IA générative en entreprise : les obligations concrètes de 2026.
L'AI Act impose des exigences précises aux entreprises qui développent ou déploient des systèmes d'IA générative. Entre les obligations GPAI entrées en vigueur en août 2025 et la transparence obligatoire de novembre 2026, le cadre se resserre. Voici ce qui s'applique concrètement.
2026 : l'année où les obligations IA deviennent réalité pour les entreprises
L'AI Act n'est plus un texte en devenir. Depuis août 2025, les premières obligations substantielles s'appliquent, et novembre 2026 marque la prochaine échéance critique.
Le règlement européen sur l'intelligence artificielle (Règlement UE 2024/1689), entré en vigueur le 1er août 2024, déroule ses obligations selon un calendrier échelonné sur quatre ans. Pour les entreprises qui utilisent, intègrent ou développent des systèmes d'IA générative, trois vagues réglementaires se superposent en 2025-2026. Les pratiques interdites sont applicables depuis le 2 février 2025. Les obligations relatives aux modèles d'IA à usage général (GPAI) s'appliquent depuis le 2 août 2025. L'obligation de transparence envers les utilisateurs finaux entre en vigueur le 2 novembre 2026.
Ignorer ce calendrier expose à des sanctions financières significatives et à un risque réputationnel croissant. Les autorités nationales de surveillance, dont la CNIL en France, sont en cours de désignation et commenceront à exercer leurs pouvoirs d'inspection dès que leur mandat sera formellement établi.
Fournisseur ou déployeur : une distinction qui change tout
L'AI Act organise les responsabilités autour de deux statuts principaux. Identifier le vôtre est la première étape de tout exercice de conformité.
Le fournisseur
Est fournisseur toute entité qui développe un système d'IA et le met sur le marché ou le met en service, à titre commercial ou non. Si votre entreprise utilise l'API d'un grand modèle de langage pour construire un produit ou un service destiné à des tiers, vous êtes juridiquement un fournisseur. Vous devez produire une documentation technique, évaluer la conformité de votre système et apposer le marquage CE si votre système est classé haut risque.
Le déployeur
Est déployeur toute personne morale qui utilise un système d'IA dans un contexte professionnel, sans l'avoir conçu. Si votre organisation utilise un outil SaaS intégrant de l'IA générative - assistant de rédaction, synthèse de réunions, chatbot de support - vous êtes déployeur. Vos obligations sont moins étendues, mais elles existent : information des utilisateurs, contrôle humain sur les décisions significatives, respect des instructions du fournisseur et formation des équipes.
GPAI : les exigences déjà en vigueur depuis août 2025
Les articles 51 à 56 de l'AI Act créent un régime spécifique pour les modèles d'IA à usage général. Ces règles s'appliquent aux fournisseurs qui mettent sur le marché un modèle fondational : grand modèle de langage, modèle de génération d'images, modèle multimodal.
Tout fournisseur de modèle GPAI doit respecter quatre obligations de base. Il doit établir et maintenir une documentation technique décrivant l'architecture, les données d'entraînement et les capacités du modèle. Il doit respecter la législation sur le droit d'auteur lors de la phase d'entraînement et publier une politique de conformité. Il doit rendre accessible un résumé des données d'entraînement. Et il doit fournir aux opérateurs en aval les informations nécessaires à leur propre conformité.
Modèles à risque systémique
Les modèles GPAI entraînés avec une puissance de calcul dépassant 10^25 FLOPs entrent dans la catégorie à risque systémique. Pour ces modèles, les obligations sont renforcées : évaluations adversariales selon des protocoles standardisés, notification des incidents graves à l'AI Office européen, et mise en place de mesures de cybersécurité proportionnées aux risques identifiés.
Article 50 : l'obligation de transparence entre en vigueur le 2 novembre 2026
L'article 50 est l'obligation qui concernera le plus grand nombre d'entreprises avant la fin de l'année. Il impose une information claire aux utilisateurs qui interagissent avec des systèmes d'IA ou qui consomment des contenus générés par IA.
Chatbots et agents conversationnels
Tout déployeur d'un système d'IA destiné à interagir directement avec des personnes physiques doit les informer en temps réel qu'elles interagissent avec une IA. Cette obligation s'applique sauf si l'interaction avec une IA est évidente par le contexte. Elle vise les chatbots de support client accessibles au public, les assistants virtuels intégrés dans des applications, et les agents IA auxquels des tiers ont accès.
Contenus synthétiques et deepfakes
Les fournisseurs de systèmes générant des images, sons, vidéos ou textes de synthèse doivent marquer ces contenus de manière lisible par machine. Les déployeurs qui diffusent ces contenus doivent les divulguer explicitement comme étant générés par une IA. Des exceptions limitées existent pour la satire, la parodie et certains usages liés à la sécurité nationale.
Systèmes à haut risque : êtes-vous concerné avant 2027 ?
L'Annexe III de l'AI Act liste les domaines dans lesquels un système d'IA est présumé à haut risque. La principale échéance pour ces systèmes est le 2 décembre 2027, mais des obligations préparatoires s'imposent dès maintenant aux fournisseurs qui souhaitent être prêts à temps.
Les secteurs concernés incluent la gestion des ressources humaines (tri de CV, évaluation des performances, décisions de promotion), l'accès à l'éducation, l'accès aux services essentiels (crédit, assurance, prestations sociales), l'administration de la justice et les processus démocratiques. Si votre outil d'IA générative est intégré dans l'un de ces processus, il peut être classé haut risque indépendamment de sa base technique.
La logique de l'AI Act est fonctionnelle, pas technologique. Un même modèle de langage utilisé pour rédiger des newsletters est à risque minimal. Utilisé pour scorer des candidats à l'embauche, il devient à haut risque. C'est l'usage concret qui détermine la classification, pas le modèle sous-jacent.
Six obligations concrètes à mettre en place avant novembre 2026
Quelle que soit votre position dans la chaîne de valeur de l'IA, voici les actions prioritaires pour assurer votre conformité avant la prochaine échéance réglementaire.
- Cartographier vos systèmes d'IA : inventorier l'ensemble des outils IA utilisés ou déployés, et identifier leur classification probable (risque minimal, haut risque, GPAI).
- Qualifier votre rôle juridique : pour chaque système, déterminer si vous êtes fournisseur ou déployeur. Un produit construit sur une API tierce fait de vous un fournisseur avec des obligations substantielles.
- Vérifier l'absence de pratiques interdites : manipulation subliminale, exploitation de vulnérabilités, scoring social généralisé - vérifier qu'aucun système en production ne franchit ces lignes depuis février 2025.
- Préparer les mentions de transparence : rédiger les notices d'information utilisateurs pour les chatbots et systèmes génératifs. L'échéance du 2 novembre 2026 approche.
- Former les équipes (Art. 4) : l'obligation de maitrise de l'IA est en vigueur depuis le 2 février 2025. Une formation documentée adaptée aux systèmes effectivement utilisés constitue la baseline minimale attendue.
- Documenter et tracer : tenir un registre des évaluations de conformité, des mesures de contrôle humain et des incidents. Ce registre sera indispensable en cas de contrôle par une autorité de surveillance.
Notre outil de diagnostic gratuit permet d'identifier en 3 minutes les obligations qui s'appliquent à votre organisation, selon votre secteur et votre usage de l'IA.
Cadre juridique : les articles à connaitre
Votre entreprise est-elle prête pour les obligations IA de 2026 ?
Identifiez en 3 minutes les obligations qui s'appliquent à votre organisation : statut fournisseur ou déployeur, systèmes concernés, échéances prioritaires. Le diagnostic est gratuit et sans inscription.
Questions fréquentes
Les réponses aux questions les plus posées sur les obligations IA en entreprise en 2026.
Une entreprise utilisant un outil d'IA tiers en contexte professionnel est déployeur au sens de l'AI Act. Elle doit respecter les instructions du fournisseur, informer les utilisateurs finaux de l'usage de l'IA, assurer un contrôle humain sur les décisions significatives et former ses équipes à la maitrise de l'IA (Art. 4, en vigueur depuis février 2025). Si elle construit un produit sur une API tierce, elle devient fournisseur avec des obligations plus étendues.
Le fournisseur est l'entité qui développe et met sur le marché un système d'IA. Le déployeur l'utilise dans un contexte professionnel sans l'avoir développé. Le fournisseur porte la charge de la documentation technique, du marquage CE et de l'évaluation de conformité. Le déployeur doit respecter les instructions du fournisseur, informer les utilisateurs et garantir un contrôle humain sur les décisions automatisées ayant un impact sur des personnes physiques.
Oui, si votre chatbot interagit avec des personnes physiques et que le contexte ne rend pas évidente l'interaction avec une IA. L'obligation entre en vigueur le 2 novembre 2026. Un chatbot utilisé en interne et clairement identifié comme IA par tous ses utilisateurs peut bénéficier de l'exception contextuelle. Un chatbot de support client accessible au public ne bénéficie pas de cette exception et devra afficher une mention explicite.
Le non-respect des obligations de transparence prévues à l'article 50 peut entrainer une amende allant jusqu'à 15 millions d'euros ou 3% du chiffre d'affaires mondial annuel, selon le montant le plus élevé. Les violations des pratiques interdites (Art. 5) sont sanctionnées plus lourdement : jusqu'à 35 millions d'euros ou 7% du chiffre d'affaires mondial.
Partiellement. Les fournisseurs de modèles GPAI open source bénéficient d'exemptions sur certaines obligations documentaires, à condition que les paramètres du modèle soient publiquement accessibles. Mais si le modèle est à risque systémique (puissance d'entraînement supérieure à 10^25 FLOPs), ces exemptions ne s'appliquent pas : les obligations renforcées s'imposent même aux modèles open source.
La classification dépend de l'usage, pas du modèle. Un outil d'IA générative devient à haut risque s'il est utilisé dans un secteur listé par l'Annexe III : ressources humaines, éducation, crédit, assurance, justice. Si votre outil aide à trier des candidatures, à scorer des dossiers de crédit ou à prendre des décisions affectant l'accès à des droits, il est probablement à haut risque, quel que soit le modèle sous-jacent.
Oui. L'article 4 est entré en application le 2 février 2025. Il impose aux fournisseurs et déployeurs de veiller à ce que leurs personnels travaillant avec des systèmes d'IA disposent d'un niveau suffisant de maitrise de l'IA. Une formation documentée, adaptée aux systèmes effectivement utilisés, constitue la baseline minimale attendue par les autorités de contrôle.