AI Act : définition, niveaux de risque et calendrier 2026

Verdict en 30 secondes

L'AI Act est le RGPD de l'intelligence artificielle. Toute entreprise qui utilise de l'IA en Europe est concernée, au minimum par l'obligation de former son personnel, déjà en vigueur. Le 2 août 2026 active les pouvoirs de sanction et la majorité des obligations. Un point de vigilance : le paquet Digital Omnibus discuté en 2026 pourrait reporter certaines obligations haut risque, mais pas les fondamentaux. Le bon réflexe, comme pour le RGPD, est de cartographier vos systèmes d'IA et de qualifier leur niveau de risque sans attendre.

Qu'est-ce que l'AI Act

L'AI Act est le règlement européen sur l'intelligence artificielle, officiellement le Règlement UE 2024/1689. C'est le premier cadre juridique mondial dédié à l'IA. Entré en vigueur le 1er août 2024, il s'applique de façon progressive sur plusieurs années. Son principe est simple : plus un usage de l'IA présente de risques pour les personnes, plus les obligations qui l'encadrent sont lourdes.

Comme le RGPD pour les données personnelles, l'AI Act ne s'applique pas à une entreprise dans son ensemble, mais à chaque système d'IA selon son usage. Une même organisation peut donc avoir des outils à risque minimal et un outil à haut risque, soumis à des obligations très différentes.

Quels sont les 4 niveaux de risque de l'AI Act

Le règlement classe les usages en quatre catégories.

Risque inacceptable : usages interdits depuis février 2025 (notation sociale, manipulation comportementale, certaines surveillances biométriques). Haut risque : huit domaines de l'annexe III (recrutement, crédit, éducation, justice, biométrie) avec des obligations lourdes de documentation, supervision humaine et traçabilité. Risque limité : chatbots et génération de contenu, avec une obligation principale d'informer l'utilisateur qu'il interagit avec une IA. Risque minimal : la majorité des usages courants, sans contrainte particulière.

Quelles sont les dates clés de l'AI Act

Quatre échéances structurent le calendrier d'application.

Point de vigilance majeur : un paquet législatif appelé Digital Omnibus est en discussion en 2026 et propose de reporter certaines obligations pour les systèmes à haut risque de l'annexe III. Ce report éventuel ne concerne ni l'obligation de maîtrise de l'IA, ni les interdictions, ni a priori les pouvoirs de sanction du 2 août 2026. Le calendrier reste mouvant : se reposer sur un report serait risqué.

Quelles sanctions prévoit l'AI Act

Les sanctions sont graduées selon la gravité du manquement. Pour les pratiques interdites, elles peuvent atteindre 35 millions d'euros ou 7 % du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu. Les pouvoirs de sanction de la Commission s'activent à partir du 2 août 2026. En France, les autorités désignées incluent la CNIL, la DGCCRF et l'Arcom. Comme pour le RGPD, l'objectif affiché est une application proportionnée, tenant compte de la nature et de la gravité de l'infraction.

Quel choix selon votre profil

Salarié ou indépendant : vous êtes concerné par l'obligation de maîtrise de l'IA. Comprendre les niveaux de risque et les usages interdits fait partie d'un usage professionnel responsable.

Dirigeant de TPE ou PME : votre première obligation, déjà active, est de former votre personnel. Ensuite, qualifiez chaque usage d'IA pour savoir si vous tombez dans le haut risque, qui impose des obligations bien plus lourdes.

ETI ou grand groupe : l'AI Act est un chantier de gouvernance à part entière. Cartographie des systèmes, qualification des risques, documentation, supervision humaine et veille réglementaire dans un contexte mouvant.

Les pièges à éviter

Premier piège : croire qu'on n'est pas concerné. Dès qu'un salarié utilise ChatGPT ou un CRM prédictif, l'entreprise est soumise à l'obligation de maîtrise de l'IA.

Deuxième piège : compter sur le report. Le Digital Omnibus pourrait décaler certaines obligations haut risque, mais les fondamentaux restent en vigueur. Attendre est un pari.

Troisième piège : ignorer la shadow AI. Les outils adoptés par les équipes sans validation échappent à la cartographie et créent un angle mort réglementaire.

Ce que Studeria retient

L'AI Act n'a rien d'insurmontable pour qui a déjà traversé le RGPD. La bonne posture n'est pas l'attentisme, c'est l'anticipation méthodique. Recenser les outils, qualifier les risques, former les équipes : trois chantiers concrets qui transforment une contrainte réglementaire en cadre clair. L'incertitude autour du Digital Omnibus ne doit pas servir d'excuse à l'inaction, car les obligations de base sont déjà actives. Un audit IA permet de réaliser cette cartographie et de prioriser selon votre exposition réelle. La conformité protège ceux qui s'y prennent tôt. Elle pénalise ceux qui attendent la sanction.

Pour aller plus loin

Lectures internes Studeria : AI Act Article 50, la checklist avant le 2 août 2026, acculturation IA, définition et méthode, formation IA en entreprise, hallucination IA, définition et solutions.

Sources externes : le texte officiel du Règlement UE 2024/1689, la Commission européenne sur l'AI Act.

Studeria accompagne les entreprises dans la mise en conformité et la formation à l'IA : parcours Audit IA, Formation IA Entreprise.