L’EU AI Act est entré en vigueur le 1er août 2024, mais ses obligations s’appliquent progressivement jusqu’en 2027. Comprendre précisément quand chaque obligation entre en vigueur est crucial pour planifier votre mise en conformité sans paniquer — ni procrastiner.
Ce guide vous donne le calendrier complet avec les implications concrètes pour votre entreprise.
Vue d’ensemble : la logique du calendrier progressif
Le législateur européen a choisi une approche progressive pour permettre aux entreprises de s’adapter. Les obligations les plus urgentes concernent les utilisations les plus dangereuses de l’IA, tandis que les exigences pour les applications à haut risque (mais pas interdites) ont plus de temps.
La logique est la suivante :
- Immédiatement (août 2024) : Le règlement est en vigueur, les travaux de gouvernance commencent
- Février 2025 : Interdictions des IA les plus dangereuses
- Août 2025 : Obligations sur les modèles d’IA à usage général + alphabétisation IA
- Août 2026 : Obligations sur les systèmes à haut risque (la plupart des cas d’usage enterprise)
- Août 2027 : Obligations sur les systèmes à haut risque relevant de réglementations sectorielles
1er août 2024 : Entrée en vigueur
L’AI Act est officiellement en vigueur depuis le 1er août 2024. À cette date :
- Le Bureau de l’IA (AI Office) est établi au sein de la Commission européenne
- Les États membres doivent désigner leurs autorités nationales de surveillance
- Les travaux sur les codes de bonnes pratiques commencent avec l’industrie
Ce que votre entreprise doit faire maintenant :
- Prendre connaissance du règlement
- Lancer un inventaire de vos systèmes IA
- Désigner un référent interne pour le suivi de la conformité
2 février 2025 : Interdictions absolues
C’est la première grande échéance concrète. À partir du 2 février 2025, les systèmes d’IA présentant un risque inacceptable sont interdits dans toute l’UE.
Systèmes interdits (liste complète)
Systèmes de manipulation inconsciente : Tout système IA qui utilise des techniques subliminales, des biais cognitifs, ou des vulnérabilités psychologiques pour altérer le comportement d’une personne de façon préjudiciable à ses intérêts.
Exploitation des personnes vulnérables : Systèmes exploitant les vulnérabilités de groupes spécifiques (enfants, personnes âgées, personnes en situation de handicap) pour influencer leur comportement.
Notation sociale (Social Scoring) : Systèmes de notation des citoyens par des autorités publiques ou privées sur la base de leur comportement social ou de caractéristiques personnelles, pouvant entraîner des traitements défavorables.
Identification biométrique en temps réel dans les espaces publics : Pour les forces de l’ordre uniquement, avec des exceptions très encadrées (recherche de victimes disparues, prévention d’attaques terroristes imminentes).
Prédiction de comportements criminels basée sur le profilage : Les outils de “police prédictive” fondés uniquement sur des caractéristiques personnelles ou démographiques.
Reconnaissance des émotions dans le milieu professionnel et éducatif : Systèmes d’analyse des émotions de salariés ou d’étudiants à des fins de surveillance ou d’évaluation.
Catégorisation biométrique à des fins sensibles : Déduction de la race, opinions politiques, convictions religieuses, orientation sexuelle à partir de données biométriques.
Ce que votre entreprise doit vérifier avant le 2 février 2025 :
- Avez-vous des outils d’analyse des émotions des collaborateurs ou clients ?
- Utilisez-vous des systèmes de scoring basés sur des données comportementales à grande échelle ?
- Avez-vous des outils de profilage qui pourraient rentrer dans ces catégories ?
2 août 2025 : Modèles d’IA à usage général (GPAI) et alphabétisation IA
Obligations sur les modèles GPAI
À partir du 2 août 2025, les fournisseurs de modèles d’IA à usage général (GPAI) — comme OpenAI, Anthropic, Google, Mistral — doivent :
- Maintenir une documentation technique complète du modèle
- Respecter les droits d’auteur dans les données d’entraînement
- Publier un résumé des données d’entraînement suffisamment détaillé
Les modèles à risque systémique (calculés comme ayant une puissance d’entraînement supérieure à 10^25 FLOPs) ont des obligations supplémentaires :
- Évaluations adversariales (red teaming)
- Rapport d’incidents sérieux à la Commission
- Mesures de cybersécurité
- Efficacité énergétique
Pour les utilisateurs de GPAI (votre entreprise) : Vos fournisseurs d’IA devront se conformer à ces exigences. Si un fournisseur ne peut pas démontrer sa conformité, cela crée un risque indirect pour vous. Commencez à évaluer la conformité de vos fournisseurs.
Obligation d’alphabétisation IA (Article 4)
C’est l’obligation la plus directement applicable aux entreprises utilisatrices. Dès le 2 août 2025, tout opérateur de systèmes d’IA doit s’assurer que ses équipes disposent d’un niveau suffisant d’alphabétisation en IA.
Cela signifie concrètement :
- Former les collaborateurs qui utilisent des systèmes d’IA dans leur travail quotidien
- Les doter d’une compréhension des capacités et des limites de l’IA
- Les sensibiliser aux risques et aux bonnes pratiques
Populations à former en priorité :
- Les utilisateurs directs d’outils IA (ChatGPT, Copilot, CRM avec IA, etc.)
- Les managers qui supervisent des processus impliquant l’IA
- Les équipes RH qui utilisent des outils de recrutement ou d’évaluation avec IA
- Les équipes IT responsables du déploiement des systèmes IA
2 août 2026 : Systèmes à haut risque — Annexe III
C’est l’échéance la plus impactante pour la majorité des entreprises. Les systèmes d’IA dits à haut risque selon l’Annexe III doivent être conformes d’ici le 2 août 2026.
Catégories de systèmes concernés
Infrastructures critiques : Systèmes IA utilisés dans la gestion des réseaux d’énergie, eau, transports.
Éducation et formation professionnelle : Systèmes déterminant l’accès à l’éducation, attribuant des notes, évaluant les niveaux de compétences.
Emploi et ressources humaines :
- Systèmes de recrutement automatisés (tri de CV, présélection de candidats)
- Systèmes d’évaluation de la performance et de promotion
- Systèmes de gestion des relations de travail
Accès aux services publics et privés essentiels :
- Scoring de crédit et évaluation solvabilité
- Systèmes d’assurance (tarification basée sur le risque individuel)
- Évaluation de l’éligibilité aux aides sociales
Application de la loi : Systèmes d’évaluation de risque utilisés par les forces de l’ordre.
Migration et contrôle aux frontières : Évaluation de risque, analyse de demandes d’asile.
Administration de la justice : Assistance à l’interprétation des faits, application de la loi dans les procédures judiciaires.
Obligations pour les déployeurs de systèmes à haut risque
Si votre entreprise utilise un outil de recrutement automatisé, un système de scoring de crédit, ou tout autre outil rentrant dans ces catégories, vous devez d’ici août 2026 :
- Vérifier que le fournisseur est conforme (documentation technique, évaluation de conformité)
- Mettre en place une supervision humaine pour les décisions importantes
- Former les opérateurs sur les spécificités du système
- Documenter vos procédures de contrôle
- Surveiller les performances du système et signaler les incidents
- Tenir un registre des utilisations du système (pour les systèmes les plus critiques)
2 août 2027 : Systèmes à haut risque — Annexe I
Cette dernière échéance concerne les systèmes à haut risque qui font déjà l’objet d’autres réglementations sectorielles : dispositifs médicaux, équipements radio, véhicules autonomes, équipements de protection individuelle, etc.
Ces secteurs ont jusqu’en 2027 pour se mettre en conformité avec les exigences IA superposées à leurs réglementations existantes.
Checklist de conformité par échéance
Avant le 2 février 2025 ✓
- Inventaire des systèmes IA utilisés
- Vérification qu’aucun système interdit n’est utilisé
- Désignation d’un référent conformité IA
Avant le 2 août 2025 ✓
- Programme de formation à l’alphabétisation IA lancé
- Audit des fournisseurs de GPAI (conformité documentation)
- Politique d’utilisation de l’IA rédigée et communiquée
Avant le 2 août 2026 ✓
- Inventaire des systèmes à haut risque (Annexe III)
- Évaluation de conformité de chaque système à haut risque
- Procédures de supervision humaine documentées
- Formation des opérateurs de systèmes à haut risque
- Registre des usages des systèmes critiques
Les sanctions : un rappel
Le non-respect de l’AI Act expose à des sanctions significatives :
- Systèmes interdits : jusqu’à 35 M€ ou 7 % du CA mondial
- Obligations haut risque : jusqu’à 15 M€ ou 3 % du CA mondial
- Informations incorrectes : jusqu’à 7,5 M€ ou 1 % du CA mondial
Pour les PME, des sanctions proportionnées sont prévues, mais le risque reputationnel et commercial d’une non-conformité publiée peut être tout aussi dommageable.
Conclusion
La mise en conformité à l’AI Act est un processus progressif, pas une révolution à opérer du jour au lendemain. Les entreprises qui commencent maintenant — inventaire, gouvernance, formation — aborderont sereinement chaque échéance.
Ne sous-estimez pas l’obligation d’alphabétisation IA d’août 2025 : c’est probablement l’échéance la plus immédiatement applicable pour la majorité des PME et ETI françaises.
BetterPeople accompagne les entreprises françaises dans leur mise en conformité AI Act, de l’inventaire initial à la formation des équipes. Découvrez notre accompagnement sur betterpeople.studio.
Prêt à transformer votre organisation avec l'IA ?
Réservez un diagnostic gratuit de 30 minutes avec notre équipe.