Diagnostic gratuit

Glossaire

25 définitions clés du Règlement

Obligations

24 articles détaillés avec échéances

Échéancier

Dates clés de 2025 à 2027

Diagnostic

Identifiez vos obligations en 3 minutes

Fonctionnalités

Documentation, diagnostic, export PDF

Souveraineté européenne

Hébergement 100% en France

FonctionnalitésTarifsBlogConnexion
ai act août 2026systèmes ia haut risqueobligations ai actconformité ai act 2026annexe iii ai acttransparence ia

AI Act août 2026 : ce qui change pour les systèmes IA à haut risque et les obligations de transparence

9 février 202610 min20
AI Act août 2026 : ce qui change pour les systèmes IA à haut risque et les obligations de transparence

En bref

Le 2 août 2026, les obligations de l'AI Act entrent en vigueur pour les systèmes IA à haut risque (Annexe III) et les règles de transparence (Article 50). Voici ce qui change concrètement pour les fournisseurs et déployeurs, et comment s'y préparer.

Dans six mois, le 2 août 2026, le Règlement européen sur l'intelligence artificielle (Règlement UE 2024/1689) devient pleinement applicable. Cette date marque l'entrée en vigueur simultanée de deux blocs majeurs : les obligations pour les systèmes IA à haut risque listés à l'Annexe III, et les règles de transparence de l'Article 50. Pour les entreprises qui développent, importent ou utilisent des systèmes d'IA en Europe, le compte à rebours est lancé — et le temps de préparation se compte désormais en semaines, pas en années.

Pourquoi le 2 août 2026 est une date charnière

L'AI Act est entré en vigueur le 1er août 2024, mais son application suit un calendrier progressif. Deux vagues d'obligations sont déjà passées : l'interdiction des pratiques IA inacceptables depuis février 2025, et les règles sur les modèles d'IA à usage général (GPAI) depuis août 2025. La troisième vague, celle du 2 août 2026, est la plus lourde en termes d'impact opérationnel pour les entreprises.

Concrètement, trois choses se produisent à cette date :

  • Systèmes IA à haut risque (Annexe III) — Les fournisseurs et déployeurs de systèmes IA utilisés dans huit domaines sensibles doivent respecter l'intégralité des exigences du Chapitre III du règlement.
  • Obligations de transparence (Article 50) — Tout système IA qui interagit avec des personnes, génère du contenu synthétique ou produit des deepfakes doit respecter des règles de divulgation et de marquage.
  • Régime de sanctions — Les États membres doivent avoir transposé les règles de sanctions, y compris les amendes administratives pouvant atteindre 15 millions d'euros ou 3 % du chiffre d'affaires mondial.

Une quatrième vague suivra en août 2027 pour les systèmes IA intégrés dans des produits déjà réglementés (dispositifs médicaux, jouets, véhicules — Annexe I). Mais c'est bien août 2026 qui constitue le basculement opérationnel majeur.

Les 8 domaines à haut risque de l'Annexe III

L'Annexe III du règlement définit huit catégories de cas d'usage pour lesquels un système IA est automatiquement considéré comme à haut risque. Chaque entreprise dont l'IA opère dans l'un de ces domaines est directement concernée par l'échéance d'août 2026.

1. Biométrie

Identification biométrique à distance (en temps réel ou a posteriori), catégorisation biométrique selon des attributs sensibles, et reconnaissance des émotions. Les systèmes de simple vérification d'identité (confirmer qu'une personne est bien celle qu'elle prétend être) sont exclus.

2. Infrastructures critiques

Systèmes IA utilisés comme composants de sécurité dans la gestion de l'approvisionnement en eau, électricité, gaz, chauffage, ainsi que dans la gestion du trafic routier et des infrastructures numériques critiques.

3. Éducation et formation professionnelle

IA déterminant l'accès à des établissements d'enseignement, évaluant les acquis d'apprentissage, ou orientant le parcours scolaire et professionnel des individus.

4. Emploi et gestion des travailleurs

Tri automatique de CV, analyse de candidatures, évaluation des performances des salariés, prise de décisions sur les promotions ou les licenciements. C'est l'un des domaines les plus courants dans les entreprises.

5. Accès aux services essentiels

Évaluation de l'éligibilité aux prestations sociales, scoring de crédit, tarification d'assurance, évaluation des risques financiers des personnes physiques.

6. Application de la loi

Évaluation de la fiabilité des preuves, profilage dans le cadre d'enquêtes, évaluation du risque de récidive.

7. Migration et contrôle aux frontières

Évaluation des risques migratoires, examen des demandes d'asile, détection de documents frauduleux.

8. Administration de la justice et processus démocratiques

Systèmes IA utilisés pour assister les juridictions dans la recherche et l'interprétation des faits et du droit, ou pour influencer le résultat d'élections.

« Les systèmes d'IA visés à l'annexe III sont considérés comme étant à haut risque [...] lorsqu'ils présentent un risque important de préjudice pour la santé, la sécurité ou les droits fondamentaux des personnes physiques. » — Article 6, Règlement (UE) 2024/1689

La clause d'exception : quand un système Annexe III n'est pas haut risque

L'Article 6, paragraphe 3, introduit une dérogation importante. Un système IA listé à l'Annexe III peut ne pas être considéré comme à haut risque s'il remplit l'une des conditions suivantes :

  • Tâche procédurale étroite — Le système exécute une tâche bien délimitée et à faible enjeu, comme convertir des données non structurées en données structurées ou trier des documents entrants.
  • Amélioration d'une activité humaine — L'IA complète une action humaine sans autonomie décisionnelle, par exemple en reformulant un texte ou en vérifiant l'orthographe.
  • Détection de schémas — Le système repère des écarts par rapport à des décisions humaines antérieures sans remplacer le jugement humain.
  • Tâche préparatoire — L'IA effectue un travail préliminaire qui sera ensuite évalué par un humain.

Attention : cette dérogation ne s'applique jamais aux systèmes de profilage qui traitent des données personnelles pour évaluer des aspects de la vie d'une personne (performances, santé, fiabilité, comportement...). Ces systèmes restent toujours à haut risque. Si vous pensez que votre système entre dans cette exception, vous devez documenter votre évaluation avant toute mise sur le marché et la fournir aux autorités sur demande.

Ce que doivent faire les fournisseurs de systèmes à haut risque

Les obligations des fournisseurs (toute entité qui développe ou fait développer un système IA à haut risque et le met sur le marché sous son nom) sont détaillées aux Articles 8 à 21 du règlement. Voici les exigences principales à satisfaire avant le 2 août 2026 :

  1. Système de gestion des risques (Art. 9) — Un processus continu, planifié et itératif couvrant l'ensemble du cycle de vie du système. Il inclut l'identification des risques connus et prévisibles, l'estimation et l'évaluation de ces risques, et l'adoption de mesures de gestion appropriées.
  2. Gouvernance des données (Art. 10) — Les jeux de données d'entraînement, de validation et de test doivent être pertinents, suffisamment représentatifs, et exempts d'erreurs autant que possible. Des pratiques spécifiques s'appliquent quand des données personnelles sont traitées.
  3. Documentation technique (Art. 11 + Annexe IV) — Une documentation détaillée décrivant le système, sa finalité, ses performances, ses limites et les mesures prises pour la conformité. Elle doit être rédigée avant la mise sur le marché et tenue à jour.
  4. Journalisation automatique (Art. 12) — Le système doit enregistrer automatiquement les événements pertinents tout au long de son fonctionnement, pour assurer la traçabilité.
  5. Transparence et information (Art. 13) — Les déployeurs doivent recevoir des instructions d'utilisation claires, incluant les caractéristiques, capacités et limites du système.
  6. Contrôle humain (Art. 14) — Le système doit être conçu pour permettre une surveillance humaine effective pendant son utilisation.
  7. Exactitude, robustesse et cybersécurité (Art. 15) — Des niveaux appropriés doivent être atteints et documentés, y compris la résilience face aux tentatives de manipulation.
  8. Marquage CE et déclaration de conformité (Art. 16, 47, 48) — Avant la mise sur le marché, le fournisseur doit apposer le marquage CE et rédiger une déclaration UE de conformité.
  9. Enregistrement dans la base de données EU (Art. 49, 71) — Les systèmes à haut risque de l'Annexe III doivent être enregistrés dans la base de données publique de l'UE.
  10. Surveillance post-commercialisation (Art. 72) — Un plan de surveillance continue doit être mis en place pour détecter et corriger les problèmes après la mise sur le marché.

Ce volume d'exigences représente un travail considérable, souvent estimé entre 40 et 80 heures pour la seule documentation technique d'un système IA complexe. Des plateformes comme AiActo permettent de structurer et accélérer cette démarche grâce à des formulaires guidés et une génération assistée par IA, section par section, conforme à l'Annexe IV.

Les obligations des déployeurs ne sont pas à négliger

Les déployeurs — toute personne morale qui utilise un système IA à haut risque dans le cadre de son activité professionnelle — ont des obligations distinctes mais tout aussi contraignantes (Article 26). Le terme « déployeur » remplace l'ancien terme « utilisateur » pour éviter toute confusion avec les utilisateurs finaux.

En tant que déployeur, vous devez notamment :

  • Utiliser le système conformément aux instructions fournies par le fournisseur.
  • Assurer un contrôle humain par des personnes compétentes et formées.
  • Vérifier la pertinence des données d'entrée par rapport à la finalité prévue du système.
  • Surveiller le fonctionnement du système et signaler tout incident grave au fournisseur et aux autorités.
  • Réaliser une analyse d'impact sur les droits fondamentaux (FRIA) si vous êtes un organisme public ou un organisme privé fournissant des services publics essentiels.
  • Conserver les logs générés automatiquement par le système pendant une durée appropriée.

Pour les déployeurs qui sont aussi soumis au RGPD, l'analyse d'impact sur la protection des données (AIPD) et la FRIA se complètent mutuellement. Le règlement prévoit d'ailleurs que le déployeur puisse s'appuyer sur la documentation du fournisseur pour réaliser sa propre analyse d'impact.

Article 50 : les obligations de transparence pour tous

L'Article 50, applicable lui aussi à compter du 2 août 2026, concerne une catégorie bien plus large de systèmes IA — pas seulement les systèmes à haut risque. Il s'applique à quatre situations spécifiques :

Systèmes interagissant avec des personnes

Tout système IA conçu pour interagir directement avec des personnes physiques (chatbots, assistants vocaux, agents conversationnels) doit informer l'utilisateur qu'il interagit avec une IA, sauf si c'est évident au vu des circonstances.

Contenu synthétique généré par IA

Les fournisseurs de systèmes IA qui génèrent du contenu audio, image, vidéo ou texte doivent s'assurer que leurs productions sont marquées dans un format lisible par machine et détectables comme artificiellement générées. Un Code de Pratiques sur le marquage et l'étiquetage du contenu IA est en cours de finalisation par l'AI Office, avec une version définitive attendue en juin 2026.

Reconnaissance des émotions et catégorisation biométrique

Les déployeurs de systèmes de reconnaissance des émotions ou de catégorisation biométrique doivent informer les personnes exposées du fonctionnement du système et traiter les données conformément au RGPD.

Deepfakes

Les déployeurs de systèmes IA produisant des deepfakes (images, audio ou vidéo) doivent divulguer que le contenu est artificiellement généré ou manipulé. Des exceptions existent pour les contenus artistiques, satiriques ou utilisés dans le cadre d'enquêtes pénales.

Les sanctions en cas de non-conformité

Le régime de sanctions de l'AI Act est gradué selon la gravité des manquements. À compter du 2 août 2026, les États membres doivent avoir transposé les règles suivantes :

  • 35 millions d'euros ou 7 % du CA mondial pour les violations des pratiques interdites (Article 5) — déjà en vigueur depuis février 2025.
  • 15 millions d'euros ou 3 % du CA mondial pour le non-respect des obligations liées aux systèmes à haut risque (documentation, marquage CE, enregistrement, gestion des risques...).
  • 7,5 millions d'euros ou 1 % du CA mondial pour les manquements aux obligations de transparence.

Pour les PME et les start-ups, le règlement prévoit des amendes proportionnées, mais le risque financier reste significatif. Au-delà des sanctions, le non-respect de l'AI Act expose à des interdictions de mise sur le marché et à un risque réputationnel majeur.

6 étapes pour se préparer avant août 2026

Six mois, c'est court. Voici un plan d'action réaliste pour aborder l'échéance sereinement :

  1. Inventorier vos systèmes IA — Identifiez tous les systèmes IA que votre organisation développe, importe ou utilise. Cela inclut les outils tiers intégrant de l'IA (scoring, recommandation, automatisation de décisions).
  2. Classifier chaque système — Déterminez le niveau de risque de chaque système selon les critères de l'AI Act. Le diagnostic gratuit AiActo permet de réaliser cette classification en quelques minutes.
  3. Identifier votre rôle — Êtes-vous fournisseur, déployeur, importateur ou distributeur pour chaque système ? Vos obligations diffèrent selon votre rôle dans la chaîne de valeur.
  4. Rédiger la documentation technique — Pour les systèmes à haut risque, la documentation conforme à l'Annexe IV est obligatoire. Commencez par les systèmes les plus critiques.
  5. Mettre en place la gouvernance — Désignez les personnes responsables du contrôle humain, formez vos équipes à la maîtrise de l'IA (AI literacy), et définissez les procédures de surveillance.
  6. Préparer l'évaluation de conformité — Selon la catégorie de votre système, l'évaluation peut être interne ou nécessiter l'intervention d'un organisme notifié. Anticipez les délais.

Systèmes déjà sur le marché : que dit l'Article 111 ?

Si votre système IA à haut risque est déjà commercialisé ou en service avant le 2 août 2026, les règles sont les suivantes :

Le règlement s'applique uniquement si le système fait l'objet de modifications significatives de sa conception à compter de cette date. Autrement dit, un système inchangé n'est pas immédiatement soumis aux nouvelles exigences — mais toute évolution majeure déclenche l'obligation de conformité complète.

Exception importante : les systèmes IA à haut risque utilisés par des autorités publiques doivent se conformer au règlement au plus tard le 2 août 2026, qu'ils aient été modifiés ou non. Les administrations, organismes publics et entités chargées de missions de service public n'ont aucune marge de manœuvre sur ce point.

Questions fréquentes

Quand les obligations AI Act pour les systèmes à haut risque entrent-elles en vigueur ?

Les obligations pour les systèmes IA à haut risque listés à l'Annexe III du Règlement (UE) 2024/1689 entrent en vigueur le 2 août 2026. Les systèmes intégrés dans des produits déjà réglementés par l'Annexe I (dispositifs médicaux, jouets, véhicules) bénéficient d'un délai supplémentaire jusqu'au 2 août 2027.

Comment savoir si mon système IA est classé haut risque selon l'AI Act ?

Un système IA est classé haut risque s'il figure dans l'un des huit domaines de l'Annexe III (biométrie, infrastructures critiques, éducation, emploi, services essentiels, application de la loi, migration, justice) ou s'il est un composant de sécurité d'un produit couvert par l'Annexe I. Un outil de diagnostic de classification peut vous aider à déterminer votre niveau de risque en quelques minutes.

Quelles sont les sanctions en cas de non-conformité à l'AI Act en 2026 ?

Les amendes vont de 7,5 millions d'euros (ou 1 % du CA) pour les manquements de transparence à 15 millions d'euros (ou 3 % du CA) pour le non-respect des obligations liées aux systèmes à haut risque. Pour les pratiques interdites, les sanctions montent à 35 millions d'euros ou 7 % du CA mondial.

Quelle est la différence entre fournisseur et déployeur dans l'AI Act ?

Le fournisseur est l'entité qui développe ou fait développer un système IA et le met sur le marché sous son nom ou sa marque. Le déployeur est l'entité qui utilise ce système dans le cadre de son activité professionnelle. Leurs obligations diffèrent : le fournisseur porte la charge de la conception conforme, de la documentation technique et du marquage CE, tandis que le déployeur doit assurer le contrôle humain, la surveillance et le signalement des incidents.

L'Article 50 sur la transparence concerne-t-il uniquement les systèmes à haut risque ?

Non. L'Article 50 s'applique à tous les systèmes IA qui interagissent avec des personnes, génèrent du contenu synthétique ou produisent des deepfakes, quel que soit leur niveau de risque. Cela inclut les chatbots, les générateurs d'images et les outils de synthèse vocale, même s'ils ne sont pas classés à haut risque.

Mon système IA est déjà en service avant août 2026, suis-je concerné ?

Si votre système ne fait l'objet d'aucune modification significative après le 2 août 2026, les obligations ne s'appliquent pas immédiatement (Article 111). En revanche, si vous êtes une autorité publique ou si votre système évolue de manière substantielle, la conformité est requise dès cette date.

Le 2 août 2026 n'est pas une échéance abstraite : c'est le moment où la conformité à l'AI Act passe de la recommandation à l'obligation, avec des sanctions réelles à la clé. Commencer par un inventaire et une classification de vos systèmes IA reste la première étape — celle qui conditionne toutes les suivantes. L'échéancier complet de l'AI Act sur AiActo vous permet de visualiser toutes les dates clés et de planifier votre mise en conformité.

Partager cet article

Articles similaires

Classifier son système IA : haut risque ou non selon l'AI Act ?
classification système ia haut risqueai act haut risqueannexe iii ai act

Classifier son système IA : haut risque ou non selon l'AI Act ?

L'AI Act classe les systèmes IA selon leur niveau de risque. Comment déterminer si le vôtre est à haut risque ? Deux voies de classification, 8 domaines sensibles et une clause d'exception à connaître avant août 2026.

13 février 202612 min