AvisCalendrier de mise en oeuvre du EU AI Act : dates clés pour les déployeurs
KLA Digital Logo
KLA Digital
EU AI Act2 janvier 202625 min de lecture

Exigences du Règlement européen sur l'IA : ce que les responsables conformité doivent savoir en 2026

Le guide de référence pour les responsables conformité : calendrier d'application progressif, classifications à haut risque, documentation Annexe IV, exigences de contrôle humain, régime de sanctions et stratégies concrètes de mise en conformité.

Antonella Serine

Le Règlement européen sur l'IA est désormais applicable, et les responsables conformité doivent agir sans délai — les pratiques d'IA interdites sont sanctionnables depuis le 2 février 2025, avec des amendes pouvant atteindre 35 millions d'euros ou 7 % du chiffre d'affaires mondial. La fenêtre de préparation se réduit rapidement, les exigences complètes relatives aux systèmes d'IA à haut risque entrant en vigueur le 2 août 2026. Ce guide exhaustif fournit aux responsables conformité le cadre opérationnel et fiable dont ils ont besoin pour maîtriser la réglementation la plus ambitieuse au monde en matière d'intelligence artificielle.

Le calendrier de mise en œuvre progressive impose d'agir immédiatement

Maîtriser le calendrier précis de mise en conformité est indispensable pour allouer les ressources et concevoir le programme de conformité. Le Règlement européen sur l'IA (Règlement 2024/1689) est entré en vigueur le 1er août 2024, mais s'applique selon une mise en œuvre échelonnée qui exige des réponses organisationnelles distinctes à chaque étape.

Depuis le 2 février 2025, les huit catégories de pratiques d'IA interdites sont d'ores et déjà applicables. Elles comprennent les systèmes de notation sociale, l'IA exploitant les vulnérabilités liées à l'âge ou au handicap, la catégorisation biométrique permettant de déduire des attributs sensibles, l'identification biométrique à distance en temps réel dans les espaces publics (avec des exceptions strictement encadrées pour les forces de l'ordre), la reconnaissance des émotions sur le lieu de travail et dans les établissements d'enseignement, l'extraction massive de données de reconnaissance faciale, ainsi que les techniques d'IA manipulatrices ou trompeuses.

L'échéance du 2 août 2025 a rendu applicables les obligations relatives aux modèles d'IA à usage général (GPAI), imposant aux fournisseurs de modèles de fondation de maintenir une documentation technique, d'établir des politiques de conformité au droit d'auteur et de publier des synthèses sur les données d'entraînement. Les modèles dépassant 10^25 FLOP de calcul d'entraînement sont classés comme présentant un risque systémique et soumis à des obligations supplémentaires.

L'échéance cruciale du 2 août 2026 active le cadre complet de conformité pour les systèmes d'IA à haut risque énumérés à l'Annexe III — couvrant la biométrie, les infrastructures critiques, l'éducation, l'emploi, les services essentiels, les forces de l'ordre, les migrations et les processus démocratiques. Les organisations doivent réaliser des évaluations de la conformité, mettre en place des systèmes de gestion de la qualité, établir des cadres de gestion des risques et enregistrer leurs systèmes dans la base de données de l'UE avant tout déploiement de systèmes d'IA à haut risque après cette date.

  • 2 février 2025 : pratiques d'IA interdites sanctionnables avec amendes maximales
  • 2 août 2025 : obligations relatives aux modèles GPAI en vigueur ; autorités nationales désignées
  • 2 août 2026 : entrée en vigueur de l'ensemble des exigences pour les systèmes d'IA à haut risque au titre de l'Annexe III
  • 2 août 2027 : période de transition prolongée pour l'IA à haut risque dans les produits réglementés (dispositifs médicaux, machines, véhicules)

Le rôle du responsable conformité exige un repositionnement organisationnel

Le Règlement européen sur l'IA n'impose pas un poste spécifique de « responsable conformité IA », mais il crée des structures de responsabilité qui requièrent de facto une gouvernance centralisée de l'IA. L'article 17, paragraphe 1, point m) exige des fournisseurs qu'ils établissent « un cadre de responsabilité définissant les responsabilités de la direction et des autres membres du personnel » en matière de conformité IA — une formulation qui implique des fonctions de supervision dédiées.

Les principaux cabinets de conseil recommandent la mise en place de structures formelles de gouvernance de l'IA, incluant un directeur de l'IA ou un responsable de la gouvernance de l'IA au niveau de la direction générale, un comité consultatif IA transversal réunissant les fonctions juridique, conformité, produit et technique, ainsi que des lignes hiérarchiques claires remontant au conseil d'administration.

  • Les fournisseurs développent des systèmes d'IA ou les mettent sur le marché — ils portent la responsabilité principale de conformité
  • Les déployeurs utilisent des systèmes d'IA sous leur propre autorité — avec des obligations allégées mais substantielles
  • Les déployeurs peuvent devenir fournisseurs en cas de changement de marque, de modifications substantielles ou de réaffectation d'une IA à usage général à des applications à haut risque
  • Les contrats fournisseurs et les procédures de contrôle des modifications doivent activement gérer le risque de glissement vers le statut de fournisseur

Les exigences de maîtrise de l'IA imposent des investissements immédiats en formation

Les obligations de maîtrise de l'IA prévues à l'article 4 s'appliquent depuis le 2 février 2025, imposant aux fournisseurs comme aux déployeurs de garantir « un niveau suffisant de maîtrise de l'IA pour leur personnel et les autres personnes qui assurent le fonctionnement et l'utilisation des systèmes d'IA pour leur compte ». La Commission européenne a précisé que cette obligation s'étend aux sous-traitants, prestataires de services, et potentiellement aux clients utilisant les systèmes d'IA de l'organisation.

Les programmes de formation doivent couvrir la compréhension générale de l'IA, les obligations spécifiques à chaque rôle, la sensibilisation aux risques des systèmes déployés et l'application pratique aux responsabilités quotidiennes. Le non-respect des exigences de maîtrise de l'IA n'entraîne pas directement de sanctions, mais une formation insuffisante constitue un facteur aggravant augmentant les sanctions pour d'autres violations du Règlement sur l'IA.

  • Membres du conseil d'administration et dirigeants : formation à la gouvernance stratégique de l'IA et à la supervision des risques
  • Personnel opérationnel : directives pratiques d'utilisation et procédures de contrôle humain
  • Personnel risques et conformité : méthodologie de classification et exigences documentaires
  • Équipes techniques : formation approfondie en gouvernance des données et validation des modèles

La classification des risques détermine l'intégralité des obligations de conformité

Le système de classification à quatre niveaux de risque du Règlement — interdit, haut risque, risque limité et risque minimal — conditionne fondamentalement les obligations de conformité. Les erreurs de classification constituent ce que de nombreux cabinets de conseil qualifient de « l'erreur la plus fondamentale et la plus lourde de conséquences » dans la mise en conformité avec le Règlement sur l'IA.

La classification à haut risque s'active selon deux voies. La première concerne les systèmes d'IA utilisés comme composants de sécurité de produits, ou constituant eux-mêmes des produits, couverts par la législation d'harmonisation européenne existante. La seconde concerne les systèmes d'IA relevant de huit catégories de cas d'usage spécifiées à l'Annexe III.

L'exception de l'article 6, paragraphe 3 permet aux systèmes qui pourraient autrement être classés à haut risque d'échapper à cette classification s'ils exécutent des tâches procédurales étroites, améliorent des activités humaines préalablement réalisées, détectent des schémas décisionnels sans se substituer à l'évaluation humaine, ou effectuent des tâches préparatoires. Toutefois, cette exception ne s'applique pas si le système effectue un profilage des individus.

  • Biométrie : identification à distance, reconnaissance des émotions
  • Infrastructures critiques : systèmes numériques, transports, services publics essentiels
  • Éducation : admissions, évaluation, surveillance des examens
  • Emploi : recrutement, suivi des performances, décisions de licenciement
  • Services essentiels : notation de crédit, évaluation des risques d'assurance, dispatching d'urgence
  • Forces de l'ordre : évaluation des preuves, évaluation des risques
  • Migration et contrôle aux frontières
  • Administration de la justice et processus démocratiques

Documentation technique et systèmes de gestion de la qualité

Les fournisseurs de systèmes d'IA à haut risque doivent maintenir une documentation technique exhaustive couvrant neuf catégories spécifiées à l'Annexe IV : description générale du système, méthodologie de conception et de développement, exigences relatives aux données, informations de suivi et de contrôle, documentation de gestion des risques, registre des modifications du cycle de vie, normes harmonisées appliquées, documentation de conformité et plans de surveillance après mise sur le marché.

L'article 17 impose des systèmes de gestion de la qualité avec des politiques, procédures et instructions documentées couvrant la stratégie de conformité réglementaire, les procédures de conception et de développement, les exigences de test et de validation, les systèmes de gestion des données, l'intégration de la gestion des risques, la surveillance après mise sur le marché, le signalement des incidents et les cadres de responsabilité.

Les analyses d'experts indiquent que plus de 70 % des défaillances de conformité proviennent d'erreurs de documentation plutôt que de défauts techniques — ce qui fait des pratiques de documentation systématiques l'investissement de conformité le plus rentable.

  • La documentation doit être conservée pendant 10 ans après la mise sur le marché du système
  • Les journaux automatiques générés par les systèmes à haut risque doivent être conservés au moins 6 mois
  • Les établissements financiers peuvent satisfaire aux exigences de SGQ via leurs dispositifs de gouvernance existants
  • La Commission s'est engagée à fournir des modèles simplifiés pour les PME et les startups

Les obligations de contrôle humain créent des exigences opérationnelles

L'article 14 exige que les systèmes d'IA à haut risque soient conçus de manière à permettre un contrôle effectif par des personnes physiques pendant leur utilisation, avec des outils d'interface homme-machine appropriés. Le Règlement reconnaît plusieurs modèles de contrôle — human-in-command (humain aux commandes), human-in-the-loop (humain dans la boucle), human-on-the-loop (humain sur la boucle) et human-over-the-loop (humain au-dessus de la boucle).

Les dispositifs techniques doivent permettre aux déployeurs de comprendre les capacités et les limites du système, de surveiller les opérations y compris la détection d'anomalies, de reconnaître les risques de biais d'automatisation, d'interpréter correctement les résultats, de décider de ne pas utiliser les résultats dans toute situation, et d'intervenir ou d'interrompre le système via des mécanismes d'arrêt.

Pour les systèmes d'identification biométrique à distance, le Règlement exige une vérification à deux personnes — l'identification doit être confirmée par au moins deux personnes qualifiées disposant des compétences, de la formation et de l'autorité appropriées.

  • Le personnel de contrôle humain doit disposer des compétences et de l'autorité nécessaires
  • Les responsabilités de contrôle ne doivent pas entraver les autres tâches opérationnelles
  • La documentation des mesures de contrôle doit figurer dans la documentation technique
  • Des journaux prêts pour l'audit des interventions de contrôle doivent être tenus

Les procédures d'évaluation de la conformité varient selon la catégorie du système

Les systèmes d'IA à haut risque nécessitent une évaluation de la conformité avant leur mise sur le marché selon l'une des deux voies. L'auto-évaluation par contrôle interne (Annexe VI) est autorisée pour les systèmes relevant des points 2 à 8 de l'Annexe III (éducation, emploi, services essentiels, forces de l'ordre, migration, processus démocratiques).

L'évaluation par un tiers, réalisée par des organismes notifiés (Annexe VII), est requise pour les systèmes d'identification biométrique au titre du point 1 de l'Annexe III, lorsque les normes harmonisées n'existent pas ou ne sont pas pleinement appliquées, et lorsque des spécifications communes existent mais ne sont pas appliquées.

Pour les systèmes d'IA intégrés dans des produits réglementés au titre de la législation de l'Annexe I (dispositifs médicaux, machines), les fournisseurs suivent la procédure d'évaluation de la conformité prévue par cette législation, en y intégrant les exigences du Règlement sur l'IA.

Les exigences de gouvernance des données imposent des contrôles qualité systématiques

L'article 10 établit des exigences de qualité des données pour les systèmes d'IA à haut risque utilisant des techniques d'entraînement sur données. Les pratiques de gouvernance des données requises incluent des choix de conception documentés démontrant la pertinence, la documentation des processus de collecte de données, les hypothèses explicites sur ce que les données mesurent, la documentation des processus de préparation, les évaluations de disponibilité, l'examen des biais et l'identification des lacunes dans les données.

Les jeux de données doivent être pertinents, suffisamment représentatifs, exempts d'erreurs dans la mesure du possible, complets au regard de la finalité prévue, et présenter des propriétés statistiques appropriées pour les populations cibles.

La relation avec le RGPD crée à la fois des synergies et des tensions. Les principes de minimisation des données du RGPD doivent être mis en balance avec les exigences d'exhaustivité du Règlement sur l'IA — une tension qui nécessite une documentation rigoureuse des évaluations de nécessité.

Surveillance après mise sur le marché et signalement des incidents

L'article 72 impose aux fournisseurs de mettre en place des systèmes de surveillance après mise sur le marché proportionnés aux risques du système, collectant, documentant et analysant activement les données de performance pertinentes tout au long de la durée de vie du système.

Le signalement des incidents graves au titre de l'article 73 impose des délais stricts : un décès doit être notifié dans les 10 jours ; une atteinte généralisée ou une perturbation d'infrastructure critique doit être notifiée dans les 2 jours ; les autres incidents graves doivent être notifiés dans les 15 jours.

  • Pas de mécanisme de guichet unique — les fournisseurs doivent notifier chaque État membre concerné
  • Les déployeurs doivent informer immédiatement les fournisseurs des incidents graves
  • Si les fournisseurs ne sont pas joignables, les obligations de signalement incombent directement au déployeur
  • Des modèles de plans de surveillance après mise sur le marché sont attendus de la Commission d'ici février 2026

Le régime de sanctions engendre une exposition financière considérable

Le Règlement établit trois niveaux de sanctions créant un risque financier significatif. Les violations des pratiques d'IA interdites sont passibles d'amendes pouvant atteindre 35 millions d'euros ou 7 % du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu. La plupart des autres violations du Règlement sur l'IA sont passibles d'amendes pouvant atteindre 15 millions d'euros ou 3 % du chiffre d'affaires. La fourniture d'informations incorrectes ou trompeuses est passible d'amendes pouvant atteindre 7,5 millions d'euros ou 1 % du chiffre d'affaires.

Pour les PME et les startups, les mêmes montants et pourcentages maximaux s'appliquent, mais c'est le montant le plus bas (et non le plus élevé) qui prévaut — offrant un allègement significatif aux organisations de plus petite taille.

  • Les facteurs de détermination de la sanction incluent la nature, la gravité, la durée de l'infraction et le nombre de personnes affectées
  • La coopération avec les autorités et les mesures d'atténuation influencent l'évaluation de la sanction
  • L'article 99 permet aux États membres d'établir des règles relatives à la responsabilité des personnes physiques
  • Les sanctions applicables aux fournisseurs de modèles GPAI sont différées jusqu'en août 2026

Le paysage de l'application reste en construction

Le Bureau européen de l'IA, établi au sein de la DG CNECT avec plus de 125 collaborateurs, détient la compétence exclusive en matière d'application des règles relatives aux modèles d'IA à usage général et coordonne avec les autorités nationales via le Comité IA.

La désignation des autorités nationales reste incomplète — à la mi-2025, seuls trois États membres avaient pleinement désigné à la fois les autorités notifiantes et les autorités de surveillance du marché. Les approches de mise en œuvre varient entre des modèles centralisés à agence unique et des modèles répartis entre les régulateurs sectoriels existants.

Aucune action coercitive majeure ni sanction n'a été rendue publique début 2026. Toutefois, les signaux réglementaires suggèrent que les premières priorités d'application porteront sur les pratiques interdites, la transparence des modèles GPAI et — à partir d'août 2026 — l'IA dans l'emploi et le recrutement, la notation de crédit et les applications de santé.

Les spécificités sectorielles façonnent les stratégies de conformité

Les services financiers sont confrontés à une complexité particulière, la notation de crédit et l'évaluation des risques d'assurance vie et santé étant explicitement classées à haut risque. Les régulateurs financiers nationaux font office d'autorités de surveillance du marché. Le Règlement permet de s'appuyer sur les cadres existants de gestion des risques de modèle et de gouvernance interne pour satisfaire aux exigences du SGQ.

L'IA dans les soins de santé et les dispositifs médicaux bénéficie d'une période de transition prolongée jusqu'en août 2027 pour les systèmes intégrés dans des produits réglementés. Les obligations des déployeurs posent des défis pour les hôpitaux et les cliniques qui peuvent manquer de ressources techniques.

Les applications d'IA dans les RH et le recrutement sont explicitement classées à haut risque, exigeant la transparence vis-à-vis des candidats, des données d'entraînement exemptes de biais, un contrôle humain des décisions et un suivi continu. L'interdiction de la reconnaissance des émotions sur le lieu de travail s'applique d'ores et déjà.

Intégration avec les cadres de conformité existants

L'intégration avec le RGPD présente des synergies naturelles en matière de transparence, d'exactitude, de responsabilité, de gouvernance des données et de non-discrimination. Les registres des activités de traitement devraient être élargis pour inclure les inventaires de systèmes d'IA. Les analyses d'impact relatives à la protection des données devraient être articulées avec les analyses d'impact sur les droits fondamentaux.

L'infrastructure GRC existante peut intégrer les exigences du Règlement sur l'IA via des cadres établis, notamment le NIST AI Risk Management Framework, la norme ISO/IEC 42001 relative au système de management de l'IA, et les pratiques sectorielles de gestion des risques de modèle.

  • La certification ISO/IEC 42001 ne confère pas à elle seule la présomption de conformité
  • Le modèle des trois lignes de défense s'applique naturellement à la gouvernance de l'IA
  • Le référentiel d'audit IA de l'ISACA fournit des bibliothèques de contrôles couvrant la gouvernance et les opérations
  • La première ligne opérationnelle crée les processus d'identification et de traitement des risques liés à l'IA

Foire aux questions

Le Règlement européen sur l'IA s'applique-t-il aux entreprises non européennes ?

Oui, la portée extraterritoriale signifie que les entreprises non européennes dont les résultats de systèmes d'IA affectent des personnes dans l'UE sont soumises à l'intégralité des obligations de conformité, y compris l'exigence de désigner un mandataire pour les fournisseurs établis hors de l'UE.

Quelles sont les sanctions en cas de non-conformité ?

Les violations des pratiques d'IA interdites sont passibles d'amendes pouvant atteindre 35 millions d'euros ou 7 % du chiffre d'affaires annuel mondial. Les violations relatives aux systèmes à haut risque sont passibles d'amendes pouvant atteindre 15 millions d'euros ou 3 % du chiffre d'affaires. La fourniture d'informations trompeuses est passible d'amendes pouvant atteindre 7,5 millions d'euros ou 1 %.

Comment prouver le contrôle humain à un auditeur ?

Les auditeurs recherchent la preuve que des personnes physiques peuvent effectivement intervenir dans les décisions prises par l'IA. Cela implique des procédures de contrôle documentées, la preuve des capacités d'intervention humaine, des registres d'approbations et de dérogations, et des journaux prêts pour l'audit attestant du fonctionnement effectif du dispositif de contrôle.

Quand les exigences relatives aux systèmes d'IA à haut risque entrent-elles en vigueur ?

L'ensemble des exigences de conformité pour les systèmes d'IA à haut risque au titre de l'Annexe III entre en vigueur le 2 août 2026. Les systèmes d'IA à haut risque intégrés dans des produits déjà réglementés par la législation d'harmonisation européenne bénéficient d'une période de transition prolongée jusqu'au 2 août 2027.

Quelle est la différence entre un fournisseur et un déployeur ?

Les fournisseurs développent des systèmes d'IA ou les mettent sur le marché sous leur propre nom, assumant la responsabilité principale de conformité. Les déployeurs utilisent des systèmes d'IA sous leur propre autorité, avec des obligations allégées. Point essentiel : les déployeurs peuvent devenir fournisseurs en cas de changement de marque, de modifications substantielles ou de réaffectation de systèmes à des applications à haut risque.

Points clés à retenir

Le Règlement européen sur l'IA marque un tournant fondamental dans les exigences de gouvernance de l'IA, imposant des obligations spécifiques assorties de sanctions substantielles. Les responsables conformité font face à une fenêtre qui se réduit — avec des sanctions pour pratiques interdites déjà en vigueur, des obligations GPAI applicables, et l'entrée en vigueur de l'ensemble des exigences relatives aux systèmes à haut risque en août 2026 — rendant urgent un investissement stratégique dans le programme de conformité. Les organisations qui exécutent efficacement leur mise en conformité obtiennent un avantage concurrentiel grâce à une conformité démontrable qui devient un facteur de différenciation sur le marché. Celles qui temporisent s'exposent non seulement à un risque d'application des sanctions, mais aussi à des perturbations opérationnelles à mesure que les exigences se compriment dans des délais toujours plus courts. Le moment de l'engagement stratégique, c'est maintenant.

Ressources connexes

Guide de classification à haut risqueGuide de documentation Annexe IVChecklist d'audit IACalendrier de mise en œuvre du Règlement européen sur l'IAGénérateur de modèles Annexe IVHub Règlement européen sur l'IAExemple de dossier de preuvesRéserver une démo

Articles connexes

Pour en savoir plus sur EU AI Act

La France et le prEN 18286 : ce que le débat national signifie pour les fournisseurs européens

Analyse neutre du débat au sein du comité miroir français sur le prEN 18286 et de ses implications pour la proportionnalité envers les PME, la qualité des normes et la stratégie de mise en œuvre dans les États membres de l'UE.

Écosystème de normes du Règlement européen sur l'IA : pourquoi prEN 18286 n'est pas une norme isolée

Cartographie pratique des normes complémentaires autour de prEN 18286 : gestion des risques, fiabilité, cybersécurité, gouvernance des données et dépendances en matière d'évaluation de la conformité.

Cartographie de l'article 17 dans le prEN 18286 : couverture, lacunes et implications pour l'audit

Comment lire la cartographie de l'Annexe ZA dans le projet d'enquête prEN 18286, où la couverture est solide, où subsistent des dépendances, et comment constituer des preuves de conformité défendables.

Article précédent

Classifier les systèmes d'IA à haut risque en vertu du règlement européen sur l'intelligence artificielle

Voir en action

Prêt à automatiser vos preuves conformité ?

Réservez une démo de 20 minutes pour voir comment KLA vous aide à prouver la surveillance humaine et exporter la documentation Annex IV prête à l'audit.

Réserver une démo Affichage Evidence Pack