Femme professionnelle en blazer gris examinant une liste de contrôle de conformité AI Act dans un bureau à Nantes

AI Act 2 août 2026 : les obligations concrètes pour les entreprises

Samir Samir BenzakourJuridique
9 min de lecture 12 mai 2026

Que doit faire concrètement une entreprise française avant le 2 août 2026 pour être conforme à l'AI Act ? La réponse tient en quatre obligations fondamentales : inventorier ses systèmes IA, les classer par niveau de risque, mettre en place la documentation technique requise, et établir des mécanismes de surveillance humaine pour tout système classé "à haut risque". Ce guide Q&A décrypte chaque obligation, étape par étape, pour les dirigeants, responsables conformité et DRH qui doivent agir maintenant.

Mon entreprise est-elle concernée par l'AI Act ?

L'AI Act (Règlement UE 2024/1689) s'applique à quatre catégories d'acteurs, définies aux Articles 3 et 25 du règlement :

  • Les fournisseurs : entreprises qui développent ou font développer des systèmes IA mis sur le marché de l'UE, qu'elles soient établies dans l'UE ou non.
  • Les déployeurs : entreprises qui utilisent des systèmes IA dans le cadre de leurs activités professionnelles. C'est la catégorie qui concerne la majorité des entreprises françaises — celles qui achètent et intègrent des logiciels IA tiers dans leurs processus RH, commerciaux ou opérationnels.
  • Les importateurs : entités établies dans l'UE qui importent des systèmes IA développés hors UE.
  • Les distributeurs : acteurs qui distribuent des systèmes IA sans les avoir développés ni importés.

Un groupe pharmaceutique rennais qui achète un logiciel de tri de candidatures à un éditeur américain est simultanément un déployeur (il utilise le système) et potentiellement un importateur. Il est soumis à l'AI Act même s'il n'a écrit aucune ligne de code IA.

La règle clé : si votre système IA produit des effets sur des personnes physiques situées dans l'UE, vous êtes dans le champ du règlement — quel que soit votre pays d'établissement. Cette portée extraterritoriale est identique au mécanisme du RGPD (Règlement UE 2016/679), que les entreprises françaises connaissent bien.

Pour les TPE et PME, l'Article 55 prévoit un accès aux "bacs à sable réglementaires" gérés par les autorités nationales — en France, la CNIL — permettant de tester des systèmes IA dans un environnement contrôlé avant déploiement. Cette option est sous-utilisée mais stratégiquement intéressante pour les entreprises en phase de développement.

Quelles sont les obligations concrètes pour les systèmes IA à haut risque ?

Les déployeurs de systèmes IA à haut risque — ceux listés à l'Annexe III du règlement — sont soumis aux obligations suivantes à compter du 2 août 2026 :

Obligation Article AI Act Ce que cela implique en pratique
Système de gestion des risques Art. 9 Processus documenté d'identification, analyse et atténuation des risques tout au long du cycle de vie du système IA
Gouvernance des données Art. 10 Données d'entraînement représentatives, sans biais démographiques identifiables, documentées
Documentation technique Art. 11 Dossier technique complet fourni par le prestataire IA, conservé 10 ans après mise en service
Tenue de registres (logs) Art. 12 Journal automatique des opérations du système, permettant la traçabilité des décisions
Transparence envers le déployeur Art. 13 Notice claire sur les capacités, limites et conditions d'utilisation du système
Surveillance humaine Art. 14 Mécanisme permettant à un opérateur humain d'outrepasser, suspendre ou corriger la décision algorithmique
Exactitude et robustesse Art. 15 Le système doit atteindre les niveaux de précision déclarés et résister aux erreurs prévisibles
Évaluation de conformité Art. 43 Auto-évaluation pour la plupart des systèmes Annexe III ; certification tierce pour Annexe II

Ce que le déployeur doit faire spécifiquement (Article 26) : vérifier que le fournisseur a rempli ses obligations, désigner un responsable de surveillance du système, informer les personnes concernées et mettre en place la supervision humaine. La responsabilité du déployeur n'est pas subsidiaire — elle est directe et autonome.

À retenir : Un déployeur qui ne vérifie pas la conformité documentaire de son fournisseur IA engage sa propre responsabilité sous l'AI Act. Demander la documentation technique à votre prestataire IA n'est pas optionnel — c'est une obligation légale à compter du 2 août 2026.

Comment réaliser l'inventaire des systèmes IA de son entreprise ?

L'inventaire est le prérequis absolu à toute démarche de conformité AI Act. Sans lui, impossible de savoir quels systèmes sont dans le périmètre, lesquels sont à haut risque, et quelles actions prioritaires prendre. Voici le processus en 5 étapes :

Étape 1 — Cartographie exhaustive des outils IA

Auditez l'ensemble des logiciels, API et algorithmes utilisés dans l'entreprise. La question à poser à chaque département : "Quel outil prend ou influence des décisions de manière automatisée ?" Incluez les outils achetés, ceux développés en interne et ceux fournis gratuitement mais intégrés dans vos processus (APIs OpenAI, Azure AI, Google Vertex, etc.).

Étape 2 — Classification par niveau de risque

Pour chaque système identifié, appliquez la grille de classification de l'AI Act :

  • Système interdit (Article 5) ? → Désactivation immédiate obligatoire
  • Système à haut risque (Annexe III) ? → Conformité complète avant le 2 août 2026
  • Système GPAI (grand modèle de langage) intégré dans un système à haut risque ? → Traitement comme haut risque
  • Système à risque limité (Article 50) ? → Obligations de transparence uniquement
  • Système à risque minimal ? → Aucune obligation spécifique, codes de conduite volontaires

Étape 3 — Collecte de la documentation fournisseur

Pour chaque système à haut risque, contacter le fournisseur et lui demander : la documentation technique (Article 11), la déclaration de conformité UE (Article 47), et la notice d'utilisation destinée au déployeur (Article 13). Un fournisseur qui ne peut pas fournir ces documents n'est pas conforme — le déployer expose l'entreprise.

Étape 4 — Évaluation interne de la surveillance humaine

Documenter, pour chaque système à haut risque, la procédure permettant à un humain d'intervenir, de corriger ou de suspendre la décision algorithmique. Cette procédure doit exister formellement — un simple "on peut toujours appeler le manager" ne suffit pas.

Étape 5 — Enregistrement dans le registre de conformité

Centraliser tous les éléments dans un registre de conformité AI Act (distinct du registre RGPD, mais pouvant y être annexé). La CNIL a publié un modèle de registre adapté aux entreprises françaises, disponible sur son site officiel.

Cette démarche rejoint les bonnes pratiques de gouvernance IA déjà mises en avant dans le contexte de la réglementation IA européenne pour les entreprises françaises, dont l'AI Act représente l'aboutissement législatif.

Checklist de conformité AI Act avec stylo sur un bureau professionnel organisé, matérialisant les étapes d'inventaire des systèmes IA

Que doit contenir la documentation technique exigée par l'AI Act ?

L'Article 11 de l'AI Act impose aux fournisseurs de constituer et tenir à jour une documentation technique dont le contenu minimum est défini à l'Annexe IV du règlement. Pour un déployeur, comprendre ce que cette documentation doit contenir permet de vérifier si son fournisseur est vraiment conforme.

Une documentation technique AI Act complète doit inclure :

  • Description générale du système : objectifs, cas d'usage, catégorie de risque, version du modèle IA sous-jacent
  • Architecture et logique du système : description des composants principaux, flux de données, type d'algorithme
  • Données d'entraînement : sources, méthodes de collecte et de prétraitement, représentativité des populations concernées, mesures anti-biais
  • Mesures de performance : métriques d'exactitude, de robustesse et de sécurité ; benchmarks sur des populations diversifiées
  • Processus de développement et de test : méthodes de conception, résultats des tests, gestion des versions
  • Évaluation des risques : identification des risques prévisibles, mesures d'atténuation, résidus de risque acceptés
  • Instructions d'utilisation : conditions dans lesquelles le système peut être déployé, capacités et limites, erreurs prévisibles à surveiller

Pour les systèmes développés par des tiers (ce qui est le cas de la très grande majorité des entreprises françaises), cette documentation doit être fournie par le prestataire sous forme d'un dossier technique contractuellement transmissible. Si votre contrat de licence SaaS ne mentionne pas la documentation AI Act, il est urgent de l'amender.

La responsabilité croissante des entreprises technologiques vis-à-vis de leurs usagers en matière d'IA illustre bien pourquoi cette documentation n'est pas un exercice bureaucratique : elle est le fondement de la responsabilité civile et réglementaire en cas d'incident.

Quelles sont les échéances à ne pas rater avant et après le 2 août 2026 ?

L'AI Act suit un calendrier d'application progressif. Voici les dates clés que les entreprises françaises doivent intégrer à leur planning de conformité :

  • 2 février 2025 (déjà passé) : Interdictions absolues de l'Article 5 applicables — systèmes de notation sociale, manipulation comportementale subluminale, reconnaissance biométrique en temps réel dans les espaces publics (avec exceptions limitées). Tout système relevant de l'Article 5 devait être désactivé à cette date.

  • 2 août 2025 (déjà passé) : Obligations pour les fournisseurs de modèles d'IA à usage général (GPAI) applicables — notamment les grands modèles de langage (LLM) ayant une capacité de calcul supérieure à 10²³ FLOPs. Ces modèles sont soumis à des obligations de transparence, de documentation et, pour les modèles présentant un risque systémique, à des évaluations adversariales.

  • 2 août 2026 (à venir) : Obligations pour les systèmes IA à haut risque définis à l'Annexe III — dont les outils RH, de recrutement, de scoring de crédit et de vidéo-surveillance analytique. C'est la date centrale pour les entreprises déployeuses.

  • 2 août 2027 : Date limite de mise en conformité pour les systèmes à haut risque déjà en service avant le 2 août 2026 (régime transitoire prévu à l'Article 111). Attention : ce délai supplémentaire ne dispense pas de commencer la démarche maintenant — les procédures d'évaluation et de documentation prennent en moyenne 6 à 12 mois selon la taille de l'organisation.

  • 2031 : Date d'applicabilité des obligations AI Act pour les systèmes IA intégrés dans des composants de sécurité de produits couverts par des directives européennes harmonisées (dispositifs médicaux, machines industrielles, etc.).

Questions fréquentes sur les obligations AI Act des entreprises

Mon fournisseur IA (éditeur SaaS) dit que c'est lui qui est responsable de la conformité — est-ce exact ? Partiellement. Le fournisseur est responsable de la conformité du système IA qu'il développe et met sur le marché. Mais l'Article 26 impose des obligations autonomes au déployeur : vérifier la conformité du fournisseur, mettre en place la surveillance humaine, informer les personnes concernées et signaler les incidents graves. La co-responsabilité est réelle.

Comment prouver la surveillance humaine si elle est contestée aux prud'hommes ? La surveillance humaine doit être formellement documentée : procédure écrite décrivant qui peut outrepasser la décision algorithmique, dans quelles circonstances, avec quel délai de traitement. Cette procédure doit être conservée et pouvoir être produite en justice. Un simple email interne ne suffit pas.

Existe-t-il des aides financières pour les PME qui doivent se mettre en conformité AI Act ? Le programme France 2030 finance certains projets de mise en conformité IA pour les PME industrielles. La BPI (Banque Publique d'Investissement) dispose de dispositifs de prêts pour les projets de transformation numérique incluant la conformité réglementaire. La CCI (Chambre de Commerce et d'Industrie) de votre région peut orienter vers les aides disponibles localement.

Avertissement : Ce guide est fourni à titre informatif uniquement et ne constitue pas un conseil juridique. L'AI Act est un règlement récent dont les lignes directrices d'application sont encore en cours d'élaboration. Pour votre situation spécifique, consultez un avocat spécialisé en droit du numérique.

AI Act 2 août 2026 : le dossier complet pour les entreprises

Voir le dossier complet
IA et recrutement : vos droits à chaque étape du processus de sélection
Juridique

IA et recrutement : vos droits à chaque étape du processus de sélection

Le processus de recrutement dure trois semaines. À chaque étape — tri du CV, analyse du profil LinkedIn, entretien vidéo, évaluation des compétences — votre dossier peut être scoré, noté ou écarté par

9 min de lectureMay 12, 2026
Systèmes IA à haut risque : 7 catégories que votre entreprise doit auditer
Juridique

Systèmes IA à haut risque : 7 catégories que votre entreprise doit auditer

68 % des PME françaises ignorent qu'elles utilisent au moins un système d'[intelligence artificielle](/fr/actu/jacques-attali-intelligence-artificielle-neurotechnologie-risques-donnees-personnelles-fr

9 min de lectureMay 12, 2026
Licenciement par algorithme : 3 voies juridiques pour contester aux prud'hommes
Juridique

Licenciement par algorithme : 3 voies juridiques pour contester aux prud'hommes

Un algorithme a décidé de votre licenciement. Vous le savez parce que votre employeur ne peut pas expliquer le motif autrement que par "vos résultats ne correspondent pas aux objectifs fixés par notre

8 min de lectureMay 12, 2026
RGPD et AI Act : les 5 idées reçues les plus dangereuses pour les DRH
Juridique

RGPD et AI Act : les 5 idées reçues les plus dangereuses pour les DRH

Non, votre conformité RGPD ne vous protège pas de l'AI Act. Non, la responsabilité de la conformité n'appartient pas uniquement à votre fournisseur de logiciel RH. Et non, les PME ne seront pas épargn

8 min de lectureMay 12, 2026

Articles similaires

Magazine
Dirigeant français signant son code de conduite anti-corruption sur un bureau en bois à Lyon
Juridique

Directive anti-corruption UE 2026 : guide pour les dirigeants de PME

TL;DR : La directive européenne anti-corruption 2026/1021, publiée au Journal officiel de l'UE en mars 2026, impose aux États membres une transposition avant le 31 décembre 2026. En France, cela s

12 min de lecture15 mai 2026
Deux parties en médiation à Toulouse, mains sur un accord prêt à signer, stylo et documents juridiques sur table en bois
Juridique

Médiation avant procès 2026 : guide pratique du médiateur certifié

TL;DR : La médiation avant procès permet de résoudre 70 % des litiges civils en moins de 3 mois, pour un coût 5 à 10 fois inférieur à celui d'une procédure judiciaire. En 2026, recourir à un média

11 min de lecture15 mai 2026
Mains analysant un plan de financement de formation CPF sur documents imprimés à Bordeaux
Juridique

CPF 2026 : le guide complet pour financer sa formation

TL;DR : Depuis le 2 mai 2024, utiliser son Compte Personnel de Formation (CPF) coûte au minimum 100 € de reste à charge — sauf exceptions précises. En 2026, cette règle est toujours en vigueur. Ma

10 min de lecture15 mai 2026

Nos experts

Avantages

Des réponses rapides et précises pour toutes vos questions et demandes d'assistance dans plus de 200 catégories.

Des milliers d'utilisateurs ont obtenu une satisfaction de 4,9 sur 5 pour les conseils et recommandations prodiguées par nos assistants.

Expert Zoom

Comment ça fonctionne ?Qui sont nos experts ?MagazineActualités

Business

Outils professionnelsOutils pratiques

Nous contacter

Email
Suivez nous
Politique de confidentialitéConditions générales d'utilisation