-nous (non-EU) concernés ?Oui si vous avez des clients en l’UE, des utilisateurs EU ou traitez des données EU. Extraterritorialité complète. Même basé aux USA ou à Singapour, vous devez vous conformer si votre IA sert le marché EU haute-risque.
Que se passe-t-il si on déploie non-conforme ?Risque zéro jusqu’au jour de l’amende. Puis 30M€, retrait du marché, poursuites civiles des utilisateurs discriminés. Attendez audits 2026–2027 ; agir après le 2 août, c’est roulette russe.
Pouvons-nous simplement arrêter la fonctionnalité haute-risque ?Oui, si vous la retirez et documentez la décision. Mais : si clients dépendent de cette fonctionnalité, coût du retrait peut être supérieur au coût de certification. Analysez ROI avant de décider.
Les 30 jours critiques : août 2026
Le 2 août 2026 à minuit (heure de Bruxelles), la fenêtre ferme définitivement.
Au 1er août 2026, vous devez avoir
- Certificat de conformité ou demande en cours avec preuve d’engagement Notified Body.
- Marquage CE sur documentation produit.
- Enregistrement soumis à l’autorité nationale.
- Logs post-marché en place.
Après le 2 août
- Tout système haute-risque non certifié est réputé non-conforme.
- Audits lancés.
- Amende à découverte.
Checklist finale
- Inventaire terminé et signé (Phase 1, avant fin mars 2026).
- Dossier technique complet (Phase 2, avant fin mai 2026).
- Notified Body identifié et pré-audit optionnel lancé (avant juin 1er).
- Dossier soumis (avant juin 15, pour 12 semaines = résultat fin août).
- Findings Notified Body traités (en parallèle).
- Certificat obtenu ou demande de correction finale (avant fin juillet 2026).
- Marquage CE appliqué, déclaration UE préparée (avant fin juillet 2026).
- Enregistrement base de données soumis (avant 2 août 2026).
- Post-marché monitoring activé (au déploiement, avant 2 août 2026).
Si vous n’avez pas commencé Phase 1, lancez dès maintenant. Août 2026 approche rapidement.
FAQ
Quels systèmes IA sont concernés par la deadline d'août 2026 ?
Tous les systèmes classés « haute-risque » selon l’Annexe III : biométrie, emploi, services publics, justice, migration et infrastructures critiques. La classification est légalement binaire : si votre système entre dans l’une des 8 catégories, il doit être certifié.
Quelles sont les sanctions en cas de non-conformité ?
Amendes jusqu’à 30 millions € ou 6 % du chiffre d’affaires annuel mondial, retrait du marché et poursuites civiles des utilisateurs discriminés. Aucune exemption.
Peut-on obtenir une extension au-delà d'août 2026 ?
Non. La Commission a refusé explicitement les demandes de délai. Le 2 août 2026 est définitif et non négociable.
Seul un organisme de l'UE peut-il certifier la conformité ?
Oui. Seuls les « Notified Bodies » désignés par les États-membres peuvent émettre un certificat valide. Aucun organisme tiers-monde ne suffit légalement. Consultez la base NANDO.
Notre système entre partiellement dans haute-risque. Devons-nous le certifier ?
La légalité est binaire : si un seul élément entre dans l’une des 8 catégories, certification obligatoire. Aucune exemption partielle. Certifiez ou retirez la fonctionnalité.
Sources
- https://trilateralresearch.com/responsible-ai/eu-ai-act-implementation-timeline-mapping-your-models-to-the-new-risk-tiers
- https://www.jdsupra.com/legalnews/latest-wave-of-obligations-under-the-eu-3886441/
- https://www.modulos.ai/blog/eu-ai-act-high-risk-compliance-deadline-2026/
- https://www.enkryptai.com/blog/how-to-navigate-the-eu-ai-act
- https://eudigitallaw.com/eu-ai-act-compliance-deadlines-remain-firm-despite-industry-pushback/
- https://www.mondaq.com/eu-artificial-intelligence-act-approved-by-member-states
- https://www.insideaudiomarketing.com/post/new-york-bill-would-require-ai-labels-on-news-content
- https://eur-lex.europa.eu/eli/reg/2024/1689/oj
