EU AI Act (Règlement UE 2024/1689) : le guide complet de conformité face à l'échéance du 2 août 2026
ai-governance
regulatory-updates

EU AI Act (Règlement UE 2024/1689) : le guide complet de conformité face à l'échéance du 2 août 2026

Le Règlement (UE) 2024/1689 est la première loi européenne horizontale et fondée sur les risques régissant l'IA, applicable par étapes de 2025 à 2027 (article 6(1) reporté à 2027). Le guide expert.

Alexis HIRSCHHORN
Alexis HIRSCHHORN
12 min read

L'EU AI Act (Règlement (UE) 2024/1689) est la première loi européenne horizontale, complète et fondée sur les risques régissant l'intelligence artificielle, largement citée comme la première réglementation de ce type au monde. Adopté en 2024 et applicable progressivement entre 2025, 2026 et 2027, il fixe des règles contraignantes pour les systèmes d'IA mis sur le marché de l'UE ou dont la sortie est utilisée dans l'UE, indépendamment du lieu d'établissement du fournisseur. L'échéance du 2 août 2026 est opérationnellement significative pour la plupart des organisations : elle déclenche l'essentiel des obligations, y compris les règles sur les systèmes à haut risque de l'Annexe III. Le régime de classification de l'article 6(1) pour l'IA à haut risque intégrée dans des produits sous la législation d'harmonisation de l'UE est reporté au 2 août 2027.

Ce guide expose les quatre niveaux de risque, qui est concerné, le calendrier d'application échelonné, les sanctions, l'articulation avec ISO/IEC 42001, et comment construire une feuille de route de conformité qui résiste à l'audit. Il s'adresse aux responsables de la gouvernance IA, RSSI, responsables conformité, chefs de produit et équipes juridiques dans l'UE, au Royaume-Uni et en Suisse.

Chez Abilene Academy, nous formons les praticiens de la gouvernance IA aux certifications PECB ISO 42001 Lead Implementer, Lead Auditor, et Lead AI Risk Manager. Les pages qui suivent reflètent ce que nos formateurs observent sur le terrain : quelles clauses sont mal lues, là où ISO 42001 aide et là où elle n'aide pas, et ce qui distingue une conformité sur le papier d'une conformité prête à l'audit avant août 2026.

Date d'application clé de l'EU AI Act

Le 2 août 2026 déclenche l'essentiel des obligations dans les 27 États membres de l'UE, y compris les règles sur les systèmes à haut risque de l'Annexe III. Le régime de l'article 6(1), qui capture l'IA à haut risque intégrée dans des produits couverts par la législation d'harmonisation de l'UE, est reporté au 2 août 2027. Source : Règlement (UE) 2024/1689, article 113.

Sanction maximale sous l'EU AI Act

35 millions d'euros ou 7 % du chiffre d'affaires annuel mondial total, le montant le plus élevé étant retenu. L'amende administrative maximale pour les violations des pratiques d'IA interdites à l'article 5. Source : Règlement (UE) 2024/1689, article 99.

Qu'est-ce que l'EU AI Act ?

L'EU AI Act en bref

Règlement (UE) 2024/1689 du Parlement européen et du Conseil, établissant des règles harmonisées concernant l'intelligence artificielle. Le règlement est entré en vigueur le 1er août 2024 et s'applique par étapes entre le 2 février 2025 et le 2 août 2027. En tant que règlement (et non directive), il s'applique directement dans les 27 États membres de l'UE sans transposition nationale.

L'EU AI Act est une réglementation horizontale et fondée sur les risques de l'intelligence artificielle. Plutôt que de cibler des secteurs ou cas d'usage spécifiques, il classe les systèmes d'IA selon le risque qu'ils posent pour les droits fondamentaux, la sécurité et la société, et impose des obligations proportionnelles à ce risque. Le règlement couvre l'ensemble de la chaîne de valeur de l'IA : fournisseurs (ceux qui développent ou mettent des systèmes d'IA sur le marché), déployeurs (ceux qui les utilisent dans un contexte professionnel), importateurs, distributeurs et mandataires. Il s'applique indépendamment du lieu d'établissement du fournisseur dès lors que le système d'IA est mis sur le marché de l'UE ou que sa sortie est utilisée dans l'UE.

Le règlement s'inscrit dans la stratégie numérique plus large de l'UE qui comprend le RGPD, le Digital Services Act, le Digital Markets Act, NIS 2 et DORA. Il coexiste avec les réglementations sectorielles (dispositifs médicaux, sécurité automobile, services financiers) plutôt que de les remplacer. Les systèmes d'IA intégrés dans des produits réglementés héritent des obligations des deux régimes.

L'approche fondée sur les risques : quatre niveaux

Widget

Diagramme en pyramide de la classification à quatre niveaux de l'EU AI Act : risque inacceptable (interdit), haut risque (obligations étendues), risque limité (obligations de transparence), risque minimal (aucune obligation spécifique).

Échéances de conformité EU AI Act : le calendrier échelonné

L'EU AI Act s'applique par étapes, pas en une seule fois. L'article 113 du règlement fixe quatre dates d'application clés réparties entre 2025, 2026 et 2027. Chacune marque l'entrée en vigueur d'un ensemble différent d'obligations. Les organisations doivent cartographier leur inventaire IA contre ce calendrier pour comprendre quelles obligations s'appliquent et quand.

Widget

Chronologie verticale des dates d'application de l'EU AI Act, du 1er août 2024 (entrée en vigueur) au 2 août 2027 (IA à haut risque dans les produits réglementés) : 1er août 2024 entrée en vigueur, 2 février 2025 pratiques interdites et alphabétisation IA, 2 août 2025 obligations GPAI et gouvernance, 2 août 2026 date d'application principale, 2 août 2027 produits réglementés.

Pour la plupart des organisations, le 2 août 2026 est l'échéance d'application majeure. Les pratiques interdites sont applicables depuis février 2025 ; les règles applicables aux fournisseurs d'IA à usage général depuis août 2025. Août 2026 apporte le régime opérationnel pour les systèmes à haut risque de l'Annexe III : gestion des risques, gouvernance des données, documentation technique, tenue des registres, transparence, supervision humaine, exactitude, robustesse et cybersécurité, ainsi que les obligations d'évaluation de conformité, de déclaration UE de conformité, de marquage CE et de surveillance post-commercialisation. Le régime de classification de l'article 6(1), qui capture l'IA à haut risque intégrée dans des produits couverts par la législation d'harmonisation de l'UE, est reporté au 2 août 2027.

À qui s'applique l'EU AI Act ?

Le règlement couvre six catégories d'acteurs tout au long de la chaîne de valeur de l'IA :

  • Fournisseurs : entités qui développent un système d'IA ou le font développer et le mettent sur le marché de l'UE ou en service sous leur propre nom. Portent les obligations les plus lourdes, en particulier pour les systèmes à haut risque.
  • Déployeurs (utilisateurs) : entités qui utilisent un système d'IA dans un contexte professionnel au sein de l'UE. Portent des obligations sur la conformité à l'usage prévu, la supervision humaine, les données d'entrée, la conservation des journaux et l'évaluation d'impact pour certains usages à haut risque.
  • Importateurs : entités établies dans l'UE qui mettent sur le marché un système d'IA portant le nom d'un fournisseur hors UE. Doivent vérifier la documentation de conformité du fournisseur avant la mise sur le marché.
  • Distributeurs : entités de la chaîne d'approvisionnement qui mettent un système d'IA à disposition sur le marché de l'UE, autres que le fournisseur ou l'importateur. Doivent vérifier le marquage CE et la documentation associée.
  • Fabricants : entités mettant un système d'IA sur le marché en même temps qu'un produit qu'elles fabriquent, sous leur propre nom.
  • Mandataires : représentants établis dans l'UE désignés par les fournisseurs hors UE. Détiennent une copie de la documentation technique et de la déclaration UE de conformité, et coopèrent avec les autorités au nom du fournisseur.

Portée extraterritoriale : Royaume-Uni, États-Unis et Suisse dans le champ d'application

L'article 2 fixe un champ d'application territorial inhabituellement large. Le règlement s'applique aux fournisseurs et déployeurs établis hors UE lorsque la sortie produite par le système d'IA est utilisée dans l'UE. Un éditeur SaaS américain dont l'IA évalue des CV pour un employeur de l'UE entre dans le champ d'application. Une FinTech britannique utilisant un moteur de décision de crédit IA sur des clients de l'UE entre dans le champ d'application. Un fabricant suisse de dispositifs médicaux mettant un dispositif de diagnostic intégrant de l'IA sur le marché de l'UE entre dans le champ d'application. Il n'existe pas de mécanisme d'« adéquation » comparable au RGPD ; le règlement s'applique tout simplement.

L'approche britannique : fondée sur des principes, non horizontale

Le Royaume-Uni développe son propre cadre de réglementation de l'IA basé sur une supervision fondée sur des principes par les régulateurs existants (ICO, CMA, FCA, MHRA, Ofcom). Le Cyber Security and Resilience Bill et le UK AI Bill plus large (toujours en consultation en 2026) devraient introduire des obligations sectorielles plutôt qu'une loi horizontale. Les entreprises britanniques ayant des clients de l'UE doivent se conformer à l'EU AI Act indépendamment de la réglementation nationale britannique ; les deux régimes coexisteront probablement.

Systèmes d'IA à haut risque : le cœur opérationnel du règlement

La plupart du travail opérationnel de conformité porte sur les systèmes d'IA à haut risque. Le règlement définit le haut risque de deux manières. Premièrement, les systèmes d'IA utilisés comme composants de sécurité dans des produits couverts par la législation d'harmonisation de l'UE listée à l'Annexe I (dispositifs médicaux, automobile, machines, jouets, ascenseurs, etc.) héritent du statut haut risque de la réglementation produit sous-jacente. Deuxièmement, les systèmes d'IA utilisés dans les huit domaines listés à l'Annexe III sont à haut risque par défaut :

  • Identification et catégorisation biométriques (là où elles ne sont pas déjà interdites par l'article 5)
  • Gestion des infrastructures critiques (trafic routier, eau, gaz, électricité, infrastructures numériques)
  • Éducation et formation professionnelle (admission, évaluation, surveillance comportementale)
  • Emploi, gestion des travailleurs et accès au travail indépendant (recrutement, tri de CV, attribution des tâches, évaluation des performances, licenciement)
  • Accès aux services privés et publics essentiels (solvabilité, prestations publiques, traitement des appels d'urgence, tarification d'assurance santé et vie)
  • Application de la loi (évaluation des risques, polygraphes, fiabilité des preuves, profilage, police prédictive)
  • Gestion de la migration, de l'asile et du contrôle aux frontières
  • Administration de la justice et processus démocratiques

Piège fréquent : sous-catégoriser le haut risque

L'échec de conformité le plus courant est de ne pas classer les systèmes à haut risque comme tels. Les organisations sous-estiment le champ d'application parce qu'elles pensent que « haut risque » implique dangereux, alors qu'il capture l'IA d'entreprise quotidienne : outils de tri de CV, scores de crédit client, logiciels de surveillance des employés, évaluations de recrutement assistées par IA. Un inventaire des systèmes d'IA cartographié contre l'Annexe III est la première étape la plus importante.

Les sept obligations pour les fournisseurs d'IA à haut risque

Obligations des fournisseurs d'IA à haut risque, articles 9 à 15 de l'EU AI Act
Conformément au Chapitre III, Section 2 de l'EU AI Act, les fournisseurs de systèmes d'IA à haut risque doivent mettre en œuvre et documenter les éléments suivants :
  • 1. Système de gestion des risques (article 9) : processus documenté et itératif identifiant et atténuant les risques raisonnablement prévisibles pour la santé, la sécurité et les droits fondamentaux tout au long du cycle de vie du système d'IA.
  • 2. Gouvernance des données (article 10) : les données d'entraînement, de validation et de test doivent être pertinentes, suffisamment représentatives, exemptes d'erreurs et complètes. Examinées contre les biais pouvant entraîner de la discrimination.
  • 3. Documentation technique (article 11) : documentation complète permettant aux autorités d'évaluer la conformité. Comprend l'architecture du système, les données d'entraînement, les méthodes de validation, les indicateurs de performance.
  • 4. Tenue de registres (article 12) : journalisation automatique des événements pendant le fonctionnement pour assurer la traçabilité et la surveillance post-commercialisation.
  • 5. Transparence et information aux déployeurs (article 13) : instructions d'utilisation claires, comprenant les capacités du système, ses limites, le niveau d'exactitude attendu et les mesures de supervision humaine.
  • 6. Supervision humaine (article 14) : conception du système permettant une supervision humaine effective par des personnes physiques, y compris la capacité d'annuler, arrêter ou inverser les sorties du système.
  • 7. Exactitude, robustesse et cybersécurité (article 15) : niveau de performance approprié, résilience face aux erreurs, défauts ou incohérences, et protection contre les tentatives d'altération de l'utilisation ou des performances par accès non autorisé.

Obligations des déployeurs : plus légères mais réelles

Les déployeurs, c'est-à-dire les organisations utilisant des systèmes d'IA à titre professionnel, portent des obligations plus légères mais réelles au titre de l'article 26. Ils doivent utiliser les systèmes d'IA à haut risque conformément aux instructions d'utilisation du fournisseur, attribuer la supervision humaine à des personnes compétentes, s'assurer que les données d'entrée sont pertinentes pour l'objectif visé, surveiller le fonctionnement et notifier au fournisseur tout incident grave, conserver les journaux pendant au moins six mois, et informer les représentants des travailleurs et les travailleurs concernés avant de déployer un système à haut risque sur le lieu de travail. Les déployeurs du secteur public et les déployeurs bancaires et assurantiels sont soumis à une obligation supplémentaire d'analyse d'impact sur les droits fondamentaux au titre de l'article 27.

IA à usage général : un régime à part

Les modèles d'IA à usage général (GPAI), les modèles de fondation derrière des systèmes comme ChatGPT, Claude, Gemini, et leurs alternatives open-source, sont réglementés sous un régime distinct (Chapitre V, articles 51 à 56) devenu applicable le 2 août 2025. Tous les fournisseurs de GPAI doivent maintenir une documentation technique, fournir des informations aux fournisseurs aval intégrant le modèle, établir une politique de conformité au droit d'auteur, et publier un résumé suffisamment détaillé des données d'entraînement. Les fournisseurs de modèles GPAI classés comme présentant un risque systémique (actuellement déclenché par une puissance de calcul d'entraînement supérieure à 10^25 FLOPs) portent des obligations supplémentaires : évaluation du modèle, évaluation des risques systémiques, signalement des incidents graves à l'AI Office, et mesures de cybersécurité adéquates.

Êtes-vous déployeur ou fournisseur GPAI ?

Les organisations utilisant des GPAI via des API commerciales (OpenAI, Anthropic, Google) sont des déployeurs aval, pas des fournisseurs. Mais les organisations qui fine-tunent des modèles GPAI open-source pour leurs propres produits peuvent devenir fournisseurs elles-mêmes au titre du règlement, avec toutes les obligations associées. La qualification juridique dépend du fait que le fine-tuning modifie ou non substantiellement le modèle.

Sanctions : parmi les plus élevées de la réglementation européenne

L'EU AI Act prévoit certaines des amendes administratives les plus élevées de la réglementation européenne, dépassant même les plafonds du RGPD. L'article 99 établit trois niveaux de sanction en fonction du type de violation :

Amendes administratives EU AI Act par catégorie de violation (article 99)

Catégorie de violation: Pratiques d'IA interdites (article 5)

Amende maximale35 millions EUR ou 7 % du chiffre d'affaires annuel mondial total, le montant le plus élevé étant retenu

Catégorie de violation: Autres violations d'obligations

Amende maximale15 millions EUR ou 3 % du chiffre d'affaires annuel mondial total, le montant le plus élevé étant retenu

Catégorie de violation: Informations incorrectes/incomplètes/trompeuses aux autorités

Amende maximale7,5 millions EUR ou 1 % du chiffre d'affaires annuel mondial total, le montant le plus élevé étant retenu

Catégorie de violation: PME et start-ups

Amende maximalePlafonds proportionnés appliqués (la plus faible des deux valeurs, non la plus élevée)

L'application est nationale. Chaque État membre désigne une ou plusieurs autorités de surveillance du marché pour appliquer le règlement sur son territoire, l'AI Office au niveau européen supervisant les fournisseurs GPAI et coordonnant les affaires transfrontalières. L'attribution des autorités diffère selon les États membres et est encore en cours de finalisation dans plusieurs juridictions en 2026 ; les organisations doivent vérifier l'autorité compétente pour leur établissement avant de s'appuyer sur un point de contact spécifique. Le Comité européen de l'intelligence artificielle assure une application cohérente à l'échelle de l'Union.

EU AI Act et ISO 42001 : le chemin d'opérationnalisation

ISO/IEC 42001:2023 est la norme internationale pour les systèmes de management de l'IA, et elle fournit le chemin le plus direct pour opérationnaliser la conformité à l'EU AI Act. La structure de la norme s'aligne étroitement sur les obligations des fournisseurs d'IA à haut risque du Chapitre III du règlement, tout en ajoutant des contrôles de système de management familiers à quiconque s'est formé sur ISO 27001 ou ISO 9001.

Mapping entre obligations EU AI Act haut risque et contrôles ISO 42001

Obligation EU AI Act: Gestion des risques (art. 9)

Correspondance ISO 42001Clause 6, Planification des risques IA ; Annexe A.5, Évaluation des risques IA

Obligation EU AI Act: Gouvernance des données (art. 10)

Correspondance ISO 42001Annexe A.7, Gestion des données ; A.7.4, Qualité des données

Obligation EU AI Act: Documentation technique (art. 11)

Correspondance ISO 42001Clause 7.5, Informations documentées ; Annexe A.8, Informations pour les parties intéressées

Obligation EU AI Act: Tenue de registres (art. 12)

Correspondance ISO 42001Annexe A.6.2, Ressources ; A.9.3, Procédures opérationnelles

Obligation EU AI Act: Transparence (art. 13)

Correspondance ISO 42001Annexe A.8.2, Informations pour les utilisateurs IA

Obligation EU AI Act: Supervision humaine (art. 14)

Correspondance ISO 42001Annexe A.6.2.6, Supervision humaine

Obligation EU AI Act: Exactitude/robustesse/cybersécurité (art. 15)

Correspondance ISO 42001Annexe A.6.2.7-A.6.2.8, Performance, robustesse, sécurité

ISO 42001 n'est pas un raccourci de conformité ; la certification ne substitue pas aux obligations spécifiques d'évaluation de conformité, de marquage CE et de surveillance post-commercialisation de l'AI Act. Mais elle fournit des preuves prêtes à être auditées pour la plupart des obligations applicables aux systèmes à haut risque, structure la documentation que les autorités demanderont, et démontre un engagement managerial qui atténue les sanctions en cas de violation. Pour les organisations partant de zéro, ISO 42001 est le cadre le plus efficace pour structurer un programme de gouvernance IA. Les plateformes GRC unifiées comme Acuna opérationnalisent cet alignement en consolidant les contrôles EU AI Act, ISO 42001 et ISO 27001 dans un référentiel auditable unique.

Construire la feuille de route de conformité EU AI Act

Avec août 2026 à moins de trois mois, la fenêtre de conformité est étroite. Une feuille de route défendable comporte six étapes, chacune produisant des livrables concrets qui résistent à l'audit.

Feuille de route EU AI Act en six étapes
Feuille de route indicative en six étapes pour les organisations ciblant la conformité EU AI Act d'ici août 2026. Chaque étape s'adapte au rôle de l'organisation (fournisseur, déployeur, importateur) et à son portefeuille IA.
  • 1. Inventaire IA : identifier chaque système d'IA en développement ou en production, y compris l'IA tierce intégrée dans vos produits ou workflows. Sans inventaire, pas de conformité.
  • 2. Classification : cartographier chaque système contre les quatre niveaux de risque et les catégories de l'Annexe III. Documenter la justification ; ce sera la première chose que les autorités demanderont.
  • 3. Gap analysis : pour les systèmes à haut risque, évaluer l'état actuel contre les articles 9 à 15. Pour les déployeurs, contre l'article 26. Pour les utilisateurs de GPAI, contre les obligations aval.
  • 4. Gouvernance : nommer des responsables redevables (responsable gouvernance IA, AI risk officer), définir les voies d'escalade, intégrer le risque IA dans les cadres de gestion des risques d'entreprise existants.
  • 5. Mise en œuvre : déployer le système de gestion des risques, les contrôles de gouvernance des données, la documentation technique, la journalisation, les mécanismes de transparence, les procédures de supervision humaine et les mesures de cybersécurité.
  • 6. Évaluation de conformité et surveillance : compléter la procédure d'évaluation de conformité appropriée (auto-évaluation ou organisme notifié selon le type de système), préparer la déclaration UE de conformité, apposer le marquage CE là où il est requis, établir la surveillance post-commercialisation.

Les organisations déjà certifiées ISO 27001 ou exploitant des programmes RGPD matures partent avec une longueur d'avance ; les contrôles de gouvernance des données, documentation, contrôle d'accès et réponse aux incidents se recoupent largement. Les organisations partant de zéro ont besoin de 12 à 18 mois pour un programme de conformité crédible ; avec trois mois jusqu'à août 2026, la stratégie pratique est de trier par risque et criticité de conformité.

Formation et certification : les parcours praticiens EU AI Act

Trois parcours de certification PECB couvrent les compétences opérationnelles que l'EU AI Act exige. Ils répondent à des rôles distincts et convergent vers un objectif commun : construire des organisations capables de démontrer, et non simplement de revendiquer, leur gouvernance IA.

ISO 42001 Lead Implementer (5 jours)

La certification ISO 42001 Lead Implementer est la référence pour les professionnels responsables de la conception, du déploiement et de la gestion d'un système de management de l'IA aligné sur ISO 42001:2023. C'est le parcours qui se convertit directement en préparation opérationnelle à l'EU AI Act : les clauses de système de management structurent les obligations haut risque, et les contrôles de l'Annexe A produisent la documentation que les autorités inspecteront. Pour les responsables gouvernance IA, RSSI prenant une scope IA, et responsables conformité dans les secteurs réglementés.

ISO 42001 Lead Auditor (5 jours)

La certification ISO 42001 Lead Auditor forme les professionnels à planifier, conduire et rendre compte d'audits de première, seconde et tierce partie de systèmes de management de l'IA. Avec l'EU AI Act introduisant des évaluations de conformité par organisme notifié pour certains systèmes à haut risque, les Lead Auditors ISO 42001 qualifiés sont rares dans l'UE et au Royaume-Uni. Adapté aux auditeurs internes, consultants et professionnels construisant une crédibilité d'audit indépendante.

Lead AI Risk Manager (5 jours)

La certification Lead AI Risk Manager se concentre sur la méthodologie de risque spécifique à l'IA exigée par l'EU AI Act au titre de l'article 9. Elle couvre l'identification, la classification, l'évaluation, l'atténuation et la surveillance des risques IA sur l'ensemble du cycle de vie de l'IA. La méthodologie s'intègre aux cadres de gestion des risques d'entreprise ISO 31000 tout en adressant les dimensions spécifiques à l'IA : dérive du modèle, biais des données d'entraînement, robustesse adverse, explicabilité et comportements émergents. Adapté aux risk officers, responsables éthique IA et praticiens construisant une pratique de gouvernance IA centrée sur le risque.

Abilene Academy est le seul Partenaire PECB Titanium en Suisse, avec un taux de réussite aux examens PECB de 99 % et plus de 2 500 professionnels formés dans 120 pays. Les trois certifications sont disponibles en présentiel, en classe virtuelle, en e-learning et en auto-formation, en français et en anglais. Pour situer la gouvernance IA dans le paysage réglementaire plus large, consultez également notre guide complet de la directive NIS 2 et notre guide complet de conformité DORA.

Vue terrain par Alexis Hirschhorn, Formateur principal, Abilene Academy

« L'échéance d'août 2026 ne bouge pas. Ce que nous observons chez nos clients est un schéma constant : le travail technique de conformité est réalisable en trois à six mois une fois l'inventaire honnête. Ce qui tue les calendriers, c'est l'inventaire lui-même ; la plupart des organisations ne savent pas combien de systèmes d'IA elles exploitent réellement, qui en sont propriétaires, ni quelles données d'entraînement y transitent. Construisez d'abord l'inventaire ; le reste est de l'exécution. »

Sources et références

Questions fréquentes

L'EU AI Act (Règlement (UE) 2024/1689) est entré en vigueur le 1er août 2024 avec des dates d'application échelonnées. Échéances clés : 2 février 2025 (pratiques d'IA interdites et obligations d'alphabétisation à l'IA applicables) ; 2 août 2025 (règles de gouvernance et obligations des fournisseurs d'IA à usage général) ; 2 août 2026 (la plupart des obligations restantes s'appliquent, y compris les règles sur les systèmes à haut risque de l'Annexe III) ; 2 août 2027 (régime de classification de l'article 6(1) pour l'IA à haut risque intégrée dans des produits réglementés couverts par la législation d'harmonisation de l'UE). L'échéance du 2 août 2026 est le moment le plus important sur le plan opérationnel pour la plupart des organisations déployant de l'IA dans l'UE, même si la date de 2027 importe pour toute IA intégrée à des produits réglementés.

Le règlement s'applique aux fournisseurs qui mettent des systèmes d'IA sur le marché de l'UE ou les mettent en service dans l'UE, aux déployeurs (utilisateurs) de systèmes d'IA situés dans l'UE, aux fournisseurs et déployeurs établis hors de l'UE lorsque la sortie du système d'IA est utilisée dans l'UE, aux importateurs et distributeurs de systèmes d'IA, aux fabricants qui mettent un système d'IA sur le marché sous leur propre nom, et aux mandataires des fournisseurs hors UE. Les entreprises britanniques et américaines dont les produits d'IA sont utilisés par des clients de l'UE entrent dans le champ d'application via la portée extraterritoriale du règlement.

La non-conformité aux pratiques d'IA interdites (article 5) peut déclencher des amendes administratives allant jusqu'à 35 millions d'euros ou 7 % du chiffre d'affaires annuel mondial total, le montant le plus élevé étant retenu. D'autres violations du règlement peuvent entraîner des amendes allant jusqu'à 15 millions d'euros ou 3 % du chiffre d'affaires mondial. La fourniture d'informations incorrectes, incomplètes ou trompeuses aux autorités est passible d'amendes allant jusqu'à 7,5 millions d'euros ou 1 % du chiffre d'affaires mondial. Les PME et les start-ups bénéficient de plafonds proportionnés.

L'EU AI Act utilise une classification des risques en quatre niveaux. Risque inacceptable : pratiques d'IA totalement interdites (notation sociale par les gouvernements, identification biométrique à distance en temps réel dans les espaces publics avec des exceptions limitées, IA manipulatrice exploitant les vulnérabilités). Haut risque : systèmes d'IA soumis à des obligations étendues (tri de CV, score de crédit, infrastructures critiques, dispositifs médicaux, application de la loi, accès à l'éducation). Risque limité : obligations de transparence (les utilisateurs doivent être informés qu'ils interagissent avec une IA ; les contenus générés par IA doivent être marqués). Risque minimal : aucune obligation spécifique (la plupart des IA grand public comme les filtres anti-spam ou l'IA dans les jeux vidéo).

ISO/IEC 42001:2023 est la norme internationale pour les systèmes de management de l'IA et fournit le chemin le plus direct pour opérationnaliser la conformité à l'EU AI Act. Les contrôles de la norme correspondent étroitement à de nombreuses exigences de l'AI Act : gestion des risques liés à l'IA (article 9), gouvernance des données (article 10), documentation technique (article 11), tenue des registres (article 12), transparence (article 13), supervision humaine (article 14), et exactitude/robustesse/cybersécurité (article 15). Un système de management ISO 42001 n'est pas un raccourci de conformité, mais il fournit des preuves prêtes à être auditées pour la plupart des obligations applicables aux systèmes à haut risque.

L'EU AI Act ne s'applique pas directement aux entreprises ayant leur siège au Royaume-Uni qui opèrent uniquement au Royaume-Uni, mais il a une portée extraterritoriale importante. Les organisations britanniques entrent dans le champ d'application lorsqu'elles mettent des systèmes d'IA sur le marché de l'UE, lorsque leur sortie d'IA est utilisée dans l'UE indépendamment de l'endroit où le système est hébergé, ou lorsqu'elles agissent en tant que mandataires ou importateurs pour des clients de l'UE. Les entreprises britanniques qui fournissent des services d'IA à des clients de l'UE doivent donc se conformer, même sans établissement dans l'UE. Le Royaume-Uni développe son propre cadre de réglementation de l'IA mais s'appuie actuellement sur une supervision fondée sur des principes par les régulateurs existants (ICO, CMA, FCA, MHRA).

Construire un inventaire IA défendable face à l'EU AI Act suit une logique en cinq étapes pratiques que les organisations matures appliquent désormais avant l'échéance du 2 août 2026.

Première étape : recenser tous les systèmes d'IA en développement et en production, y compris les composants tiers (API GPAI comme OpenAI ou Anthropic, modèles open-source fine-tunés, fonctionnalités IA intégrées dans des produits SaaS achetés). Ne pas oublier les expérimentations « shadow IT » lancées par les équipes métier sans validation centrale : c'est souvent là que se cachent les systèmes les plus à risque.

Deuxième étape : pour chaque système, documenter son cycle de vie (qui le développe, qui le déploie, où circulent les données d'entraînement et d'inférence), son cas d'usage métier (RH, finance, opérations, client) et ses sorties (décisions, recommandations, contenu généré). Le niveau de granularité doit permettre à un auditeur de comprendre le système sans poser de questions.

Troisième étape : qualifier le rôle de l'organisation pour ce système au sens des articles 3 et 25. Fournisseur, déployeur, importateur, distributeur, fabricant ou mandataire. Les obligations diffèrent radicalement entre ces rôles, et la même organisation peut être fournisseur sur certains systèmes et déployeur sur d'autres.

Quatrième étape : classer chaque système contre les huit catégories de l'Annexe III et le régime de l'article 6(1) pour identifier les systèmes à haut risque. C'est ici que se joue l'essentiel du périmètre réglementaire applicable au 2 août 2026. Documenter la justification de chaque classification : ce sera la première chose que les autorités demanderont.

Cinquième étape : conserver l'inventaire dans un référentiel vivant avec horodatage des évaluations, propriétaires nommés (responsable gouvernance IA, AI risk officer) et workflow de mise à jour. Excel suffit pour démarrer ; les plateformes GRC unifiées sont préférables au-delà d'une vingtaine de systèmes.

L'inventaire devient ensuite le socle des articles 9 à 15 (gestion des risques, gouvernance des données, documentation technique, tenue des registres, transparence, supervision humaine, exactitude). Les organisations qui sautent cette étape reconstruisent l'inventaire sous pression juste avant un audit, ce qui prend trois à six mois supplémentaires.

Pour structurer cette démarche dans un système de management auditable aligné sur les exigences de l'EU AI Act, la certification PECB ISO 42001 Lead Implementer est la voie la plus directe : elle couvre exactement les compétences inventaire/classification/gouvernance que le règlement exige. Formation certifiante de 5 jours, examen PECB inclus, sessions à Lausanne, Genève, Paris ou en ligne : https://www.abileneacademy.ch/fr/training/iso-42001-lead-implementer

Classer un système d'IA selon l'Annexe III de l'EU AI Act suit un arbre de décision en quatre étapes qu'on peut appliquer sans expertise juridique préalable.

Étape 1 : identifier le cas d'usage primaire du système. La classification ne dépend pas de la technologie utilisée (machine learning, LLM, règles symboliques) mais de la finalité opérationnelle. Un système qui calcule un score de crédit pour des clients particuliers et un système qui détecte la fraude sur des transactions ne sont pas classés de la même manière, même si la stack technique est identique.

Étape 2 : confronter ce cas d'usage aux huit catégories de l'Annexe III. Identification biométrique et catégorisation (point 1), gestion des infrastructures critiques (point 2), éducation et formation professionnelle (point 3), emploi et gestion des travailleurs (point 4), accès aux services privés et publics essentiels (point 5), application de la loi (point 6), gestion de la migration et du contrôle aux frontières (point 7), administration de la justice et processus démocratiques (point 8). Si le système correspond à un des huit points, il est par défaut à haut risque.

Étape 3 : vérifier l'exception de l'article 6(3). Le règlement prévoit qu'un système d'IA tombant dans l'Annexe III n'est pas considéré à haut risque s'il remplit l'une des quatre conditions suivantes : il effectue une tâche procédurale étroite, il améliore le résultat d'une activité humaine précédemment achevée, il détecte des schémas décisionnels ou des écarts par rapport aux schémas décisionnels antérieurs sans remplacer ni influencer la décision humaine, ou il effectue une tâche préparatoire à une évaluation pertinente. Cette exception est étroite ; documenter rigoureusement la justification, car l'autorité de surveillance contestera systématiquement les classifications « non haut risque » invoquant l'article 6(3) sans preuves opérationnelles.

Étape 4 : si l'exception ne s'applique pas, le système est à haut risque et les articles 9 à 15 s'appliquent intégralement à partir du 2 août 2026. Notifier le système auprès de la base de données européenne (article 71) et préparer la conformité opérationnelle.

Pour les systèmes intégrés dans des produits couverts par la législation d'harmonisation de l'UE (dispositifs médicaux, automobile, machines), c'est l'article 6(1) qui s'applique, avec une échéance différée au 2 août 2027.

La compétence centrale ici est l'analyse de risque spécifique IA, qui diffère de l'analyse de risque sécurité classique : on parle de biais des données d'entraînement, de dérive du modèle, de robustesse adversariale, d'explicabilité. La certification PECB Lead AI Risk Manager couvre cette méthodologie de bout en bout, alignée sur l'article 9 et intégrée aux cadres ISO 31000. Formation 5 jours, examen PECB inclus : https://www.abileneacademy.ch/fr/training/lead-ai-risk-manager

La documentation technique exigée par l'article 11 de l'EU AI Act est précise dans son contenu (Annexe IV) mais sans format imposé. Préparer cette documentation suit une démarche en six livrables, à produire et à maintenir tout au long du cycle de vie du système IA à haut risque.

Livrable 1 : description générale du système. Finalité, version, contexte d'usage prévu, marchés visés, public concerné. Inclure une description en langage naturel compréhensible par un auditeur non technique. C'est la porte d'entrée de la documentation, elle conditionne la compréhension du reste.

Livrable 2 : description détaillée des éléments du système. Architecture, méthodes et étapes de développement, choix de conception, hypothèses sur les utilisateurs et l'environnement, processus de gestion des données (collecte, étiquetage, nettoyage, mise à jour), mesures de surveillance humaine intégrées. C'est le livrable le plus technique et le plus volumineux.

Livrable 3 : informations sur les capacités, performances et limites. Niveau de précision attendu et observé, métriques de robustesse, seuils d'incertitude, conditions environnementales de fonctionnement, limites connues, cas d'usage exclus. Ces informations doivent être suffisamment détaillées pour qu'un déployeur puisse les communiquer aux utilisateurs finaux (article 13).

Livrable 4 : description du système de gestion des risques mis en place conformément à l'article 9. Méthodologie, résultats d'évaluation, mesures de mitigation, plan de surveillance des risques résiduels.

Livrable 5 : description des modifications apportées au système au cours de son cycle de vie. C'est ici que beaucoup d'organisations échouent : la documentation initiale est correcte, mais les mises à jour ne sont pas tracées. Le dossier ne capture pas le système réellement déployé six mois plus tard. Mettre en place une procédure de change management avec versioning de la documentation est non négociable.

Livrable 6 : liste des normes harmonisées appliquées en tout ou en partie, et description des solutions adoptées pour répondre aux exigences essentielles lorsque les normes ne sont pas appliquées. Inclure également la déclaration UE de conformité (article 47) et les rapports des organismes notifiés le cas échéant.

L'erreur la plus fréquente est de traiter la documentation technique comme un livrable ponctuel produit avant la mise sur le marché. C'est en réalité un système documentaire vivant, intégré au cycle de vie du système IA, qui doit être disponible et à jour pour les autorités pendant dix ans après la mise sur le marché (article 18).

La certification PECB ISO 42001 Lead Implementer couvre la conception et la maintenance de ce système documentaire dans le cadre d'un système de management de l'IA auditable. La clause 7.5 (informations documentées) et l'Annexe A.8 (informations pour les parties intéressées) de la norme se mappent directement sur les exigences de l'article 11. Formation et certification : https://www.abileneacademy.ch/fr/training/iso-42001-lead-implementer

Formations associées

Formations mentionnées dans cet article

ISO 42001 Lead Implementer

La formation ISO/IEC 42001 Lead Implementer prépare les professionnels à concevoir et déployer un Système de Management de l’Intelligence Artificielle conforme aux exigences réglementaires, éthiques et opérationnelles actuelles.

Voir la formation

ISO 42001 Lead Auditor

Cette formation ISO/IEC 42001 Lead Auditor prépare les professionnels de l’audit, du risque et de la conformité à évaluer de manière crédible et défendable les systèmes de management de l’intelligence artificielle. Le programme se concentre sur la planification, la conduite et la clôture d’audits AIMS dans des contextes réels, en tenant compte des enjeux éthiques, réglementaires et opérationnels de l’IA en 2024–2025. Les participants apprennent à interpréter les exigences ISO/IEC 42001 du point de vue d’un auditeur, à analyser les preuves attendues et à formuler des constats exploitables par la direction et les parties prenantes.

Voir la formation

Lead AI Risk Manager

Cette formation Lead AI Risk Manager prépare les professionnels à concevoir, piloter et justifier un dispositif de gestion des risques liés à l’intelligence artificielle conforme aux exigences réglementaires et de gouvernance.

Voir la formation

ISO 27001 Lead Implementer

La formation et certification ISO/IEC 27001 n’est plus un facteur de différenciation, mais une exigence de base. Cette formation prépare les professionnels à mettre en œuvre et gérer un système de management de la sécurité de l’information réellement opérationnel.

Voir la formation
Tags:#EU AI Act#Gouvernance IA#Règlement 2024/1689#ISO 42001#IA haut risque#GPAI#Échéance août 2026#Conformité IA#Union européenne#France

Se certifier

ISO 27001, NIS2, gouvernance de l'IA & plus. Rejoignez 2 500+ professionnels.

Voir les formations
Demander à notre IA

Related Articles

Continue exploring topics that matter to your organization

ISO 27001 pour les FinTech suisses : le guide expert face à FINMA (2026)

ISO 27001 pour les FinTech suisses : le guide expert face à FINMA (2026)

ISO 27001 dans une FinTech suisse se lit à travers six couches réglementaires : FINMA, ISG, nLPD, DORA, AI Act. Le guide expert 2026.

Alexis HIRSCHHORN
12 mai 2026
Mise en œuvre de l'ISO 42001 : le playbook exécutif pour la gouvernance de l'IA (2026)

Mise en œuvre de l'ISO 42001 : le playbook exécutif pour la gouvernance de l'IA (2026)

Un guide exécutif concret pour mettre en œuvre l'ISO 42001 comme un véritable système de gouvernance de l'IA. Structurez la supervision de l'IA, gérez les risques et alignez-vous avec la réglementation européenne.

Alexis HIRSCHHORN
12 mai 2026
DORA : le guide complet de la conformité pour les institutions financières suisses et européennes, exigences, risques tiers TIC et sanctions (2026)

DORA : le guide complet de la conformité pour les institutions financières suisses et européennes, exigences, risques tiers TIC et sanctions (2026)

Le règlement DORA (UE 2022/2554) impose un cadre européen de résilience opérationnelle numérique au secteur financier depuis le 17 janvier 2025. Guide complet : 5 piliers, FINMA, NIS 2, sanctions

Alexis HIRSCHHORN
22 avr. 2026

Nous utilisons des cookies pour améliorer votre expérience

Les cookies nécessaires sont toujours actifs. Vous pouvez accepter, refuser les cookies non essentiels, ou personnaliser vos préférences.