Log in
Sign up
Sumi-e manga lineart of a single brass legal seal resting on plain paper, symbolising the EU AI Act regulatory framework

Sections

Règlement IA de l’UE, le guide opérationnel pour la conformité 2026

L’essentiel

  • Le Règlement (UE) 2024/1689, dit règlement IA, est entré en vigueur le 1er août 2024 et devient pleinement applicable le 2 août 2026, les pratiques interdites étant déjà en vigueur depuis le 2 février 2025 et les obligations sur les modèles à usage général depuis le 2 août 2025 (Commission européenne).
  • Le texte mobilise quatre filtres indépendants : pratiques interdites (article 5), systèmes à haut risque (article 6 et annexe III), obligations de transparence (article 50), régime des modèles à usage général (chapitre V). Un même système peut déclencher plusieurs d’entre eux.
  • Les fournisseurs de systèmes à haut risque doivent mettre en place une gestion des risques continue, gouverner leurs données, documenter, journaliser, garantir une supervision humaine effective, conduire une évaluation de conformité et assurer un suivi post-commercialisation au sein d’un système de management de la qualité (article 17).
  • Les fournisseurs de modèles à usage général assument depuis août 2025 un socle d’obligations ; les modèles à risque systémique, identifiés par le seuil de 10^25 FLOPs ou par les critères de l’annexe XIII, supportent en plus une évaluation contradictoire, un signalement d’incidents et une obligation de cybersécurité (article 51).
  • Les sanctions atteignent le plus élevé de 35 M€ ou 7 % du chiffre d’affaires mondial pour les pratiques interdites, avec un plafond proportionné pour les PME et la possibilité de s’appuyer sur le code de conduite GPAI pour documenter sa conformité.

Ce que vise réellement le règlement IA

Le règlement IA, officiellement Règlement (UE) 2024/1689, est la première loi horizontale au monde sur l’intelligence artificielle. Il s’applique à tout système d’IA mis sur le marché européen ou dont la sortie est utilisée dans l’Union, peu importe le lieu d’établissement du fournisseur. Une start-up américaine, une plateforme britannique ou un industriel japonais entrent dans le champ dès lors qu’un utilisateur européen peut être affecté par les sorties du système. Le texte est entré en vigueur le 1er août 2024. Ses obligations s’activent par paliers : pratiques interdites au 2 février 2025, modèles à usage général au 2 août 2025, gros du régime (annexe III incluse) au 2 août 2026, puis intégration aux produits couverts par l’annexe I au 2 août 2027 (AI Act Service Desk). La Commission a publié deux interprétations contraignantes en février 2025. La première définit ce qu’est un système d’IA au sens de l’article 3, sur la base de sept caractéristiques : fonctionnement machine, autonomie, adaptativité, objectif, inférence, production de sorties, influence sur l’environnement (lignes directrices sur la définition). La seconde commente les huit pratiques interdites de l’article 5 (lignes directrices sur les pratiques interdites). Sans ces deux qualifications, la suite du texte ne s’appuie sur rien d’opérant. Le 7 mai 2026, le Conseil et le Parlement européen ont trouvé un accord politique pour simplifier le régime, notamment la charge documentaire pesant sur les PME (communiqué du Conseil). Les obligations de fond décrites dans ce guide ne changent pas ; ce sont les formalités d’implantation qui s’allègent.

Les quatre niveaux de risque, décodés

Le règlement ne range pas les IA dans quatre cases étanches. Il fait passer chaque système à travers quatre tests en parallèle, et le même système peut en échouer plusieurs. Chaque test fonctionne comme une porte indépendante.

Risque inacceptable, article 5

L’article 5 interdit huit familles de pratiques, avec des exceptions strictes : manipulation subliminale entraînant un préjudice significatif, exploitation de vulnérabilités liées à l’âge ou au handicap, scoring social par les autorités publiques, police prédictive basée uniquement sur le profilage, moissonnage non ciblé d’images faciales pour alimenter des bases de reconnaissance, reconnaissance d’émotion sur le lieu de travail et à l’école, catégorisation biométrique infirmant des attributs sensibles, identification biométrique à distance en temps réel dans l’espace public (article 5). Ces interdictions s’appliquent depuis le 2 février 2025.

Haut risque, article 6 plus annexes I et III

Un système est qualifié de haut risque dans deux cas. D’abord, lorsqu’il est composant de sécurité d’un produit ou constitue lui-même un produit régulé par le droit sectoriel listé à l’annexe I (dispositifs médicaux, machines, jouets, automobile, aviation). Ensuite, lorsqu’il relève de l’un des huit domaines autonomes de l’annexe III : biométrie, infrastructures critiques, éducation et formation professionnelle, emploi et gestion des travailleurs, accès aux services essentiels, application de la loi, migration et contrôle aux frontières, administration de la justice et processus démocratiques (article 6, annexe III).

Risque de transparence, article 50

Les IA à enjeux moindres qui interagissent avec des personnes ou produisent du contenu synthétique doivent se signaler. Les agents conversationnels doivent indiquer leur nature de machine. Les images, audios et vidéos générés par IA, y compris les hypertrucages, doivent porter une marque de provenance lisible par machine.

Risque minimal

Tout le reste, qui constitue encore l’immense majorité des usages, échappe à toute obligation. Le texte cite explicitement les filtres anti-spam et l’IA dans les jeux vidéo. La Commission encourage des codes volontaires, mais aucun coût de conformité n’est exigé. Cinq questions courtes permettent un premier tri : l’usage est-il visé par l’article 5 ? relève-t-il de l’annexe I ou de l’annexe III ? est-il un modèle à usage général en soi ? produit-il du contenu ressemblant à du contenu humain ? touche-t-il une personne qui mérite d’être informée ? Chaque oui déclenche une voie parallèle.

Qui porte les obligations : fournisseur, déployeur, importateur, distributeur

Le règlement distingue quatre rôles d’opérateurs, dont la charge diffère très fortement. Un fournisseur développe le système ou le fait développer, puis le met sur le marché sous son nom. Il assume la plus lourde charge : documentation technique, évaluation de conformité, marquage CE, déclaration de conformité, suivi post-commercialisation, inscription dans la base de données UE des systèmes à haut risque, signalement d’incidents. La machinerie haute du règlement vit ici. Un déployeur utilise le système dans le cadre d’une activité professionnelle. Ses obligations sont plus légères mais bien réelles : assurer l’effectivité de la supervision humaine, suivre les instructions d’utilisation, monitorer l’opération, conserver les journaux quand cela est exigé, conduire une évaluation d’impact sur les droits fondamentaux pour certains systèmes de l’annexe III, et informer les travailleurs concernés lorsque le système est déployé dans leur environnement de travail. Un importateur met sur le marché européen un système conçu par un fournisseur établi hors Union. Il vérifie que le travail de conformité amont a été conduit, que la documentation est complète et que les points de contact sont opérationnels. Un distributeur met le système à disposition sur la chaîne sans le modifier. Il s’assure que le marquage CE et les documents requis accompagnent le produit, et signale au reste de la chaîne tout doute sérieux sur la conformité. La proportionnalité PME est intégrée au texte. Les PME et start-up bénéficient d’un accès prioritaire aux bacs à sable, de frais réduits auprès des organismes notifiés, et du plafond bas pour le calcul des amendes. Cela n’efface pas les obligations, cela en réduit le coût. Si vous achetez l’IA plutôt que vous ne la construisez, vous êtes presque toujours déployeur, et vos contrats doivent tirer les preuves du fournisseur par écrit. La plateforme de gouvernance IA d’AI Sigil est bâtie autour de cette circulation de preuves : le déployeur montre sa partie sans reconstruire la pile du fournisseur.

Obligations pour les systèmes à haut risque

Les fournisseurs de systèmes à haut risque concentrent l’essentiel des obligations. Elles s’organisent en blocs qui se laissent traduire directement en contrôles opérationnels. Gestion des risques, article 9. Processus continu et itératif, qui couvre tout le cycle de vie. Côté exécution : un registre des risques documenté, des revues périodiques calées sur les livraisons, et la preuve que les risques résiduels ont été communiqués aux déployeurs. Données et gouvernance des données, article 10. Les jeux d’entraînement, de validation et de test doivent être pertinents, représentatifs, aussi exempts d’erreurs et complets que faisable, avec une documentation des étapes de préparation. En pratique : fiches jeu de données, journaux de sourcing, diagnostics de biais, politiques de rétention. Documentation technique, article 11 et annexe IV. Un dossier de conception complet : description générale, finalité, choix d’architecture, validation, plan de suivi post-commercialisation. Le dossier est tenu à jour. Tenue de registres, article 12. Journalisation automatique de l’exploitation pendant toute la durée de vie du système, qui permet la traçabilité des sorties. Transparence et information du déployeur, article 13. Des instructions d’utilisation claires couvrant les caractéristiques, les capacités, les limites et le niveau de précision attendu. Supervision humaine, article 14. Pensée dès la conception, avec des mesures proportionnées au risque, pour qu’un être humain puisse intervenir, interpréter, neutraliser ou stopper. Exactitude, robustesse et cybersécurité, article 15. Objectifs de performance définis et publiés, résilience aux erreurs et aux incohérences, mesures de cybersécurité adaptées à la surface d’attaque, en particulier contre l’empoisonnement de données, les exemples adversariaux et l’inversion de modèle. Système de management de la qualité, article 17. L’ossature qui tient le reste. Un ensemble documenté de politiques, procédures, responsabilités, et journaux d’audit. C’est ici que l’alignement à ISO/IEC 42001 paie le plus. Évaluation de conformité, article 43. Contrôle interne pour la plupart des systèmes de l’annexe III ; évaluation par un organisme notifié pour l’identification biométrique et certains produits relevant de l’annexe I. Résultats : marquage CE, déclaration UE de conformité, inscription en base UE. Suivi post-commercialisation et signalement d’incidents. Les données d’opération remontent au fournisseur ; les incidents graves sont notifiés aux autorités nationales dans des délais brefs. Chacun de ces blocs est, opérationnellement, une famille de contrôles : un propriétaire, une politique, un artefact de preuve, une cadence de rafraîchissement. C’est à ce niveau qu’une plateforme de gouvernance révèle sa valeur.

Modèles à usage général et risque systémique

Les modèles à usage général, les modèles de fondation en amont de nombreuses applications, bénéficient de leur propre chapitre. Socle de l’article 53, applicable à tout modèle mis sur le marché européen depuis le 2 août 2025 : documentation technique pour l’AI Office et les fournisseurs aval, politique de respect du droit d’auteur conforme au droit européen, résumé suffisamment détaillé du contenu d’entraînement. Les modèles open source bénéficient d’une exemption partielle, le respect du droit d’auteur et le résumé d’entraînement restant exigibles. Classification à risque systémique, article 51. Un modèle est présumé disposer de capacités à fort impact, et donc de risque systémique, lorsque le calcul cumulatif d’entraînement dépasse 10^25 opérations à virgule flottante. La Commission peut aussi désigner un modèle selon les critères de l’annexe XIII : nombre d’utilisateurs, taille paramétrique, jalons de capacité, dépendances aval (article 51). Obligations renforcées de l’article 55 pour les modèles à risque systémique : évaluation standardisée incluant les tests adversariaux, évaluation et mitigation des risques au niveau de l’Union, signalement des incidents graves à l’AI Office, cybersécurité robuste du modèle et de son infrastructure (article 55). La Commission a publié le code de conduite GPAI le 10 juillet 2025 (page du code). Sa signature est volontaire, mais les signataires l’utilisent comme moyen adéquat de démontrer la conformité aux articles 53 et 55, ce qui allège la charge documentaire vis-à-vis de l’AI Office.

Gouvernance et sanction : AI Office, autorités nationales, amendes

L’application du règlement repose sur deux étages. L’AI Office, logé dans la Commission, exerce directement l’application des règles GPAI (chapitre V). Chaque État membre désigne une ou plusieurs autorités de surveillance du marché pour le reste. Certains États ont créé un régulateur IA dédié ; d’autres ont confié le sujet aux autorités de protection des données ou à des régulateurs sectoriels (autorités de surveillance du marché). À partir du 2 août 2026, ces autorités peuvent auditer la documentation des fournisseurs, accéder aux jeux d’entraînement et de validation, et, dans des cas précis, demander accès au code source. Elles peuvent ordonner des mesures correctives, restreindre ou retirer un système du marché, et infliger des amendes. L’article 99 échelonne les amendes en trois paliers (article 99) :

  • Pratiques interdites : jusqu’à 35 M€ ou 7 % du chiffre d’affaires mondial, montant le plus élevé.
  • Manquement aux exigences haut risque ou aux obligations de transparence : jusqu’à 15 M€ ou 3 %.
  • Information incorrecte, incomplète ou trompeuse aux autorités : jusqu’à 7,5 M€ ou 1 %.

Les PME et start-up bénéficient du plafond bas dans chaque palier. Le texte impose aussi aux États membres de mettre en place un bac à sable réglementaire national d’ici le 2 août 2026, pour permettre aux fournisseurs plus petits de tester des systèmes à haut risque sous supervision avant la pleine charge de conformité.

Crosswalk vers ISO/IEC 42001 et NIST AI RMF

Personne ne construit la gouvernance IA contre le seul règlement. La plupart des équipes combinent trois références : ISO/IEC 42001 pour le système de management, NIST AI RMF pour la gestion opérationnelle des risques, le règlement IA pour le socle légal. La relation est en couches. Le NIST AI RMF fournit la méthodologie opérationnelle, les fonctions Govern-Map-Measure-Manage, et un vocabulaire de traitement du risque. ISO/IEC 42001, publié en 2023, est la première norme internationale de système de management de l’IA ; sa certification est la voie la plus propre pour démontrer une maturité organisationnelle. Le règlement IA transforme ces pratiques volontaires en obligation légale pour le haut risque et les GPAI. Une correspondance utilisable au niveau des obligations :

  • Article 9 gestion des risques ↔ NIST AI RMF Map et Measure ↔ ISO/IEC 42001 clauses 6.1 et 8.
  • Article 10 gouvernance des données ↔ NIST AI RMF Map 4 ↔ contrôles de l’annexe B d’ISO/IEC 42001.
  • Article 11 documentation technique ↔ NIST AI RMF Manage 4 ↔ clause 7.5 d’ISO/IEC 42001.
  • Article 14 supervision humaine ↔ NIST AI RMF Govern 1 ↔ contrôle ISO/IEC 42001 sur les rôles de supervision.
  • Article 17 système de management de la qualité ↔ toute la coque ISO/IEC 42001.

L’organisme européen de normalisation CEN-CENELEC prépare une norme harmonisée, prEN 18286, qui formalisera le pont entre ISO/IEC 42001 et l’évaluation de conformité du règlement. Publication attendue en 2026. En attendant, ISO/IEC 42001 se cartographie déjà assez clairement pour servir d’ossature.

Calendrier d’application, trimestre par trimestre

La plupart des responsables conformité ont besoin d’un plan projet, pas d’un paragraphe. Voici le calendrier sous forme opérationnelle.

  • T1 2025 (en vigueur). Pratiques interdites (article 5) et obligations de littératie IA (article 4) applicables. Passez votre inventaire au crible des huit interdictions et fermez ou redessinez radicalement tout système concerné.
  • T3 2025 (en vigueur). Obligations GPAI de l’article 53 actives pour les nouveaux modèles. Gouvernance opérationnelle (AI Office, autorités nationales). Si vous êtes fournisseur de modèle, votre dossier technique et votre politique de droit d’auteur doivent déjà exister.
  • T3 2026 (à huit semaines). Application du gros du régime. Chaque système à haut risque de l’annexe III sur le marché réclame un dossier d’évaluation de conformité complet, le marquage CE, l’inscription en base UE et une boucle active de suivi post-commercialisation. Bac à sable réglementaire national opérationnel.
  • T3 2027. Obligations haut risque étendues aux IA intégrées aux produits couverts par l’annexe I (dispositifs médicaux, machines, jouets, automobile). Les organismes notifiés sectoriels valident les composants IA.

L’accord politique du 7 mai 2026 ne déplace pas ces dates. Il allège la paperasse autour du parcours PME et certaines attentes documentaires de l’annexe III.

Comment lancer la conformité en 90 jours

Si vous partez de zéro en milieu d’année 2026, quatre étapes priment avant de viser la perfection.

  1. Construisez un inventaire IA. Listez tout système en production, en pilote, et en pipeline d’achat. Tagguez chacun avec son rôle (interne, acheté, embarqué dans un SaaS), sa fonction et les données personnelles touchées.
  2. Classez chaque système selon les quatre tests parallèles. Article 5, article 6 plus annexe III, article 50, chapitre V. Une feuille de calcul suffit à ce stade.
  3. Faites une analyse d’écarts sur les candidats haut risque et GPAI au regard des articles 9 à 17 (et 53 à 55 si vous êtes fournisseur de modèle). Marquez chaque obligation présent, partiel, manquant, et attribuez un propriétaire.
  4. Érigez une charpente de preuves, idéalement sur un système de management ISO/IEC 42001. Chaque obligation réclame une politique, un rôle, un artefact, une cadence. C’est cette charpente, pas l’analyse juridique, qui sera auditée en 2026.

Si ISO/IEC 42001 est déjà en place, vous avez fait environ 60 % du chemin. Ajoutez les artefacts spécifiques au règlement (dossier d’évaluation de conformité, inscription en base UE, plan de suivi post-commercialisation, processus de signalement d’incident) et la boucle se ferme.

Questions fréquentes

À partir de quand le règlement IA s’applique-t-il ? Le règlement est entré en vigueur le 1er août 2024 et devient pleinement applicable le 2 août 2026. Les pratiques interdites sont en vigueur depuis le 2 février 2025 ; les obligations GPAI depuis le 2 août 2025. L’intégration aux produits de l’annexe I opère au 2 août 2027. Les pouvoirs d’application de la Commission s’allument avec le gros du régime en août 2026. Le règlement s’applique-t-il hors de l’Union européenne ? Oui. Il s’applique de façon extraterritoriale à tout fournisseur qui met un système d’IA sur le marché européen, et à tout déployeur ou fournisseur dont les sorties d’IA sont utilisées dans l’Union, peu importe le lieu d’établissement. Un éditeur américain avec un seul utilisateur européen est dans le champ, comme le RGPD pour les données personnelles. Qu’est-ce qu’un système d’IA à haut risque ? Il s’agit d’un système dans deux cas. D’abord, lorsqu’il est composant de sécurité ou produit lui-même couvert par le droit sectoriel de l’annexe I (dispositifs médicaux, machines, automobile). Ensuite, lorsqu’il relève des huit domaines de l’annexe III : biométrie, infrastructures critiques, éducation, emploi, services essentiels, application de la loi, migration et frontières, justice et processus démocratiques. Le haut risque concentre l’essentiel des obligations du texte. Que change le régime des modèles à usage général ? Tout modèle à usage général mis sur le marché européen depuis le 2 août 2025 doit publier une documentation technique, une politique de droit d’auteur et un résumé suffisamment détaillé du contenu d’entraînement. Les modèles classés à risque systémique au sens de l’article 51, soit aujourd’hui ceux entraînés avec plus de 10^25 FLOPs, supportent en plus une évaluation contradictoire, le signalement d’incidents graves à l’AI Office et la mitigation des risques au niveau de l’Union. Signer le code de conduite GPAI est un moyen adéquat de démontrer la conformité. Quelles sont les sanctions ? L’article 99 définit trois paliers. Les pratiques interdites exposent à 35 M€ ou 7 % du chiffre d’affaires mondial, montant le plus élevé. Les manquements aux exigences haut risque ou aux obligations de transparence sont plafonnés à 15 M€ ou 3 %. Une information trompeuse aux autorités est plafonnée à 7,5 M€ ou 1 %. Les PME bénéficient du plafond bas. Les autorités nationales peuvent en parallèle ordonner des mesures correctives ou le retrait du marché. Quelle articulation avec ISO 42001 et le NIST AI RMF ? Les trois référentiels sont complémentaires. NIST AI RMF est un cadre opérationnel de gestion des risques. ISO/IEC 42001 est la norme de système de management, la façon la plus propre d’industrialiser la gouvernance. Le règlement IA constitue le socle légal. Une équipe qui opère un système ISO/IEC 42001 et utilise NIST AI RMF pour la méthodologie de risque satisfait la plus grande partie des attentes documentaires et processus du règlement ; il lui reste à ajouter les artefacts spécifiques (dossier d’évaluation, inscription en base UE, signalement d’incidents) pour boucler.

Conclusion

Le règlement IA pose une question qu’aucun opérateur ne peut esquiver : quel usage de l’IA êtes-vous prêt à défendre par écrit ? Le texte n’invente pas la gouvernance, il la rend auditable. Les équipes qui couplent un système de management ISO/IEC 42001 à une circulation de preuves propre absorberont 2026 comme une formalité. Celles qui attendront la mise en application découvriront que l’évaluation de conformité, l’inscription en base UE et le suivi post-commercialisation ne se rétroinstallent pas dans l’urgence. Lancez l’inventaire, classez vos systèmes selon les quatre tests parallèles, et choisissez le référentiel qui transforme chaque obligation en contrôle. Le règlement vous fournit les standards ; il reste à vous les approprier.

Mathieu Lefebvre

Le risque majeur de l’IA générative : pourquoi les hallucinations dominent toutes les autres défaillances

Le risque dominant de l'IA générative n'est ni le biais ni la propriété intellectuelle. C'est l'hallucination. Voici pourquoi, et ce qu'un déployeur doit faire.

Shadow AI : pourquoi l’IA fantôme est d’abord un problème de gouvernance

Le Shadow AI casse les obligations d'inventaire du règlement IA, d'ISO 42001 et du NIST RMF. Comment le découvrir et l'inscrire au registre.

Règlement IA de l’UE, le guide opérationnel pour la conformité 2026

Le Règlement 2024/1689 expliqué aux opérateurs. Catégories de risque, IA à usage général, évaluation de conformité, sanctions et calendrier 2026.

Cadre réglementaire de l’IA en 2026 : le manuel de l’opérateur

Cartographier les obligations IA par type. Transparence, risque, surveillance dans le règlement européen, NIST, ISO 42001 et la Convention du Conseil de l'Europe.

Outils de gouvernance IA en 2026 : la plateforme de conformité et l’écosystème autour d’elle

Les outils de gouvernance IA forment deux strates : une plateforme native conformité et des outils complémentaires. Cartographie selon votre rôle EU AI Act / ISO 42001 / NIST AI RMF.

Le règlement européen sur l’intelligence artificielle : manuel opérationnel pour fournisseurs et déployeurs

Le règlement européen sur l'IA, décodé par rôle. Fournisseur, déployeur, GPAI : qui doit faire quoi, à quelle date, avec quel artefact de gouvernance.