yvoria-ai.fr →
← Tous les articles

AI Act : calendrier d'application 2025-2027 pour les entreprises

02/06/2026

L'AI Act européen est entré en vigueur le 1er août 2024, mais son application est progressive jusqu'en 2027. Pour les DPO, RSSI et responsables conformité, comprendre ce calendrier n'est pas une option : c'est la condition pour éviter des sanctions pouvant atteindre 35 millions d'euros ou 7 % du chiffre d'affaires mondial. Voici les jalons essentiels et les actions à engager dès maintenant.

Le calendrier officiel de l'AI Act en quatre phases

Février 2025 : les pratiques interdites entrent en vigueur

Six mois après la publication du règlement, les interdictions absolues s'appliquent. Sont concernés les systèmes d'IA qui :

  • utilisent des techniques subliminales pour manipuler les comportements ;
  • exploitent les vulnérabilités de personnes spécifiques (âge, handicap) ;
  • déploient la notation sociale généralisée par des autorités publiques ;
  • effectuent une identification biométrique à distance en temps réel dans les espaces publics (sauf exceptions encadrées).

Action immédiate : inventorier tous les outils d'IA utilisés en interne ou proposés à des tiers pour vérifier qu'aucun ne tombe sous ces interdictions. Un système de scoring RH opaque ou un chatbot de recrutement mal paramétré peut déjà poser problème.

Août 2025 : obligations pour les modèles d'IA à usage général (GPAI)

Les fournisseurs de modèles GPAI — comme les grands modèles de langage (LLM) — devront respecter des exigences de transparence et de documentation technique. Ceux dont la puissance de calcul dépasse 10²⁵ FLOPs seront soumis à des obligations renforcées, notamment une évaluation des risques systémiques.

Qui est concerné ? Les éditeurs qui intègrent des API de type GPT-4, Mistral ou Gemini dans leurs produits SaaS doivent s'assurer que leurs fournisseurs respectent ces exigences — et conserver les preuves contractuelles.

Août 2026 : les systèmes à haut risque au cœur du dispositif

C'est le jalon le plus structurant pour la majorité des entreprises. Les systèmes d'IA classés à haut risque (Annexes III et IV du règlement) devront être conformes. Sont visés, entre autres :

  • les outils d'aide au recrutement et à l'évaluation des salariés ;
  • les systèmes de scoring de crédit ou d'assurance ;
  • les outils de triage médical ou d'aide au diagnostic ;
  • les systèmes de contrôle des accès et de surveillance sur le lieu de travail ;
  • les IA utilisées dans les infrastructures critiques.

Les obligations incluent : gestion des risques documentée, jeux de données d'entraînement tracés, journaux d'audit, supervision humaine effective, enregistrement dans la base de données EU de la Commission européenne.

Exemple concret : une banque qui utilise un modèle de scoring pour l'octroi de crédit aux PME devra produire une documentation technique complète, nommer un responsable IA interne et mettre en place un mécanisme de contestation des décisions automatisées.

Août 2027 : extension aux systèmes embarqués dans des produits réglementés

Les systèmes d'IA intégrés dans des produits couverts par des directives sectorielles existantes (dispositifs médicaux, machines, équipements radio…) bénéficient d'un délai supplémentaire. L'échéance de 2027 concerne également les systèmes des autorités publiques déployés avant août 2026.

Ce que le calendrier implique concrètement pour votre organisation

Constituer un registre des systèmes d'IA dès maintenant

Sans inventaire fiable, impossible de classer les risques. Ce registre doit recenser chaque système d'IA utilisé (y compris le shadow AI), son fournisseur, sa finalité, les données traitées et sa criticité métier. C'est la base sur laquelle toute la conformité repose.

Intégrer l'AI Act dans la gouvernance existante

L'AI Act n'est pas un sujet isolé. Il croise le RGPD (données d'entraînement, droits des personnes), la directive NIS 2 (systèmes critiques) et les politiques internes de sécurité. DPO et RSSI doivent co-piloter la démarche avec les équipes juridiques et les métiers.

Anticiper la pression des donneurs d'ordre

Les grandes entreprises soumises à l'AI Act vont répercuter leurs exigences sur leurs fournisseurs via des clauses contractuelles. Les PME sous-traitantes ont intérêt à préparer leur documentation dès 2025, avant d'y être contraintes.

Les erreurs fréquentes à éviter

  • Attendre 2026 pour commencer : la mise en conformité d'un système à haut risque prend en moyenne 12 à 18 mois.
  • Confondre fournisseur et déployeur : les obligations diffèrent selon que vous développez ou utilisez un système d'IA. Un client qui configure finement un outil tiers peut basculer dans le rôle de déployeur, voire de fournisseur.
  • Négliger la formation : l'article 4 impose une obligation de « culture IA » aux fournisseurs et déployeurs. Des équipes non formées exposent l'entreprise à des non-conformités évitables.

Plan d'action synthétique par horizon

  • Maintenant – T1 2025 : inventaire des systèmes d'IA, vérification des interdictions, clause contractuelle fournisseurs.
  • T2-T3 2025 : classification des risques, identification des systèmes à haut risque, cartographie GPAI.
  • 2025-2026 : mise en place de la gestion des risques, documentation technique, mécanismes de supervision humaine.
  • Avant août 2026 : enregistrement dans la base EU, audit de conformité, formation des équipes.

L'AI Act calendrier entreprises n'est pas qu'une contrainte réglementaire : c'est aussi une opportunité de structurer une gouvernance IA crédible, facteur de confiance pour vos clients et partenaires. Les organisations qui anticipent aujourd'hui prendront une longueur d'avance significative.

FAQ

À partir de quand l'AI Act s'applique-t-il vraiment aux entreprises ?

Les premières obligations (pratiques interdites) sont effectives depuis février 2025. Les systèmes à haut risque devront être conformes avant août 2026, et certains produits réglementés bénéficient d'un délai jusqu'en août 2027.

Mon entreprise utilise ChatGPT en interne : est-elle concernée par l'AI Act ?

Oui, en tant que déployeur d'un modèle GPAI. Vous devez vous assurer que l'usage respecte les politiques d'utilisation acceptable, informer vos collaborateurs et vérifier que le fournisseur respecte ses propres obligations à partir d'août 2025.

Quelles sont les sanctions en cas de non-conformité ?

Les amendes peuvent atteindre 35 millions d'euros ou 7 % du chiffre d'affaires annuel mondial pour les violations les plus graves (systèmes interdits). Les manquements aux obligations des systèmes à haut risque exposent à des sanctions pouvant aller jusqu'à 15 millions d'euros ou 3 % du CA.

Une PME doit-elle vraiment se préoccuper de l'AI Act ?

Oui, même si des allégements sont prévus pour les PME et micro-entreprises. D'abord parce que les interdictions s'appliquent à tous. Ensuite parce que les donneurs d'ordre vont exiger des garanties contractuelles de leurs fournisseurs, quelle que soit leur taille.

Quelle est la différence entre fournisseur et déployeur dans l'AI Act ?

Le fournisseur développe ou met sur le marché un système d'IA. Le déployeur l'utilise dans un contexte professionnel. Les obligations sont distinctes, mais un déployeur qui modifie substantiellement un système peut basculer dans la catégorie fournisseur.