Le 2 août 2026 marque l'entrée en vigueur des obligations pour les systèmes d'IA à haut risque. Ce n'est pas un jalon administratif de plus : c'est le moment où la conformité cesse d'être optionnelle. Pour les entreprises qui n'ont pas encore agi, le compte à rebours est terminé.
Un règlement progressif, une erreur de lecture répandue
L'AI Act (Règlement UE 2024/1689) est entré en vigueur le 1er août 2024. Son application est progressive : les pratiques d'IA interdites depuis le 2 février 2025, les obligations pour les modèles à usage général (GPAI) depuis le 2 août 2025. Le 2 août 2026, c'est le cœur du dispositif qui entre pleinement en application : les obligations pour les systèmes à haut risque listés à l'Annexe III.
L'erreur de lecture la plus fréquente consiste à croire que ces obligations ne concernent que les éditeurs de logiciels IA. C'est faux. Elles concernent aussi — et massivement — les organisations qui utilisent ces systèmes dans leurs processus métier.
Une entreprise française qui intègre un logiciel RH algorithmique développé aux États-Unis reste juridiquement responsable en tant que déployeur sur le territoire de l'UE. L'absence de conformité de votre fournisseur ne vous exonère pas.
Fournisseur ou déployeur : une distinction qui change tout
L'AI Act distingue deux rôles aux responsabilités radicalement différentes. Le fournisseur est celui qui développe ou met sur le marché le système IA : il porte les obligations les plus lourdes (documentation technique complète, évaluation de conformité, marquage CE, inscription dans la base européenne). Le déployeur est celui qui utilise le système dans ses processus métier — même s'il l'a acheté sur étagère.
Pour 90 % des PME et ETI, le rôle pertinent est celui de déployeur. Ce rôle n'est pas anodin : supervision humaine effective, documentation des usages, information des personnes concernées. Et une précision importante : si vous modifiez substantiellement un système acheté (fine-tuning, modification des règles de scoring), vous pouvez être requalifié en fournisseur, avec les obligations les plus lourdes que cela implique.
Les huit domaines à haut risque : êtes-vous concerné ?
L'Annexe III liste les domaines où tout système IA est considéré comme à haut risque dès lors qu'il peut affecter significativement les droits fondamentaux ou la sécurité des personnes :
- Identification biométrique et catégorisation des personnes
- Gestion et exploitation des infrastructures critiques
- Éducation et formation professionnelle
- Emploi et gestion des ressources humaines
- Accès aux services essentiels et évaluation de crédit
- Application de la loi
- Gestion des migrations et contrôle des frontières
- Administration de la justice et processus démocratiques
Le troisième et le quatrième domaine concernent directement la quasi-totalité des entreprises : tout outil qui assiste les décisions de recrutement, d'évaluation, de formation ou de promotion peut être qualifié de système à haut risque.
« Les entreprises qui attendent la mise en demeure pour agir paient toujours le prix fort. Sur le RGPD, les organisations qui ont anticipé ont transformé la conformité en avantage concurrentiel. Il en ira de même pour l'AI Act. »
Analyse EMILIA FRANCE, mars 2026Les cinq piliers de la conformité au 2 août 2026
Traçabilité. Chaque décision produite par le système IA doit pouvoir être documentée, retracée et auditée. La journalisation doit permettre aux autorités de reconstituer le processus décisionnel — y compris l'intervention humaine éventuelle.
Transparence. Les personnes affectées par une décision doivent être informées qu'un système IA intervient. L'information doit être claire, accessible et compréhensible — pas enfouie dans des conditions générales de 40 pages.
Supervision humaine. Aucune décision critique ne peut reposer exclusivement sur l'algorithme. Un responsable humain doit être techniquement en capacité de comprendre les sorties du système, de les contester et de les contredire, avec une traçabilité de cet acte de dérogation.
Robustesse technique. Le système doit résister aux erreurs, aux biais et aux tentatives de manipulation. Cela implique des tests réguliers, des scénarios de mésusage et une gestion formalisée des risques. Des données biaisées à l'entrée produisent des résultats discriminatoires à la sortie.
Enregistrement. Avant toute mise en service, le système doit être inscrit dans le registre européen centralisé. Cette inscription est obligatoire et doit être maintenue à jour tout au long du cycle de vie.
Les trois secteurs français les plus exposés
Le recrutement et la gestion RH arrivent en tête. L'utilisation de l'IA par les professionnels RH a triplé en un an, passant de 9 % en 2024 à 28 % en 2025, principalement pour le tri de CV et l'automatisation des tâches administratives. La CNIL a annoncé l'intensification de ses contrôles dans ce secteur à partir de l'automne 2026.
Le crédit et le scoring financier constituent le deuxième point de vigilance. Les modèles de scoring crédit et d'évaluation de solvabilité entrent dans le champ des systèmes à haut risque dès lors qu'ils influencent l'accès aux services financiers essentiels. L'arrêt de la CJUE concernant Schufa Holding AG (C-634/21) avait déjà requalifié certains systèmes de notation automatisés.
La santé, avec la priorisation des patients, l'aide au diagnostic et les dispositifs médicaux intégrant de l'IA, bénéficie d'un délai supplémentaire jusqu'au 2 août 2027 — mais ce délai n'est pas une invitation à l'attentisme.
Plan d'action en six étapes
Étape 1 — Inventaire. Réalisez un inventaire exhaustif de tous les outils IA utilisés dans votre organisation, y compris ceux utilisés de façon informelle (Shadow AI). Pour chacun, déterminez s'il entre dans le périmètre haut risque de l'Annexe III.
Étape 2 — Documentation. Assemblez la documentation technique requise : description détaillée du système, usage prévu, limites connues, versioning, résultats des tests de validation. Si vous êtes déployeur, exigez cette documentation de votre fournisseur — et considérez l'impossibilité à la produire comme un signal d'alerte majeur.
Étape 3 — Gestion des risques. Formalisez votre gestion des risques : tests réguliers, scénarios de mésusage, identification des risques résiduels acceptables, procédure de signalement des incidents graves.
Étape 4 — Gouvernance des données. Vérifiez l'origine des données, les biais potentiels, la qualité, la sécurité, les conditions de rétention et d'accès. Si vous êtes déjà conforme au RGPD, vous disposez d'une base solide. L'approche optimale consiste à développer une stratégie intégrée AI Act/RGPD.
Étape 5 — Supervision humaine. Désignez les responsables habilités à contredire les recommandations algorithmiques, documentez les procédures de dérogation, formez-les aux spécificités du système.
Étape 6 — Formation. L'obligation de littératie IA (AI literacy) est en vigueur depuis février 2025. Assurez-vous que l'ensemble du personnel interagissant avec des systèmes IA dispose d'un niveau de compréhension suffisant pour exercer cette supervision.
La conformité à l'AI Act n'est pas qu'un coût à supporter. Une IA certifiée et transparente devient un argument commercial puissant dans un marché européen où la confiance est un actif stratégique. Les entreprises qui anticipent construisent un avantage structurel durable. Celles qui attendent paient deux à trois fois plus cher — sous pression, sans visibilité, sans stratégie.