Ce qu’active réellement le 2 août 2026
La loi IA UE a été déployée progressivement depuis sa publication. Deux étapes clés ont précédé août 2026 : le 2 février 2025, les interdictions sur certains systèmes d’IA à risque inacceptable ont pris effet. Le 2 août 2025, les obligations d’infrastructure de gouvernance et de fournisseur de modèles d’IA à usage général (GPAI) ont été activées.
Le 2 août 2026, c’est là que la loi IA pèse de tout son poids pour la plupart des entreprises. La chronologie officielle de mise en œuvre indique que « le reste de la loi IA commence à s’appliquer, à l’exception de l’article 6(1). » En pratique, cela signifie :
- Tous les systèmes d’IA à haut risque Annexe III doivent satisfaire aux exigences complètes de conformité — systèmes de gestion des risques, documentation technique, évaluations de conformité, enregistrement dans la base de données UE, marquage CE et mécanismes de surveillance humaine
- Les déployeurs de systèmes à haut risque existants doivent mettre en œuvre des procédures de surveillance, de journalisation, de signalement des incidents et d’évaluation d’impact
- Tous les États membres de l’UE doivent disposer d’au moins un bac à sable réglementaire national opérationnel
- Les fournisseurs non-UE doivent désigner un représentant autorisé dans l’UE
L’exception : les obligations de l’article 6(1) — qui couvrent les systèmes d’IA intégrés dans des produits réglementés par d’autres législations sectorielles (dispositifs médicaux, machines, véhicules) — s’étendent jusqu’en août 2027.
Les huit catégories à haut risque de l’Annexe III
L’Annexe III définit les catégories d’applications d’IA qui déclenchent les exigences les plus strictes de la loi. Toute entreprise déployant de l’IA dans ces domaines a besoin d’un dossier de conformité achevé avant le 2 août :
- Identification et catégorisation biométriques — systèmes en temps réel et a posteriori identifiant ou catégorisant des individus par données biométriques
- Infrastructures critiques — IA gérant réseaux électriques, eau, gaz, transport et infrastructures des marchés financiers
- Formation et enseignement professionnel — IA déterminant l’accès à l’éducation, évaluant les étudiants ou surveillant pendant les examens
- Emploi et gestion des ressources humaines — IA utilisée dans le recrutement, la sélection, l’attribution des tâches, la surveillance des performances ou les décisions de licenciement
- Accès aux services privés essentiels et aux prestations publiques — scoring de crédit, évaluation du risque assurantiel, éligibilité aux aides sociales
- Application de la loi — IA pour la prédiction de la criminalité, l’évaluation des preuves, l’évaluation du risque individuel dans les enquêtes
- Migration, asile et contrôle aux frontières — IA dans le traitement des visas, la vérification des documents de voyage, l’évaluation des risques
- Administration de la justice et processus démocratiques — IA assistant dans les décisions judiciaires ou les processus électoraux
L’étendue de cette liste concerne de nombreuses entreprises qui ne se considèrent pas comme des « entreprises d’IA ». Une banque utilisant un modèle de scoring de crédit, une équipe RH utilisant un outil d’IA pour analyser les CV, ou une université utilisant la surveillance automatisée pendant les examens en ligne — toutes déploient une IA à haut risque Annexe III et sont soumises au régime de conformité complet.
Publicité
Ce que les équipes de conformité d’entreprise doivent avoir achevé avant le 2 août
1. Achever la classification des systèmes d’IA et la détermination du niveau de risque
Avant toute autre étape de conformité, chaque système d’IA en déploiement en entreprise doit être classifié. La loi IA UE exige que les fournisseurs déterminent si leurs systèmes relèvent des catégories de l’Annexe III. Un fournisseur peut argumenter que même un système Annexe III ne requiert pas le régime complet à haut risque s’il peut « démontrer et documenter que ce système d’IA ne présente pas de risque significatif de préjudice » — mais cette exception doit être documentée, pas supposée.
La classification n’est pas un événement ponctuel. Les systèmes d’IA évoluent, les cas d’utilisation s’élargissent et les contextes de déploiement changent — ce qui peut modifier la classification du risque. Les entreprises ont besoin d’un processus de classification répétable qui lie la décision au cas d’utilisation spécifique, pas seulement au type de système.
2. Achever les évaluations de conformité et la documentation technique
Pour les systèmes à haut risque de l’Annexe III, l’évaluation de conformité est le mécanisme de conformité central. Selon le type de système, c’est soit une auto-évaluation (pour la plupart des systèmes Annexe III), soit une évaluation par un tiers (pour les systèmes d’identification biométrique). L’évaluation doit vérifier que le système satisfait aux exigences techniques sur six domaines : système de gestion des risques, gouvernance des données, documentation technique, transparence, surveillance humaine et précision/robustesse/cybersécurité.
La documentation technique est la base de preuves pour l’évaluation de conformité — et elle doit être maintenue et mise à jour, pas produite une seule fois au déploiement. Les fournisseurs non-UE qui ont traité les exigences de documentation UE comme une tâche future devraient considérer le 2 août comme une date limite absolue pour ce retard.
3. Enregistrer les systèmes à haut risque dans la base de données UE sur l’IA
La loi IA UE crée une base de données d’enregistrement obligatoire pour les systèmes d’IA à haut risque avant qu’ils puissent être mis sur le marché de l’UE. La base de données est gérée par le Bureau européen de l’IA. L’enregistrement exige : le nom et la version du système, l’identité du fournisseur et son représentant UE, l’usage prévu, la catégorie Annexe III, le statut de conformité et la déclaration de conformité.
L’enregistrement n’est pas un dépôt ponctuel — il doit être mis à jour lors de modifications importantes des systèmes. Les entreprises avec plusieurs déploiements d’IA dans des catégories Annexe III peuvent avoir besoin d’enregistrer des dizaines de systèmes. Mettre en place un processus d’enregistrement systématique — avec un propriétaire nommé pour chaque système enregistré — est plus gérable que traiter l’enregistrement comme une tâche juridique ad hoc.
4. Mettre en œuvre des systèmes de surveillance humaine et de journalisation
Les exigences de surveillance humaine de la loi IA UE sont parmi les plus contraignantes opérationnellement pour les entreprises ayant déployé l’IA dans des contextes de décision automatisée à volume élevé. L’exigence n’est pas qu’un humain examine chaque décision d’IA — c’est que des humains qualifiés soient désignés avec l’autorité et la capacité de surveiller les résultats du système, détecter les anomalies et intervenir en cas de comportement inattendu.
Pour les déployeurs (pas seulement les fournisseurs), la loi exige que les journaux générés automatiquement soient conservés pendant au moins six mois. Ces journaux doivent être suffisants pour reconstituer le comportement du système en cas d’enquête sur un incident. Revoir la structure des journaux et les politiques de conservation par rapport aux exigences de la loi devrait être achevé avant le 2 août.
La grande image : De la conformité à la maturité en gouvernance de l’IA
Le 2 août 2026 est une échéance de conformité, mais c’est aussi un seuil de maturité organisationnelle. Les entreprises qui construisent leurs programmes de conformité de manière réactive — assemblant la documentation sous la pression de l’échéance — respecteront la lettre de l’exigence mais ne développeront pas la capacité interne de gouverner l’IA de manière responsable à mesure que les systèmes prolifèrent et que les réglementations évoluent.
Les entreprises qui sortent d’août 2026 dans la meilleure position seront celles qui ont utilisé le processus de conformité pour construire une infrastructure durable de gouvernance de l’IA : un cadre de classification qui s’adapte à l’évolution des systèmes, un processus d’évaluation de conformité appartenant à une équipe interfonctionnelle (juridique, ingénierie, données, risque), un processus d’enregistrement avec des propriétaires de systèmes nommés et un modèle de surveillance humaine documenté dans les contrats de déploiement.
La loi IA UE n’est pas la dernière réglementation sur l’IA à laquelle ces entreprises feront face. La Convention-Cadre du Conseil de l’Europe crée des obligations parallèles dans 50+ juridictions non-UE. Les entreprises qui traitent août 2026 comme une opportunité de construction de processus — pas un événement de dépôt de documents — seront mieux positionnées pour la prochaine décennie de gouvernance de l’IA.
Les pénalités maximales en vertu de la loi atteignent 35 millions d’euros ou 7 % du chiffre d’affaires annuel mondial pour les violations majeures — des chiffres qui dépassent largement le coût de la construction d’une infrastructure de conformité solide.
Questions Fréquemment Posées
Quels types de systèmes d’IA sont les plus susceptibles d’affecter les entreprises non-UE vendant sur le marché UE ?
Les outils de présélection RH, les modèles de scoring de crédit ou de risque, les systèmes de recommandation de contenu à fort impact utilisateur et les systèmes de vérification d’identité client sont les déclencheurs Annexe III les plus courants pour les fournisseurs non-UE. Si une entreprise non-UE fournit des logiciels d’IA en mode SaaS à des clients UE qui les déploient dans des contextes Annexe III, la société non-UE est un « fournisseur » au sens de la loi et doit satisfaire aux obligations de fournisseur.
Quelle est l’amende maximale en vertu de la loi IA UE, et comment se compare-t-elle au RGPD ?
Les amendes maximales de la loi IA UE atteignent 35 millions d’euros ou 7 % du chiffre d’affaires annuel mondial pour les violations impliquant des pratiques d’IA interdites. Pour les violations IA à haut risque, le plafond est de 15 millions d’euros ou 3 % du chiffre d’affaires. Le maximum du RGPD est de 20 millions d’euros ou 4 % du chiffre d’affaires. Pour les grandes entreprises mondiales, le maximum de 7 % de la loi IA dépasse celui de 4 % du RGPD.
Existe-t-il une période de grâce ou un report de l’échéance du 2 août 2026 ?
Le Parlement européen a débattu d’un report à décembre 2027 ou août 2028 pour certaines exigences Annexe III, mais ce report n’a pas été formellement adopté à ce jour. La chronologie officielle de mise en œuvre confirme le 2 août 2026 comme la date d’application. Les obligations de l’article 6(1) — couvrant l’IA dans les catégories de produits réglementés — s’étendent jusqu’en août 2027. Les entreprises devraient planifier pour le 2 août 2026 et traiter tout report comme un avantage potentiel, pas une hypothèse de planification.
—
Sources et lectures complémentaires
- Chronologie de mise en œuvre de la loi IA UE — artificialintelligenceact.eu
- Les entreprises américaines font face à l’échéance de conformité possible d’août 2026 — Holland & Knight
- Loi IA UE 2026 : Exigences de conformité et risques commerciaux — LegalNodes
- Guide de conformité à la loi IA UE 2026 — SecurePrivacy
