Menu
Programme
Secteurs Blog
Nous contacter 01 88 61 20 19

66 Avenue des Champs-Élysées, 75008 Paris

contact@dynexio.com

Organisme Qualiopi — NDA 11757033075

Guide

AI Act 2026 : guide complet de mise en conformité pour les entreprises

Raouf Amdouni ·

Adopté en 2024 et en cours de déploiement progressif jusqu’en 2027, l’AI Act (règlement européen sur l’intelligence artificielle) est le premier cadre juridique complet au monde dédié à l’IA. En 2026, une grande partie de ses obligations devient applicable et concerne directement les entreprises françaises, quelle que soit leur taille. Ignorer ce règlement expose à des sanctions pouvant atteindre 35 millions d’euros ou 7 % du chiffre d’affaires mondial.

Ce guide détaille ce qu’est l’AI Act, à qui il s’applique, quelles sont vos obligations concrètes, le calendrier de mise en œuvre et les étapes à suivre pour mettre votre organisation en conformité sans freiner vos projets d’intelligence artificielle.

Qu’est-ce que l’AI Act ?

L’AI Act — ou règlement (UE) 2024/1689 — est un texte européen qui encadre la conception, la mise sur le marché et l’utilisation des systèmes d’intelligence artificielle au sein de l’Union européenne. Son objectif : garantir que les systèmes d’IA utilisés en Europe soient sûrs, transparents, traçables, non discriminatoires et respectueux des droits fondamentaux.

Contrairement au RGPD, qui protège les données personnelles, l’AI Act protège les personnes face aux risques spécifiques de l’intelligence artificielle : décisions automatisées opaques, biais algorithmiques, manipulation comportementale, surveillance biométrique de masse, etc.

Le règlement adopte une approche par les risques. Chaque système d’IA est classé dans une catégorie selon son niveau de risque, et les obligations varient en conséquence. C’est le pilier central du texte et la clé pour comprendre ce qui s’applique à votre entreprise.

Les 4 niveaux de risque définis par l’AI Act

1. Risque inacceptable — systèmes interdits

Certains usages de l’IA sont purement et simplement interdits depuis le 2 février 2025. Parmi eux :

  • Notation sociale généralisée des citoyens par les autorités publiques
  • Manipulation comportementale exploitant les vulnérabilités des personnes (âge, handicap, situation sociale)
  • Reconnaissance biométrique en temps réel dans les espaces publics par les forces de l’ordre (sauf exceptions strictes)
  • Reconnaissance des émotions sur le lieu de travail et dans les établissements scolaires
  • Police prédictive basée uniquement sur le profilage
  • Extraction non ciblée d’images faciales depuis Internet ou la vidéosurveillance

Une entreprise qui déploie ou utilise un système entrant dans ces catégories s’expose aux sanctions les plus lourdes prévues par le règlement.

2. Risque élevé — obligations strictes

C’est la catégorie la plus étendue et celle qui concerne le plus grand nombre d’entreprises. Un système d’IA est considéré comme « à haut risque » s’il est utilisé dans des domaines sensibles tels que :

  • Ressources humaines : tri de CV, notation de candidats, évaluation de la performance, décisions de promotion ou de licenciement
  • Accès aux services essentiels : scoring de crédit, assurance, prestations sociales
  • Éducation et formation : évaluation automatisée, orientation scolaire, détection de fraude aux examens
  • Forces de l’ordre, justice et migrations : analyse de preuves, évaluation de risques
  • Infrastructures critiques : transport, énergie, gestion de l’eau
  • Dispositifs médicaux et produits réglementés intégrant de l’IA

Les systèmes à haut risque sont soumis à des obligations strictes : gestion des risques, qualité des données d’entraînement, documentation technique, journalisation, transparence, supervision humaine, robustesse et cybersécurité, et dans certains cas, évaluation de conformité par un organisme notifié.

3. Risque limité — obligations de transparence

Les systèmes d’IA à risque limité sont soumis à des obligations de transparence uniquement. Concrètement :

  • Les chatbots doivent informer l’utilisateur qu’il interagit avec une machine
  • Les contenus générés par IA (textes, images, vidéos, sons) doivent être clairement étiquetés comme tels
  • Les deepfakes doivent être identifiés comme des contenus artificiels

Ces obligations concernent un très grand nombre d’entreprises qui intègrent des IA génératives dans leurs produits ou leurs communications.

4. Risque minimal — pas d’obligation spécifique

La grande majorité des systèmes d’IA existants (filtres anti-spam, moteurs de recommandation basiques, IA dans les jeux vidéo) tombent dans cette catégorie. Aucune obligation spécifique ne s’applique, mais les bonnes pratiques de transparence et d’éthique restent encouragées.

À qui s’applique l’AI Act ?

L’AI Act s’applique très largement. Sont concernés :

  • Les fournisseurs de systèmes d’IA commercialisés ou utilisés dans l’Union européenne, même s’ils sont établis hors de l’UE
  • Les déployeurs (entreprises utilisatrices) qui mettent en œuvre un système d’IA dans le cadre de leur activité professionnelle
  • Les importateurs et distributeurs qui mettent à disposition des systèmes d’IA sur le marché européen
  • Les représentants autorisés des fournisseurs non européens

En pratique, si votre entreprise utilise un outil d’IA — qu’il soit développé en interne ou acheté auprès d’un éditeur — vous êtes concerné. Une PME qui intègre ChatGPT, Claude ou Copilot dans ses processus RH est un « déployeur » au sens du règlement et doit respecter les obligations correspondant au niveau de risque du système.

Le calendrier d’application de l’AI Act

Le règlement est entré en vigueur le 1er août 2024. Son application est progressive :

  • 2 février 2025 : interdiction des pratiques à risque inacceptable et obligations générales de littératie IA pour les employeurs
  • 2 août 2025 : obligations applicables aux modèles d’IA à usage général (GPAI), dont les grands modèles de langage (LLM)
  • 2 août 2026 : application de l’essentiel du règlement, y compris les obligations liées aux systèmes à haut risque
  • 2 août 2027 : application complète, notamment pour les systèmes à haut risque intégrés dans des produits déjà réglementés

En 2026, nous sommes à un moment charnière. Les entreprises qui n’ont pas encore commencé leur mise en conformité doivent agir sans attendre.

L’obligation de littératie IA : le point souvent oublié

L’article 4 de l’AI Act impose une obligation souvent méconnue et pourtant applicable depuis février 2025 : les fournisseurs et déployeurs de systèmes d’IA doivent prendre des mesures pour garantir un niveau suffisant de littératie en IA de leur personnel et de toute personne qui utilise ces systèmes en leur nom.

Concrètement, cela signifie que chaque entreprise qui utilise de l’IA doit former ses collaborateurs à :

  • Comprendre ce qu’est l’intelligence artificielle et comment elle fonctionne
  • Identifier les risques, les biais et les limites des systèmes utilisés
  • Appliquer les bonnes pratiques d’usage responsable
  • Respecter le cadre légal et éthique

Cette obligation ne fait pas l’objet de sanctions spécifiques, mais elle sera prise en compte par les autorités de contrôle en cas de manquement lié à un mauvais usage de l’IA. La formation IA et transformation : les fondamentaux de Dynexio est précisément conçue pour répondre à cette exigence de littératie IA, avec un format accessible à tous les collaborateurs, quel que soit leur niveau technique.

Les sanctions prévues par l’AI Act

L’AI Act prévoit un régime de sanctions parmi les plus sévères du droit européen :

  • 35 millions d’euros ou 7 % du chiffre d’affaires annuel mondial (le plus élevé des deux) pour les violations des pratiques interdites
  • 15 millions d’euros ou 3 % du chiffre d’affaires pour le non-respect des obligations applicables aux systèmes à haut risque et aux modèles d’IA à usage général
  • 7,5 millions d’euros ou 1 % pour la fourniture d’informations incorrectes ou trompeuses aux autorités

Ces montants sont plafonnés pour les PME et les start-up, mais restent dissuasifs. Au-delà du risque financier, une non-conformité expose l’entreprise à un risque réputationnel majeur et peut entraîner le retrait du marché des systèmes non conformes.

Les étapes concrètes pour mettre votre entreprise en conformité

Étape 1 — Cartographier vos usages de l’IA

La première étape consiste à identifier tous les systèmes d’IA utilisés dans votre organisation, qu’ils soient développés en interne ou achetés auprès de fournisseurs externes. Pour chaque système, recensez :

  • Le fournisseur et la version du système
  • La finalité d’usage (RH, marketing, service client, production, etc.)
  • Les données traitées (personnelles, sensibles, confidentielles)
  • Les décisions ou recommandations produites
  • Les utilisateurs concernés (collaborateurs, clients, candidats)

Cette cartographie est le point de départ indispensable. Sans elle, il est impossible d’évaluer votre niveau d’exposition.

Étape 2 — Classifier chaque système selon son niveau de risque

Pour chaque système identifié, déterminez à quelle catégorie de risque il appartient selon les critères de l’AI Act. Cette classification conditionne l’ensemble des obligations qui s’appliquent. En cas de doute, il est prudent de se rapprocher d’un expert en conformité IA pour sécuriser l’analyse.

Étape 3 — Mettre en place une gouvernance IA

La conformité à l’AI Act repose sur une gouvernance claire et documentée. Cela implique de :

  • Désigner un référent IA (ou un comité IA) chargé de piloter la conformité
  • Définir une politique d’usage de l’IA applicable à l’ensemble de l’entreprise
  • Tenir un registre des systèmes d’IA utilisés et déployés
  • Mettre en place des procédures de validation avant tout nouveau déploiement
  • Documenter les décisions liées à l’usage de l’IA (analyses de risque, mesures correctives, formations dispensées)

Cette gouvernance rejoint les bonnes pratiques déjà mises en place dans le cadre du RGPD et doit idéalement être intégrée au système de management existant.

Étape 4 — Garantir la transparence et l’information des utilisateurs

Les obligations de transparence sont applicables à un grand nombre de systèmes, même à risque limité. Vérifiez que :

  • Les utilisateurs sont informés lorsqu’ils interagissent avec une IA (chatbots, assistants virtuels)
  • Les contenus générés par IA sont clairement étiquetés
  • Les conditions d’utilisation et les politiques de confidentialité reflètent l’usage des systèmes d’IA
  • Les personnes soumises à une décision automatisée disposent d’une information claire et d’un recours humain

Étape 5 — Former vos équipes à la littératie IA

Comme évoqué plus haut, l’article 4 rend la formation obligatoire. Cette obligation couvre tous les collaborateurs qui utilisent des systèmes d’IA, pas uniquement les équipes techniques. Les compétences IA indispensables pour les managers en 2026 sont un bon point de départ pour définir un plan de formation.

Dynexio propose plusieurs formations certifiées Qualiopi pour répondre à cette obligation :

Ces formations sont éligibles au CPF, aux financements OPCO et au FNE-Formation.

Étape 6 — Encadrer vos fournisseurs de solutions IA

Si vous utilisez des systèmes d’IA fournis par des tiers (éditeurs SaaS, LLM propriétaires comme ceux de notre benchmark des modèles IA 2026, intégrateurs), vous restez responsable en tant que déployeur. Il est donc essentiel de :

  • Intégrer des clauses de conformité AI Act dans vos contrats
  • Exiger la documentation technique des systèmes à haut risque
  • Vérifier la conformité CE des systèmes concernés
  • Prévoir des procédures d’audit et de révision périodiques

Étape 7 — Auditer et améliorer en continu

La conformité à l’AI Act n’est pas un projet ponctuel, mais un processus continu. L’évolution rapide de la technologie et du cadre juridique impose une veille permanente et des mises à jour régulières de votre dispositif. Un audit stratégique IA annuel permet de maintenir un bon niveau de conformité et d’anticiper les évolutions.

AI Act et RGPD : deux cadres complémentaires

L’AI Act ne remplace pas le RGPD, il le complète. Les deux textes s’articulent de la manière suivante :

  • Le RGPD s’applique dès lors que des données personnelles sont traitées, y compris par un système d’IA
  • L’AI Act s’applique à tous les systèmes d’IA, qu’ils traitent ou non des données personnelles

Dans la pratique, la plupart des systèmes d’IA à haut risque traitent des données personnelles et sont donc soumis aux deux règlements simultanément. Les obligations de transparence, de minimisation, de sécurité et de documentation se recoupent largement, ce qui permet de mutualiser les efforts de mise en conformité.

FAQ — AI Act et conformité des entreprises

Mon entreprise utilise ChatGPT ou Claude pour rédiger des e-mails, suis-je concerné par l’AI Act ?

Oui, vous êtes considéré comme un « déployeur » au sens du règlement. Pour un usage de type rédaction ou synthèse, le système est généralement classé à risque limité ou minimal, mais vous devez respecter l’obligation de littératie IA (article 4) et les règles de transparence sur les contenus générés.

Mon entreprise compte moins de 50 salariés, suis-je exempté de l’AI Act ?

Non. L’AI Act s’applique à toutes les entreprises, quelle que soit leur taille. Les PME bénéficient toutefois de plafonds de sanctions réduits et de mesures d’accompagnement spécifiques prévues par le règlement.

Quelle autorité contrôle l’application de l’AI Act en France ?

En France, la CNIL est l’une des autorités désignées pour contrôler le respect de l’AI Act, en particulier pour les aspects liés aux données personnelles. D’autres autorités sectorielles (ACPR, ARCOM, ANSM) interviennent selon les secteurs concernés. Un Comité européen de l’intelligence artificielle coordonne l’application du règlement au niveau de l’Union.

Quelle est la différence entre un fournisseur et un déployeur ?

Le fournisseur est celui qui développe, conçoit ou met sur le marché un système d’IA (par exemple OpenAI, Anthropic, Mistral). Le déployeur est l’entreprise utilisatrice qui met en œuvre le système dans le cadre de son activité professionnelle (par exemple une PME qui utilise un LLM dans son service client). Les obligations ne sont pas les mêmes.

Comment prouver que j’ai rempli mon obligation de littératie IA ?

En tenant un registre des formations dispensées, en conservant les feuilles d’émargement, les supports pédagogiques et les attestations de formation. Les formations certifiées Qualiopi produisent automatiquement cette documentation et offrent un niveau de preuve élevé en cas de contrôle.

Faut-il nommer un « délégué à l’IA » comme pour le RGPD ?

Le règlement n’impose pas la nomination obligatoire d’un délégué à l’IA, mais il recommande fortement de désigner un référent chargé de piloter la conformité. Dans les grandes organisations, la création d’une fonction dédiée ou d’un comité IA est une bonne pratique de plus en plus répandue.

Anticipez l’AI Act dès maintenant avec Dynexio

L’AI Act n’est pas un frein à l’innovation, c’est un cadre qui sécurise le déploiement de l’intelligence artificielle dans votre organisation. Les entreprises qui anticipent leur mise en conformité transforment cette obligation en avantage concurrentiel : elles rassurent leurs clients, protègent leurs données et déploient l’IA plus sereinement.

Dynexio accompagne les entreprises sur l’ensemble des volets de la mise en conformité : cartographie des usages, analyse de risque, gouvernance, formation des équipes et encadrement des fournisseurs. Nos formations sont certifiées Qualiopi et éligibles au CPF, aux OPCO et au FNE-Formation.

Réserver un diagnostic gratuit de 30 minutes →

Intéressé par nos formations IA ?

Diagnostic gratuit de 30 minutes. On évalue ensemble votre potentiel IA.

Prendre rendez-vous Tous les articles