La conformité à l'AI Act est désormais une obligation en vigueur, et non une échéance lointaine. Le règlement est entré en vigueur le 1er août 2024, l'interdiction des systèmes à risque inacceptable s'applique depuis février 2025, et les règles pour les systèmes à haut risque arrivent en août 2026. Ce guide est le complément pratique de notre présentation de ce qu'est l'AI Act : il explique si vous entrez dans le champ d'application, comment classer vos systèmes d'IA, ce qu'exige chaque niveau de risque et les étapes pour être prêt à temps.
Vérifiez les détails au regard de votre propre situation. Le cadre est fixé, mais la manière dont un système est classé dépend de la façon dont vous le concevez et l'utilisez. Les exemples ci-dessous sont donc un point de départ pour votre propre évaluation.
L'AI Act s'applique-t-il à vous ?
Très probablement, dès lors que vous concevez, vendez ou utilisez des systèmes d'IA qui touchent des personnes dans l'UE. Comme le RGPD, le règlement s'applique au-delà des frontières de l'UE : une entreprise établie n'importe où entre dans le champ d'application dès que son système d'IA est mis sur le marché de l'UE ou que ses résultats concernent des personnes dans l'UE. Vos obligations dépendent de votre rôle dans la chaîne de valeur de l'IA :
- Fournisseurs : ils développent un système d'IA ou un modèle d'IA à usage général, ou le font développer, et le mettent sur le marché sous leur nom. Les fournisseurs portent les obligations les plus lourdes.
- Déployeurs : ils utilisent un système d'IA dans le cadre de leur activité. La plupart des entreprises qui intègrent une IA tierce relèvent de cette catégorie, avec des obligations plus légères mais réelles.
- Importateurs et distributeurs : ils introduisent un système d'IA depuis un pays tiers sur le marché de l'UE et doivent vérifier que le fournisseur a rempli ses obligations.
Un même système peut vous placer dans plusieurs rôles. Si vous adaptez ou renommez un modèle et le commercialisez comme le vôtre, vous pouvez devenir fournisseur même sans avoir conçu le modèle de base, ce qui alourdit nettement vos obligations.
Classez votre système d'IA : les quatre niveaux de risque
L'AI Act est fondé sur le risque. Votre première tâche concrète est donc de classer chaque système d'IA dans l'un des quatre niveaux, car tout le reste en découle. Le tableau résume les niveaux et ce qu'exige chacun. Pour le contexte complet sur ces niveaux, consultez la présentation de l'AI Act.
La plupart des IA d'entreprise relèvent des niveaux minimal ou limité, où la charge est faible. Le travail se concentre sur les systèmes à haut risque, d'où l'importance d'un classement rigoureux. Une manière structurée d'évaluer vos systèmes d'IA rend cette étape défendable plutôt qu'approximative.
Ce que doivent faire les fournisseurs de systèmes à haut risque
Si vous fournissez un système à haut risque, vous devez démontrer sa conformité avant sa mise sur le marché, puis le maintenir conforme en exploitation. Les obligations principales s'enchaînent :
- Système de gestion des risques. Mettez en place un processus continu pour identifier et atténuer les risques sur tout le cycle de vie du système.
- Gouvernance des données. Démontrez que les données d'entraînement, de validation et de test sont pertinentes, représentatives et correctement gérées.
- Documentation technique et journalisation. Produisez la documentation qui prouve la conformité et permettez un enregistrement automatique du fonctionnement du système.
- Contrôle humain et transparence. Concevez le système pour que des personnes puissent le comprendre et, au besoin, le neutraliser.
- Évaluation de la conformité et enregistrement. Réalisez l'évaluation (interne ou par un tiers selon le système), apposez le marquage CE et enregistrez le système dans la base de données de l'UE.
Les déployeurs de systèmes à haut risque ont aussi leurs propres obligations, dont le contrôle humain et la surveillance en exploitation. L'obligation ne s'arrête donc pas au fournisseur. Un système de management de l'IA aligné sur ISO 42001 vous donne une structure répétable pour tout cela, plutôt qu'un effort ponctuel.
Échéances de conformité à l'AI Act
Le règlement s'applique par étapes, et plusieurs sont déjà en vigueur. Rattachez chacun de vos systèmes à la date qui le régit pour que rien ne passe entre les mailles.
Deux dates méritent une attention immédiate. L'obligation de maîtrise de l'IA s'applique depuis février 2025 : le personnel qui conçoit ou utilise de l'IA devrait donc déjà être formé. Et les obligations à haut risque entrent en vigueur maintenant, ce dont la plupart des entreprises sous-estiment le délai de préparation.
Sanctions en cas de non-conformité
Les amendes sont graduées selon la gravité du manquement, et elles sont élevées. L'utilisation d'un système interdit peut coûter jusqu'à 35 millions d'euros ou 7 % du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu. Le manquement à la plupart des autres obligations, y compris les exigences à haut risque, peut atteindre 15 millions d'euros ou 3 % du chiffre d'affaires. La communication d'informations inexactes ou trompeuses aux autorités peut atteindre 7,5 millions d'euros ou 1 %. Pour les start-up et les PME, c'est le plus bas des deux montants qui s'applique, une concession délibérée aux plus petits innovateurs. L'exposition reste néanmoins importante.
Comment vous préparer : une checklist pratique
Atteindre la conformité à l'AI Act est une séquence, pas un projet unique. Cet ordre place en tête les décisions dont tout le reste dépend.
- Inventoriez votre IA. Recensez chaque système d'IA que vous concevez, achetez ou intégrez, y compris les outils utilisés sans validation formelle. Vous ne pouvez pas classer ce que vous n'avez pas identifié.
- Classez chaque système. Attribuez un niveau de risque et déterminez votre rôle (fournisseur, déployeur, importateur) pour chacun.
- Réalisez une analyse d'écarts. Pour les systèmes à haut risque et les GPAI, comparez la pratique actuelle aux obligations et listez ce qui manque.
- Mettez en place une gouvernance. Déployez un système de management de l'IA, idéalement aligné sur ISO 42001, pour que le contrôle, la documentation et la revue soient continus plutôt que ponctuels.
- Produisez la documentation. Constituez la documentation technique, les registres de risques et la journalisation qu'exige une évaluation de la conformité.
- Formez et surveillez. Remplissez l'obligation de maîtrise de l'IA pour le personnel concerné et surveillez les systèmes en exploitation pour maintenir le classement et les contrôles à jour.
Vous pouvez consulter le texte juridique complet via la base de données officielle du droit de l'UE et suivre les orientations de mise en œuvre sur les pages IA de la Commission européenne. Les deux méritent un signet, car des orientations continuent de paraître.
Prêt à être conforme avant les échéances ?
Kertos vous aide à atteindre la conformité à l'AI Act sans monter un programme séparé : constituer un inventaire d'IA, classer et évaluer chaque système et exploiter un système de management de l'IA aligné sur ISO 42001, avec des experts accrédités aux côtés de l'automatisation. Réservez une démo, et nous évaluerons vos systèmes d'IA et cartographierons vos obligations.
Questions fréquentes
Dois-je me conformer à l'AI Act ?
Si vous concevez, vendez ou utilisez de l'IA qui touche des personnes dans l'UE, oui. Comme le RGPD, le règlement s'applique au-delà des frontières de l'UE : être établi hors de l'UE ne vous exonère pas. Ce que vous devez dépend de votre rôle et du niveau de risque de chaque système.
Comment savoir si mon système d'IA est à haut risque ?
Un système est généralement à haut risque s'il est utilisé dans un domaine sensible listé par le règlement, comme le recrutement, la notation de crédit, les infrastructures critiques, les dispositifs médicaux, l'éducation ou le contrôle aux frontières, ou s'il est un composant de sécurité d'un produit réglementé. Sinon, il relève le plus souvent du risque limité ou minimal.
Quand l'AI Act s'applique-t-il ?
Il s'applique déjà par étapes. Les pratiques interdites le sont depuis février 2025 et les règles GPAI depuis août 2025. Les obligations à haut risque de l'annexe III s'appliquent à partir d'août 2026, les systèmes à haut risque intégrés à des produits suivant en août 2027.
Quelles sont les sanctions ?
Jusqu'à 35 millions d'euros ou 7 % du chiffre d'affaires mondial pour les systèmes interdits, jusqu'à 15 millions d'euros ou 3 % pour la plupart des autres manquements, et jusqu'à 7,5 millions d'euros ou 1 % pour des informations inexactes. Pour les PME et start-up, c'est le montant le plus bas qui s'applique.
Comment devenir concrètement conforme ?
Inventoriez votre IA, classez chaque système et votre rôle, réalisez une analyse d'écarts sur les systèmes à haut risque, mettez en place une gouvernance (idéalement un système de management de l'IA aligné sur ISO 42001), produisez la documentation requise et formez le personnel. En procédant comme un programme continu plutôt qu'une action ponctuelle, vous restez conforme à mesure que les systèmes évoluent.
Découvrez comment Kertos vous met en conformité avec l'AI Act avant les échéances : réservez une démo.







.png)