Introduction
Qu'est-ce que l'IA Act européen ?
L'IA Act (Règlement UE 2024/1689), adopté en 2024 et entré en vigueur le 1er août 2024, est le premier cadre juridique mondial encadrant l'intelligence artificielle. Il instaure une approche proportionnée fondée sur les risques, classant les systèmes d'IA en quatre niveaux : risque inacceptable, risque élevé, risque de transparence et risque minimal.
Calendrier d'application : les échéances clés
- 1er août 2024 — Entrée en vigueur du règlement
- 2 février 2025 — Interdiction des pratiques d'IA inacceptables et obligations de littératie IA
- 2 août 2025 — Règles de gouvernance et obligations pour les modèles d'IA à usage général (GPAI)
- Août 2026 — Règles de transparence (obligation d'identifier les contenus générés par l'IA, deepfakes)
- 2 août 2026 — Application complète du règlement pour la plupart des dispositions
- 2 décembre 2027 — Règles pour les systèmes à haut risque dans les domaines biométriques, infrastructures critiques, éducation, emploi, migration et contrôle aux frontières
- 2 août 2028 — Systèmes à haut risque intégrés dans les produits (ascenseurs, jouets, etc.)
Les 4 niveaux de risque de l'IA Act
1. Risque inacceptable — pratiques interdites
Huit catégories de pratiques sont désormais strictement interdites depuis le 2 février 2025 :
- Manipulation et tromperie nuisibles par l'IA (subliminale, exploitant les vulnérabilités)
- Exploitation des vulnérabilités (âge, handicap, situation socio-économique)
- Scoring social (classement des personnes sur la base de leur comportement social)
- Évaluation ou prédiction individuelle du risque criminel
- Rassemblement non ciblé (scraping) d'images faciales sur Internet ou vidéosurveillance
- Reconnaissance émotionnelle au travail et dans l'éducation
- Catégorisation biométrique déduisant des caractéristiques protégées (race, religion, orientation sexuelle)
- Identification biométrique en temps réel dans les espaces publics (sauf exceptions strictes)
Depuis le AI Omnibus (accord politique du 7 mai 2026), s'ajoutent : l'interdiction de générer des contenus sexuellement explicites non consentis (applications de "nudification") et de matériel d'abus sur mineurs.
2. Risque élevé — obligations strictes
Les systèmes d'IA à haut risque couvrent les domaines suivants :
- Composants de sécurité dans les infrastructures critiques (transport, énergie, eau)
- IA dans l'éducation (accès aux études, orientations professionnelles)
- Composants de sécurité de produits (chirurgie robot-assistée, jouets)
- Outils de recrutement et RH (tri de CV, évaluation des compétences)
- Accès aux services essentiels publics et privés (scoring de crédit)
- Identification biométrique à distance, reconnaissance émotionnelle
- Application de la loi et justice (préparation de décisions judiciaires)
- Migration, asile et contrôle aux frontières (examen des demandes de visa)
Obligations pour les fournisseurs de systèmes à haut risque :
- Évaluation et atténuation des risques
- Qualité des jeux de données (minimiser les biais discriminatoires)
- Journalisation des activités pour traçabilité
- Documentation technique détaillée pour les autorités
- Information claire et adéquate à l'utilisateur (deployer)
- Mesures de supervision humaine appropriées
- Robustesse, cybersécurité et précision élevées
- Surveillance après mise sur le marché et signalement des incidents graves
3. Risque de transparence
Depuis août 2026, les obligations suivantes s'appliquent :
- Les utilisateurs doivent être informés lorsqu'ils interagissent avec un chatbot ou un système d'IA (sauf si c'est évident)
- Les contenus générés par l'IA (textes, images, audio) doivent être identifiables comme tels
- Les deepfakes doivent être clairement étiquetés
- Les textes d'intérêt public générés par IA doivent être visiblement signalés
4. Risque minimal ou nul
La majorité des systèmes d'IA (jeux vidéo, filtres anti-spam, etc.) ne sont soumis à aucune nouvelle obligation. L'IA Act ne crée pas de charge réglementaire pour ces usages.
Modèles d'IA à usage général (GPAI)
Depuis le 2 août 2025, les fournisseurs de modèles GPAI (comme GPT, Claude, Gemini, Mistral) doivent :
- Fournir une documentation technique détaillée
- Respecter les droits d'auteur (obligation de transparence sur les données d'entraînement)
- Publier un résumé public du contenu d'entraînement (modèle de résumé publié en juillet 2025)
- Pour les modèles à risque systémique : évaluation des risques, cybersécurité et signalement d'incidents
Sanctions pour non-conformité
Les amendes prévues par l'IA Act sont parmi les plus élevées du droit européen :
- Jusqu'à 35 millions d'euros ou 7% du chiffre d'affaires annuel mondial — pour violation des pratiques interdites (Article 5)
- Jusqu'à 15 millions d'euros ou 3% du chiffre d'affaires annuel mondial — pour violation des autres obligations (systèmes à haut risque, GPAI, transparence)
- Jusqu'à 7,5 millions d'euros ou 1% du chiffre d'affaires annuel mondial — pour communication d'informations incorrectes ou incomplètes aux autorités
Pour les PME et start-ups, les amendes sont proportionnées au chiffre d'affaires, avec des exigences simplifiées prévues par l'AI Omnibus (accord de novembre 2025).
Ce qui change concrètement pour les entreprises
- Si vous développez ou déployez un système d'IA : identifiez votre niveau de risque et préparez la conformité avant les échéances
- Si vous utilisez des chatbots ou des outils IA générative : vous devez informer les utilisateurs depuis août 2026
- Si vous traitez des données biométriques : vérifiez que vos pratiques ne relèvent pas des catégories interdites
- Si vous êtes PME : des exigences simplifiées et des bacs à sable réglementaires sont disponibles
- Si vous êtes employeur : la reconnaissance émotionnelle au travail est interdite depuis février 2025
- Si vous utilisez l'IA pour le recrutement : votre système est classé à haut risque, avec obligations de documentation et de supervision humaine
Ce qui change pour les citoyens
- Droit de savoir quand vous interagissez avec une IA (chatbots, contenus générés)
- Protection contre la notation sociale (social scoring)
- Interdiction de la reconnaissance faciale de masse dans les espaces publics
- Protection contre les discriminations algorithmiques (embauche, crédit, éducation)
- Interdiction des deepfakes non identifiés et des applications de nudification
- Outil de signalement confidentiel (AI Act Whistleblower Tool) pour dénoncer les violations
Comment se préparer en 2026 ?
- Faites un inventaire de tous les systèmes d'IA utilisés dans votre organisation
- Classez-les par niveau de risque selon la grille de l'IA Act
- Identifiez les échéances qui s'appliquent à chaque système
- Mettez en place la documentation requise (jeux de données, traçabilité, supervision humaine)
- Formez vos équipes à la littératie IA (obligation depuis février 2025)
- Consultez l'AI Act Service Desk de la Commission européenne pour toute question d'implémentation
- Rejoignez l'AI Pact si vous souhaitez vous conformer volontairement en avance de phase
Étapes à suivre6
Inventorier vos systèmes d'IA
Recensez tous les outils et systèmes d'IA utilisés dans votre organisation : chatbots, outils de recrutement, scoring, analyse de données biométriques, etc.
Classifier par niveau de risque
Appliquez la grille de l'IA Act : risque inacceptable (interdit), élevé (obligations strictes), transparence (information), minimal (aucune obligation nouvelle).
Identifier les échéances applicables
Pratiques interdites (février 2025), GPAI (août 2025), transparence (août 2026), systèmes à haut risque intégrés (2027-2028).
Mettre en conformité la documentation
Préparez la documentation technique, les registres de données d'entraînement, les procédures de supervision humaine et les systèmes de journalisation.
Former les équipes à la littératie IA
Obligation légale depuis février 2025 : toute personne utilisant des systèmes d'IA dans le cadre professionnel doit avoir un niveau de compréhension suffisant.
Consulter l'AI Act Service Desk et rejoindre l'AI Pact
La Commission européenne propose un service d'accompagnement et un pacte volontaire pour une conformité anticipée.
Conseils pratiques
- Les PME bénéficient d'exigences simplifiées et de bacs à sable réglementaires — ne surévaluez pas votre charge de conformité.
- L'AI Omnibus (novembre 2025) a simplifié certaines obligations pour les PME et les petites entreprises intermédiaires — vérifiez si vous êtes éligible.
- Les sanctions sont calculées sur le chiffre d'affaires mondial, pas seulement européen — une PME française avec des clients hors UE est concernée.
- La reconnaissance émotionnelle au travail est interdite depuis février 2025 — si vous utilisez des outils de "bien-être" IA, vérifiez leur conformité.
- Les deepfakes doivent être identifiés depuis août 2026 — incluez cette obligation dans votre charte de communication.
Points d'attention
- Les pratiques interdites (scoring social, manipulation, scraping facial) sont déjà applicables depuis février 2025 — vérifiez immédiatement votre conformité.
- Les amendes peuvent atteindre 35 M ou 7% du CA mondial — même une PME peut être sanctionnée lourdement.
- L'IA Act s'applique à toute entreprise proposant des systèmes d'IA sur le marché européen, y compris les entreprises extra-européennes.
- Ne confondez pas RGPD et IA Act : les deux règlements s'appliquent en parallèle avec des obligations distinctes.
Questions fréquentes5
À quelle date s'applique l'IA Act européen ?
L'IA Act est entré en vigueur le 1er août 2024, mais son application est progressive : pratiques interdites depuis le 2 février 2025, obligations GPAI depuis le 2 août 2025, règles de transparence et application complète en août 2026, systèmes à haut risque intégrés en 2027-2028.
Quelles sont les sanctions pour non-respect de l'IA Act ?
Les amendes vont jusqu'à 35 millions d'euros ou 7% du chiffre d'affaires annuel mondial pour les pratiques interdites, 15 millions d'euros ou 3% pour les autres violations, et 7,5 millions d'euros ou 1% pour communication d'informations incorrectes. Les PME bénéficient d'amendes proportionnées.
L'IA Act concerne-t-il les petites entreprises ?
Oui, l'IA Act s'applique à toute entreprise, quelle que soit sa taille, qui développe, déploie ou utilise des systèmes d'IA sur le marché européen. Cependant, les PME et start-ups bénéficient d'exigences simplifiées, de bacs à sable réglementaires et d'amendes proportionnées à leur chiffre d'affaires, conformément à l'AI Omnibus de novembre 2025.
Qu'est-ce qu'un système d'IA à haut risque ?
Un système d'IA à haut risque est un système utilisé dans des domaines sensibles : infrastructures critiques, éducation, recrutement, accès aux services essentiels (scoring de crédit), biométrie, application de la loi, migration et asile, ou justice. Ces systèmes doivent respecter des obligations strictes de documentation, supervision humaine, qualité des données et traçabilité.
L'IA Act interdit-il ChatGPT et les chatbots ?
Non, les chatbots ne sont pas interdits. Depuis août 2026, l'IA Act impose simplement une obligation de transparence : les utilisateurs doivent être informés qu'ils interagissent avec une IA. Les modèles GPAI comme ChatGPT, Claude ou Gemini doivent respecter des obligations de documentation et de transparence sur leurs données d'entraînement depuis août 2025.
Guides Technologie & IA
Voir toutConstruire un chatbot local avec Ollama et Python en 30 minutes
Utiliser DeepSeek V4 en 2026 pour améliorer la recherche
Utiliser Claude Opus 4.7 en 2026 pour améliorer la productivité
Comment créer et gérer ses mots de passe de manière sécurisée en 2026
Comment utiliser Ollama en 2026
Poursuivez votre lecture
Multi-catégoriesÉquipe éditoriale GuidePratiquefr
Rédacteurs spécialisés en droit, fiscalité et finances
Rédigé et vérifié par notre équipe de rédacteurs spécialisés. Sources officielles consultées : service-public.fr, legifrance.gouv.fr, impots.gouv.fr, ameli.fr. Dernière vérification : 16 mai 2026.
Sources officielles consultées
Les informations contenues dans ce guide sont fournies à titre indicatif et ne remplacent pas un conseil professionnel personnalisé.