EU AI Act Août 2026 : La Liste de Contrôle de Conformité pour les Fournisseurs d’IA Hors UE

Pourquoi le 2 Août 2026 Est un Point de Non-Retour pour les Fournisseurs Hors UE

L’EU AI Act (Règlement 2024/1689) applique sa logique extraterritoriale de manière explicite à l’Article 2. La portée du règlement s’applique aux fournisseurs qui placent des systèmes d’IA sur « le marché de l’Union » et aux fournisseurs dont les systèmes « produisent des résultats utilisés dans l’Union », indépendamment du lieu d’établissement des fournisseurs ou de l’emplacement de leurs serveurs. Cela reflète le mécanisme qui a fait du RGPD un événement mondial de conformité en 2018 : c’est la localisation de l’utilisateur qui détermine l’obligation réglementaire, pas celle de l’entreprise.

Les catégories à haut risque de l’Annexe III ne sont pas des cas marginaux. Elles couvrent les systèmes d’IA déployés dans : l’identification biométrique ; la gestion des infrastructures critiques (eau, gaz, électricité, transport) ; l’éducation et la formation professionnelle (admissions, notation, évaluation) ; l’emploi et la gestion des travailleurs (tri de CV, suivi des performances) ; l’accès aux services essentiels privés et publics (scoring de crédit, évaluation des risques d’assurance) ; les forces de l’ordre (évaluation des risques, détection du mensonge, évaluation des preuves) ; le contrôle migratoire et frontalier ; et l’administration de la justice. Les entreprises opérant en HR-tech, fintech, edtech, healthtech et govtech ont une forte probabilité d’avoir au moins une fonctionnalité produit concernée.

L’exposition financière est réelle. Les amendes pour non-conformité aux obligations à haut risque atteignent 15 millions d’euros ou 3 % du chiffre d’affaires annuel mondial, selon le montant le plus élevé. Les autorités nationales compétentes dans chaque État membre de l’UE disposent de pouvoirs d’exécution, notamment la capacité de retirer du marché de l’UE les systèmes non conformes.

La Liste de Contrôle en Huit Points pour les Systèmes de l’Annexe III

1. Confirmer la Classification Selon l’Annexe III

Avant tout travail de conformité, confirmez avec précision si votre système se qualifie comme système à haut risque selon l’Annexe III. Le règlement comprend à la fois une liste positive (systèmes considérés à haut risque par catégorie) et une liste d’exceptions. L’exercice de classification doit documenter : l’objet du système d’IA, la catégorie de l’Annexe III revendiquée ou exclue, le contexte de déploiement, et la base juridique de la conclusion de classification.

2. Réaliser une Évaluation de la Conformité

Pour la plupart des catégories de l’Annexe III, l’évaluation de conformité est une auto-évaluation — aucun tiers n’est requis (exceptions : les systèmes d’identification biométrique à distance nécessitent un organisme notifié). Cependant, « auto-évaluation » ne signifie pas revue informelle. L’évaluation doit documenter que le système satisfait aux exigences de l’Acte sur six dimensions : système de gestion des risques, gouvernance des données, documentation technique, transparence et instructions d’utilisation, supervision humaine, précision et robustesse.

3. Produire et Maintenir la Documentation Technique

L’Article 11 et l’Annexe IV définissent les exigences de documentation technique. Le contenu requis comprend : une description générale du système et de son objet ; une description des composantes du système d’IA et du processus de développement ; des informations sur les données d’entraînement, de validation et de test incluant les pratiques de gouvernance des données ; une description des mécanismes de surveillance, de fonctionnement et de contrôle ; les spécifications de performance et les limitations connues ; et des informations sur les procédures de surveillance post-marché. Cette documentation doit être maintenue, à jour et produisible sur demande.

4. Désigner un Représentant Autorisé en UE

L’Article 25 du règlement exige que les fournisseurs hors UE de systèmes d’IA à haut risque désignent un représentant légal établi dans un État membre de l’UE. Ce représentant agit en tant que point de contact pour les autorités nationales compétentes et porte une responsabilité formelle aux côtés du fournisseur. C’est souvent l’étape de conformité la plus rapide à réaliser — des jours, pas des mois — et celle le plus fréquemment négligée par les équipes hors UE. Des cabinets d’avocats et consultants spécialisés en France, en Allemagne et aux Pays-Bas offrent des services de représentant autorisé au titre de l’EU AI Act.

5. Apposer le Marquage CE et Signer la Déclaration UE de Conformité

Pour les systèmes d’IA hors UE à haut risque qui sont aussi des fabricants de produits physiques intégrant l’IA, le marquage CE doit être apposé. Pour les systèmes d’IA purement logiciels non intégrés dans des produits physiques, le marquage CE peut ne pas s’appliquer, mais la Déclaration UE de Conformité — un document formel déclarant la conformité à l’EU AI Act — doit tout de même être émis avant que le système soit placé sur le marché de l’UE.

6. S’Enregistrer dans la Base de Données de l’EU AI Act

La Commission européenne exploite une base de données officielle pour les systèmes d’IA à haut risque accessible via l’EU AI Act Service Desk. L’enregistrement est obligatoire avant qu’un système à haut risque soit placé sur le marché de l’UE. L’enregistrement est public — ce qui signifie également qu’il signale la fiabilité aux acheteurs d’entreprises en UE et aux responsables des achats, un avantage concurrentiel à noter.

7. Implémenter des Mécanismes de Supervision Humaine dans le Produit

L’Article 14 exige que les systèmes d’IA à haut risque soient conçus pour permettre la supervision humaine. Le système doit permettre aux humains responsables de son déploiement de : comprendre ses capacités et limitations ; surveiller son fonctionnement et détecter les anomalies ; outrepasser ou interrompre ses sorties si nécessaire ; et empêcher l’exécution de décisions conséquentes entièrement automatisées sans vérification humaine. Concrètement, cela signifie construire des interfaces de dérogation, des flux d’escalade et des alertes d’anomalie dans le produit lui-même.

8. Conserver les Journaux pendant Six Mois

Les déployeurs de systèmes d’IA à haut risque doivent conserver les journaux générés automatiquement par le système pendant au moins six mois en vertu de l’Article 12. Pour les fournisseurs en mode SaaS qui sont aussi les déployeurs, cette obligation incombe directement au fournisseur. Les journaux doivent être structurés, infalsifiables et suffisants pour reconstruire le fonctionnement et les sorties du système lors de toute enquête de conformité.

Le Paysage de Conformité à Venir

La date du 2 août 2026 est stable pour la plupart des catégories à haut risque, bien que des discussions parlementaires incluent des propositions de report de certains délais à décembre 2027 et août 2028 — en attente d’approbation du Conseil. Les fournisseurs hors UE ne devraient pas planifier autour d’extensions potentielles : une préparation de conformité qui manque le 2 août sur la base d’une extension qui ne se concrétise pas expose les entreprises à des mesures d’exécution sans délai de préavis.

Les entreprises qui construisent la documentation, la supervision et l’infrastructure de gouvernance pour la conformité à l’EU AI Act en 2026 trouveront que la même infrastructure sert de fondation pour la conformité dans toutes les juridictions ultérieures qui suivront.

Questions Fréquemment Posées

Sources et lectures complémentaires

• US Companies Face EU AI Act’s Possible August 2026 Compliance Deadline — Holland & Knight
• 6 Steps to Take Before August 2, 2026 — Orrick
• EU AI Act Article 16: Obligations of Providers of High-Risk AI Systems — artificialintelligenceact.eu
• EU AI Act 2026 Updates: Compliance Requirements and Business Risks — LegalNodes
• EU AI Act Implementation Timeline — EU AI Act Service Desk
• Extraterritorial Scope of the EU AI Act — Data Privacy + Cybersecurity Insider