AI Act : ce qui change vraiment au 2 août 2026

Dans moins de cinq mois, le paysage réglementaire européen bascule. Le 2 août 2026, l'AI Act (Règlement UE 2024/1689) franchit son seuil le plus structurant : les obligations pour les systèmes d'IA à haut risque entrent en vigueur, et les règles de transparence deviennent pleinement opposables. Pour des millions d'organisations européennes, ce n'est plus une question de préparation - c'est une question de conformité.

Une précision essentielle avant de commencer : le Digital Omnibus en cours d'adoption au Parlement européen pourrait reporter certaines de ces obligations à décembre 2027. Mais tant qu'il n'est pas formellement adopté, le 2 août 2026 reste la date légalement contraignante. Cet article vous présente ce que la loi impose aujourd'hui.

Ce que l'AI Act a déjà imposé avant août 2026

Pour comprendre ce qui change en août, il faut rappeler ce qui s'applique déjà. L'AI Act n'est pas entré en vigueur d'un bloc - il se déploie progressivement depuis août 2024 :

• 2 février 2025 : interdiction des pratiques à risque inacceptable (Article 5) - scoring social, manipulation subliminale, certains usages biométriques en temps réel. Ces règles sont déjà en vigueur et sanctionnables.
• 2 février 2025 : obligation de littératie IA (Article 4) - les fournisseurs et déployeurs doivent s'assurer que leur personnel dispose d'un niveau suffisant de compétences en IA.
• 2 août 2025 : obligations pour les modèles d'IA à usage général (GPAI, Articles 51-56) - déjà applicables aux fournisseurs de modèles comme les LLM.

Ce calendrier progressif est délibéré : il laisse aux entreprises le temps de s'adapter aux obligations les plus complexes. Mais le temps restant avant août 2026 est maintenant compté en semaines.

Ce qui entre en vigueur le 2 août 2026

Les systèmes d'IA à haut risque (Annexe III)

C'est le cœur du changement d'août 2026. L'Annexe III liste huit domaines dans lesquels les systèmes d'IA sont automatiquement classés à haut risque :

• Biométrie : identification biométrique à distance, catégorisation biométrique, reconnaissance des émotions
• Infrastructures critiques : gestion du réseau électrique, de l'eau, du gaz, des transports
• Éducation et formation : systèmes déterminant l'accès aux établissements, évaluation des élèves
• Emploi et ressources humaines : outils de recrutement, de gestion des performances, d'évaluation des candidats
• Services essentiels : scoring de crédit, assurance, évaluation des demandes de prestations sociales
• Répression : détection de profils criminels, évaluation de la fiabilité des preuves, évaluation du risque de récidive
• Justice et processus démocratiques : aide à la décision judiciaire
• Gestion des frontières : évaluation des risques liés aux personnes aux frontières, vérification des documents

Si votre organisation développe ou utilise un système d'IA dans l'un de ces domaines, les obligations du Chapitre III de l'AI Act s'appliquent à vous dès le 2 août 2026 - qu'il s'agisse d'un outil développé en interne ou d'un SaaS tiers.

Les obligations de transparence pour tous (Article 50)

L'Article 50 ne concerne pas seulement les systèmes à haut risque - il s'applique à tous les systèmes d'IA qui interagissent avec des humains ou génèrent du contenu synthétique :

• Chatbots et agents conversationnels (Art. 50§1) : tout système interagissant avec un humain doit l'informer clairement qu'il parle à une IA. Exceptions : usage professionnel où c'est évident, ou cas légitimes de personnages fictifs.
• Deepfakes et contenus manipulés (Art. 50§4) : les contenus audio ou visuels manipulés pour ressembler à des personnes réelles doivent être clairement identifiés comme tels.
• Reconnaissance des émotions (Art. 50§3) : toute personne soumise à un système de reconnaissance émotionnelle doit en être informée.

Note importante : l'Article 50§2 (marquage lisible par machine des contenus générés par IA) est le seul élément potentiellement décalé - au 2 novembre 2026 selon la position du Parlement sur le Digital Omnibus. Les autres obligations de l'Article 50 restent à août 2026.

Ce que cela implique pour les fournisseurs

Si vous développez et commercialisez un système d'IA à haut risque, vous êtes fournisseur au sens de l'Article 3. Vos obligations à partir d'août 2026 sont substantielles :

• Documentation technique (Art. 11 + Annexe IV) : un dossier complet en 9 sections couvrant la description du système, l'architecture, la gouvernance des données, la gestion des risques, les métriques de performance, les instructions d'utilisation, le monitoring post-marché, le système qualité et la déclaration de conformité.
• Système de gestion des risques (Art. 9) : un processus continu d'identification, d'évaluation et d'atténuation des risques tout au long du cycle de vie du système.
• Gouvernance des données (Art. 10) : les jeux de données d'entraînement doivent être documentés, représentatifs et faire l'objet d'une analyse de biais.
• Supervision humaine (Art. 14) : le système doit être conçu pour permettre à un humain de surveiller, comprendre et intervenir sur son fonctionnement.
• Marquage CE + déclaration de conformité (Art. 47-49) : attestation formelle du respect des exigences avant mise sur le marché.
• Enregistrement dans la base de données EU (Art. 71) : obligation d'enregistrement avant mise en service pour la plupart des systèmes haut risque.

La rédaction de cette documentation représente un travail estimé entre 40 et 80 heures pour un système complexe. AiActo structure cette démarche section par section avec un assistant IA contextuel, réduisant significativement ce temps de préparation.

Ce que cela implique pour les déployeurs

Si vous utilisez un système d'IA à haut risque développé par un tiers, vous êtes déployeur au sens de l'Article 3. Vos obligations sont distinctes mais tout aussi réelles :

• Supervision humaine effective (Art. 26§2) : vous devez mettre en place des procédures permettant à une personne qualifiée de surveiller le système, d'interpréter ses sorties et d'intervenir ou de l'arrêter si nécessaire.
• Conservation des logs (Art. 26§6) : les journaux automatiques générés par le système doivent être conservés pendant au moins six mois.
• Information des personnes concernées (Art. 26§6 + Art. 50) : toute personne soumise à une décision influencée par un système à haut risque doit en être informée.
• Utilisation conforme aux instructions du fournisseur (Art. 26§1) : vous ne pouvez pas détourner le système de l'usage prévu sans en assumer la responsabilité de fournisseur.
• Évaluation d'impact sur les droits fondamentaux - FRIA (Art. 27) : obligatoire pour les organismes publics et certains opérateurs de services essentiels avant déploiement.

Les sanctions qui entrent en jeu

L'AI Act prévoit un régime de sanctions progressif et dissuasif, applicable dès août 2026 :

• Jusqu'à 35 millions € ou 7 % du CA mondial pour les pratiques interdites (Article 5) - déjà applicables depuis février 2025
• Jusqu'à 15 millions € ou 3 % du CA mondial pour la non-conformité des systèmes à haut risque
• Jusqu'à 7,5 millions € ou 1 % du CA mondial pour la fourniture d'informations inexactes aux autorités

Pour les PME, le règlement prévoit que les autorités tiennent compte de la taille et des ressources de l'organisation. Mais l'exemption n'existe pas - une PME peut bénéficier d'une application proportionnée, pas d'une dispense.

Ce qu'il faut avoir fait avant le 2 août 2026

Voici les actions prioritaires selon votre profil :

1. Classifier vos systèmes d'IA -identifier lesquels tombent dans l'Annexe III, lesquels relèvent de l'Article 50, et lesquels sont à risque minimal. C'est le prérequis à toute autre démarche.
2. Déterminer votre rôle - fournisseur, déployeur, ou les deux ? Ce rôle détermine l'intégralité de vos obligations.
3. Auditer vos fournisseurs SaaS - demandez à vos prestataires IA s'ils sont conformes, s'ils disposent d'une documentation technique et s'ils sont enregistrés dans la base EU.
4. Constituer votre dossier documentaire - même si vous êtes déployeur, vous devez pouvoir prouver votre supervision humaine et vos processus de contrôle.
5. Informer vos utilisateurs - mettez à jour vos mentions légales, interfaces et communications pour respecter les obligations de transparence de l'Article 50.

Le diagnostic gratuit AiActo vous permet de réaliser les étapes 1 et 2 en moins de 3 minutes - et d'obtenir une synthèse personnalisée de vos obligations avant l'échéance.

Questions fréquentes

Que se passe-t-il si le Digital Omnibus est adopté avant août 2026 ?

Si le Digital Omnibus est adopté avant le 2 août 2026 - ce qui est l'objectif des institutions européennes - les obligations pour les systèmes à haut risque de l'Annexe III seraient repoussées au 2 décembre 2027. La position du Parlement européen adoptée le 18 mars 2026 soutient ce report. Mais tant que le texte n'est pas formellement publié au Journal officiel de l'UE, le 2 août 2026 reste la date légale.

Mon système d'IA était déjà en service avant août 2026 - suis-je exempté ?

Partiellement. L'Article 111 prévoit que les systèmes déjà sur le marché avant l'entrée en vigueur des obligations bénéficient d'une période de transition - à condition qu'ils ne fassent l'objet d'aucune modification significative. Si votre système évolue, les nouvelles obligations s'appliquent. Et cette exemption est elle-même liée aux dates qui pourraient évoluer avec le Digital Omnibus.

Comment savoir si mon système est à haut risque ?

La classification repose sur deux critères : le domaine d'application (Annexe III) et la nature du système. Un outil RH de tri de candidatures est à haut risque par définition. Un générateur de texte marketing ne l'est généralement pas. En cas de doute, le diagnostic AiActo applique la logique de l'Annexe III à votre cas spécifique en quelques questions.

Les obligations s'appliquent-elles aux outils IA utilisés uniquement en interne ?

Oui, dès lors que le système relève de l'Annexe III et que les personnes affectées par ses décisions sont des individus (salariés, candidats, clients). Un outil de gestion des performances des employés alimenté par l'IA tombe dans le champ de l'AI Act même s'il n'est jamais commercialisé.

Quelle différence entre ce qui s'applique en août 2026 et en août 2027 ?

En août 2026 : les systèmes à haut risque de l'Annexe III et les obligations de transparence (Art. 50). En août 2027 : les systèmes à haut risque intégrés dans des produits réglementés par d'autres législations européennes (Annexe I - dispositifs médicaux, machines, équipements radio). Ces derniers bénéficient d'un délai supplémentaire car leur conformité implique des procédures de certification sectorielles plus complexes.

Le 2 août 2026 n'est pas une menace abstraite - c'est une date inscrite dans un texte publié au Journal officiel de l'Union européenne. Quelle que soit l'issue du Digital Omnibus, les organisations qui auront structuré leur conformité avant cette date seront mieux protégées, mieux documentées, et mieux positionnées sur un marché où la confiance dans l'IA devient un avantage compétitif. Consultez l'échéancier complet de l'AI Act pour visualiser toutes les étapes du calendrier réglementaire.