AI Act 2026 : Guide complet de conformité IA pour les entreprises

Qu'est-ce que l'AI Act (Artificial Intelligence Act) ?

Une définition de l’AI Act

L'AI Act (ou Règlement sur l'Intelligence Artificielle) est une réglementation européenne qui encadre le développement, la commercialisation et l'utilisation des systèmes et modèles d'intelligence artificielle au sein de l'Union européenne.

Ce règlement s'applique avant la mise sur le marché : il s'agit de s'assurer que les produits et services intégrant de l'IA respectent les droits fondamentaux avant qu'ils n'arrivent entre les mains des utilisateurs. En effet, l’utilisation des systèmes d’IA (SIA) peut comporter des risques comme des biais cognitifs, des conséquences sur la protection des données personnelles ou encore des discriminations.

Bon à savoir : Les activités de recherche sans objectif commercial ne sont pas concernées. L'AI Act vise uniquement à réguler les produits destinés au marché.

🔄 Mise à jour majeure (janvier 2026) : Cet article a été entièrement actualisé avec le calendrier d'application 2026, les autorités françaises désignées (CNIL, DGCCRF, Arcom), les nouvelles obligations GPAI, et les dernières directives de la Commission européenne.

L'intelligence artificielle ne cesse de transformer nos vies et nos entreprises. Mais cette révolution technologique s'accompagne de risques qu'il est essentiel d'encadrer.

C'est pour cette raison que l'Union européenne a adopté l'AI Act le 13 juin 2024. Il s'agit du premier cadre juridique mondial sur l'intelligence artificielle. Entré en vigueur le 1er août 2024, l'AI Act sera pleinement applicable le 2 août 2026 – soit dans 7 mois ! Si vous développez, intégrez ou utilisez des systèmes d'IA dans votre entreprise, vous êtes directement concerné.

Le règlement instaure un "label CE pour l'IA" : sans lui, impossible de commercialiser certaines solutions d'IA en Europe. L'objectif ? Garantir une conception et une utilisation éthique de l'IA tout en protégeant les droits fondamentaux des citoyens européens.

AI Act en chiffres (2025-2026)

Adoption et calendrier

• 13 juin 2024 : Adoption par le Parlement et le Conseil européen
• 1er août 2024 : Entrée en vigueur officielle
• 2 février 2025 : Interdictions IA à risque inacceptable (En vigueur)
• 2 août 2025 : Obligations modèles GPAI (ChatGPT, Claude...) (En vigueur)
• 2 août 2026 : Application complète IA à haut risque
• 2 août 2027 : IA à haut risque Annexe I (dispositifs médicaux, jouets...)

Impact pour les entreprises

• Premier cadre juridique mondial sur l'IA
• 27 États membres de l'UE concernés
• Application extraterritoriale : Si vous vendez en UE, vous êtes concerné (même hors UE)
• Sanctions jusqu'à 35M€ ou 7% du CA mondial

Autorités françaises désignées

• CNIL : Protection données, biométrie, scoring, catégorisation
• DGCCRF : Manipulation, transparence, hypertrucages
• Arcom : Contenus générés par IA, deepfakes médiatiques
• Anssi : Cybersécurité (consultation)

Dans ce guide, nous aborderons les points suivants : 

• La définition de l’AI Act ; 
• Les différents niveaux de risques ;  
• Le calendrier d'application détaillé 2026-2027
• Les obligations concrètes par niveau de risque
• Un guide pratique de mise en conformité en 10 étapes
• Les sanctions et exemples réels

Quels sont les objectifs de l'AI Act ?

L'AI Act poursuit trois objectifs principaux :

1. Protéger les droits fondamentaux

Garantir que l'IA respecte :

• La dignité humaine
• La liberté d'expression
• Le droit à la vie privée
• La non-discrimination
• L'égalité femmes-hommes

2. Assurer la sécurité

Minimiser les risques liés à l'IA :

• Biais algorithmiques
• Discriminations
• Manipulations
• Atteintes à la santé et la sécurité

3. Favoriser l'innovation responsable

Créer un cadre juridique clair et prévisible pour que les entreprises européennes puissent innover en confiance, tout en protégeant les citoyens.

AI Act vs RGPD : Quelle différence ?

Aujourd'hui, le RGPD ne s'applique qu'aux données personnelles. L'AI Act vient combler un vide juridique et de protection concernant les intelligences artificielles dont l'utilisation ne cesse de croitre. L'AI Act est donc complémentaire au RGPD.

Qui est concerné par l'AI Act ?

La mise en conformité à l’AI Act concerne : 

• toutes les organisations (entreprises, associations, organismes de recherche, etc.) qui fournissent, distribuent ou encore déploient, des systèmes d’IA;  
• dont le siège social est situé dans l’un des états membres de l'Union Européenne;  
• et/ou qui commercialisent des SIA sur le marché intérieur de l’Union Européenne. 

Exemple : Une entreprise américaine qui vend un logiciel de recrutement par IA à des entreprises françaises est soumise à l'AI Act.

Quels sont les systèmes concernés par l'AI Act ?

Tous les systèmes et modèles d'IA sont concernés, mais avec des niveaux d'obligations différents selon leur niveau de risque.

En effet, les obligations incombant à l’organisme dépendent du niveau de risque que présente le système ou le modèle d’IA. 

L’AI Act a identifié 4 niveaux de risques auxquels correspondent 4 niveaux de mise en conformité :

1. IA à risque inacceptable : Ces systèmes contreviennent aux valeurs de l'UE et portent atteinte aux droits fondamentaux. Il s’agit notamment des systèmes de scoring social à usage général. 
   
2. IA à haut risque :  l' annexe iii définit 8 grands domaines d’activités identifiés comme à “haut risque”. Il s’agit notamment : 
   
   1. des systèmes de scoring social : scoring social bancaire ou logiciel de tri de CV  par exemple, 
   2. des identifications biométriques ;
   3. des systèmes de manipulation de contenu, 
   4. des infrastructures susceptibles de mettre en danger la vie et la santé des personnes : système de navigation dans les transports par exemple, 
   5. ou encore des composants de sécurité des produits : IA de chirurgie par exemple. 

3. IA à risque faible : Une IA à risque faible est un système d’IA interagissant avec les personnes physiques et n’étant ni à risque inacceptable, ni à haut risque. Il s’agit par exemple des deepfakes à vocation artistique, c’est-à-dire des techniques de synthèse multimédia reposant sur l’intelligence artificielle, ou encore les chatbots.
   
4. IA à risque minime : Il s'agit de tous les autres systèmes d'IA n’entrant pas dans les autres catégories. Il s’agit par exemple des filtres anti-spam pour empêcher les e-mails indésirables. La majeure partie des systèmes d’intelligence artificielle actuellement utilisés dans l’UE relèvent de cette catégorie.
   
   

💡 Cas de Chat GPT 
ChatGPT est une IA générative capable de générer du texte et des images à la demande des utilisateurs d’après un prompt. Cette solution est considérée comme un système d’IA à haut risque car elle pose des défis éthiques. 
En effet, cette technologie peut contribuer à des usages abusifs ou détournés : manipulation de la population via la création de fake news, de deepfake ou de nudges (outil conçu pour modifier les comportements sous la forme d’une incitation). Chaque niveau de risque détermine un niveau de mise en conformité spécifique. 

Quels sont les 4 niveaux de risque de l'AI Act ?

L'AI Act classe les systèmes d'IA en 4 catégories de risque, chacune avec ses propres obligations.

Niveau 1 : L’IA à risque inacceptable

Les systèmes et modèles d’IA à risque inacceptable sont tout simplement interdits. Ce sont les systèmes d'IA qui contreviennent aux valeurs de l'UE et portent atteinte aux droits fondamentaux.Ils ne peuvent donc pas être commercialisés au sein de l’Union européenne. De plus, si l’entreprise a son siège en UE, ces produits sont également interdits à l'exportation.

Exemples :
❌ Scoring social par les gouvernements : Notation généralisée des citoyens
❌ Exploitation des vulnérabilitésIA ciblant les personnes en raison de leur âge, handicap, situation sociale
❌ Scraping d'images facialesConstituer des bases de reconnaissance faciale à partir d'internet ou vidéosurveillance

Date d'application : le 2 février 2025

Niveau 2 : L’IA à haut risque 

Cela concernant les systèmes d'IA susceptibles d'avoir un impact significatif sur la santé, la sécurité ou les droits fondamentaux des personnes.

Il existe aujourd'hui 8 domaines considérés à haut risque :

• Identification et catégorisation biométrique (reconnaissance faciale, vocale...)
• Gestion d'infrastructures à haut risque (réseaux d'eau, gaz, éléctricité, et réseaux routiers)
• Education et formation professionnelle (système d'orientation scolaire, notation d'étudiants...)
• Emploi et gestion de travailleurs (tri automatique de CV, analyse de candidature, évaluation de salariés...)
• Accès aux services publics et privés essentiels (évaluation de l'éligibilité aux aides sociales, scoring de crédit...)
• Application de la loi (recevabilité des preuves, profilage d'enquête, ...)
• Migration, demande d'asile, contrôles aux frontières
• Administrations de justice

🔎 Exemple de la notation de crédit : Une banque veut créer une IA de notation de crédit afin d’évaluer la solvabilité des demandeurs de crédit. Pour cela, elle collecte des données sensibles auprès de ses clients (historique de crédit, revenus, emplois, voire données de santé). Le SIA définit les conditions permettant d’obtenir un prêt. Or, ce système peut conduire à des discriminations et des biais.  

⏳ Délai de mise en conformité : 2 août 2026 (Annexe II) et 2août 2027 (Annexe III)
‍

Niveau 3 : IA à risque limité

Cela concerne les systèmes d'IA qui interagissent avec les utilisateurs mais ne présentent pas de risque élevé : Chatbot, systèmes de recommandation de contenu, détecteur de plagiat.
Si vous souhaitez commercialiser un système d’intelligence artificielle à risque faible, vous devez simplement vous acquitter d’une obligation d'information des utilisateurs sur le fait que le contenu a été généré par IA. 

🔎 Exemple : Mention "Cette conversation est gérée par un assistant virtuel" ou "Cette image a été générée par IA".

⏳ Délai de mise en conformité : 2 août 2026

‍

Niveau 4 : IA à risque minime 

Ce sont les systèmes d'IA qui ne présentent pas de risque identifié pour les droits et libertés des personnes : filtres anti-spam, correcteurs orthographiques, IA de jeux vidéos...
Les systèmes et modèles d’IA à risque minime n’ont pas d’obligation particulière à respecter. Il est simplement recommandé de mettre en place et de respecter un code de conduite applicable à tous les SIA ayant des finalités similaires : transparence, confidentialité, sécurité.

Ce code doit être construit sur la base d’objectifs et d’indicateurs clés de performance permettant de mesurer la réalisation de ses objectifs. C’est à vous de définir ces objectifs. Par exemple :  transparence, confidentialité ou encore durabilité. 

🔎 Exemple du filtre anti-spam : Le système de filtre anti-spam consiste à élaborer un algorithme qui va classer les mails selon qu’ils doivent atterrir dans la boîte de réception ou dans les indésirables. En soi, cette IA ne présente pas de danger spécifique pour les personnes. Toutefois, il est quand même conseillé de respecter un code de conduite.  

‍
⏳ Délai de mise en conformité : 2026

Application de la loi sur l’intelligence artificielle : les bonnes pratiques 

Pour vous mettre en conformité avec l’AI Act, voici les étapes à suivre : 

1- Réaliser une cartographie des systèmes d'IA  

Les obligations de mise en conformité prévues dans l’AI Act s’appliquent à chaque système d’IA et non à l’entreprise dans son ensemble. Il est donc conseillé de réaliser une cartographie de tous les systèmes d’IA existants. Ces principes s’appliquant “by design”, cartographiez également tous les projets en développement ou à venir intégrant l’IA. 

2- Evaluer les niveaux de risque des systèmes et modèles d’IA existants et en projet 

À chaque niveau de risque correspond une exigence en termes de mise en conformité. Vous devez donc évaluer le niveau de risque en fonction de critères tels que : 

• le secteur d'activité (banque, santé, divertissement, etc.),
• les cas d'utilisation : par exemple certaines IA considérée comme à haut risque présentent des cas d’usage qui ne le sont pas, de ce fait, elles n’ont pas à être classées comme telle, 
• la puissance du modèle d’IA,
• ou encore les types de données utilisées (données à caractère personnel, données sensibles …).   

3- Classer les systèmes d’IA en fonction des niveaux de risque 

Une fois les systèmes d’IA évalués, vous devez les classer en fonction de leur niveau de risque : minime, faible, haut risque ou inacceptable.

Si le risque est inacceptable, le produit ne peut pas être commercialisé. 

Dans les autres cas, l’entreprise doit mettre en place des actions permettant la commercialisation : code de conduite volontaire (minime), obligation d’information de l’utilisateur (risque faible) ou mise en conformité (haut risque).   

4- Mise en conformité d’un système à haut risque 

En cas de système à haut risque, celui-ci doit être mis en conformité en suivant les étapes suivantes : 

1. Mettre en place un système de gestion des risques : adopter des mesures de gestion des risques appropriées et ciblées pour répondre aux risques identifiés ; 
2. Valider la qualité et la non-discrimination des ensemble de données alimentant le système :  tester son système d’IA dans un bac à sable réglementaire afin de s'assurer de l'absence de biais et de minimiser les résultats discriminatoires ; 
3. Évaluer la précision, la robustesse et garantir un niveau de cybersécurité : mettre en place des indicateurs de précision, une résilience contre les erreurs ainsi que toute mesure appropriée pour corriger les biais potentiels ; 
4. Garantir un contrôle humain : des mesures de surveillance humaine doivent être mis en oeuvre pour minimiser les risques et permettre aux utilisateurs un usage en confiance de ces outils; 
5. Respecter l’obligation d’information et de transparence : rendre les archives disponibles tout au long de la durée de vie du système d'IA pour assurer la traçabilité et la transparence de celui-ci ;  
6. Accompagner les systèmes d’IA d’un registre des activités : Documenter un système de gestion de la qualité concernant notamment la conformité réglementaire, la conception, le développement, les tests, ainsi que la gestion des risques. 
7. Concevoir la documentation technique ;  
8. Procéder à la déclaration de conformité : La déclaration de conformité doit être rédigée et signée pour chaque système d'IA à haut risque puis soumise aux  autorités nationales. Celle-ci est mise à jour en cas d’évolution des solutions d’IA ;
9. S’assurer du marquage CE : s'assurer que le marquage CE est apposé de manière visible, lisible et indélébile. Ce label atteste de la conformité du système ou du modèle d’IA aux exigences Européennes. ; 
10. Procéder à l’enregistrement : inscrire l’organisme qui a développé le SIA et le SIA lui-même dans la base de données de l'UE. 

Dans le cas de la commercialisation d’une solution d’IA à haut risque, la mise en conformité s’avère très encadrée. 

Quelles sont les sanctions en cas de non conformité avec le AI Act ? 

Tout dépend du niveau de risque : 

L’IA à risque inacceptable :  commercialiser ou laisser sur le marché intérieur de l'UE une IA à risque inacceptable peut être sanctionné d’une amende de 35 millions d'euros ou 7% du CA annuel mondial, selon le montant le plus élevé. 

L’IA à haut risque : le non-respect des obligations de déclaration, de marquage CE et d’enregistrement est passible d’une amende de 15 millions d'euros ou de  3% du CA annuel mondial,  selon le montant le plus élevé. 

L’IA à risque faible : le non-respect de l’obligation d’information et de transparence est passible d’une amende de 7,5 millions d'euros ou 1% du CA annuel mondial,  selon le montant le plus élevé. 

L’IA à risque minime : aucune sanction n’est prévue par l’AI Act puisque l’adoption d’un code de conduite se fait sur la base du volontariat. 

Quel est le calendrier d'application de l'AI Act ?

Voici le calendrier précis de mise en œuvre de l'AI Act :

• ‍1er août 2024 - Entrée en vigueur officielle de l'AI Act✅
• 2 février 2025 - Interdictions IA à risque inacceptable✅
• 2 août 2025 - Obligations modèles GPAI ✅
• ‍2 août 2026 - Application complète IA à haut risque (Annexe III)
• ‍2 août 2027 - Application IA à haut risque Annexe I (dispositifs médicaux, jouets...)
• ‍31 déc 2030 - Systèmes IT à grande échelle (administrations)

Que devez-vous faire MAINTENANT (janvier 2026) ?

Si vous avez une IA à haut risque

⏰ Deadline : 2 août 2026

Actions urgentes :

1. Identifier vos systèmes à haut risque
2. Mettre en place un système de gestion des risques
3. Documenter votre système (architecture, données, algorithmes)
4. Tester et valider la qualité des données
5. Préparer la déclaration de conformité
6. Planifier l'obtention du marquage CE
7. S'inscrire dans la base de données UE

Si vous fournissez un modèle GPAI

Depuis août 2025, vous devriez déjà être conforme

Vérifiez que vous avez :

• ✅ Publié la documentation technique
• ✅ Mis en place une politique droit d'auteur
• ✅ Publié le résumé des données d'entraînement

Si vous avez une IA à risque limité

⏰ Deadline : 2 août 2026 (7 mois)

Action simple : Ajouter une mention de transparence (ex: "Contenu généré par IA")

Si vous avez une IA à risque minimal

Pas d'urgence, mais recommandé : adopter un code de conduite volontaire

Comment se mettre en conformité avec l'IA ACT ?

Étape 1 : Cartographier vos systèmes d'IA

Les obligations de mise en conformité prévues dans l’AI Act s’appliquent à chaque système d’IA et non à l’entreprise dans son ensemble. Il est donc conseillé de réaliser une cartographie de tous les systèmes d’IA existants. Ces principes s’appliquant “by design”, cartographiez également tous les projets en développement ou à venir intégrant l’IA.

Étape 2 : Evaluer les niveaux de risque des systèmes et modèles d’IA existants et en projet

À chaque niveau de risque correspond une exigence en termes de mise en conformité. Vous devez donc évaluer le niveau de risque en fonction de critères tels que :

• le secteur d'activité (banque, santé, divertissement, etc.),
• les cas d'utilisation : par exemple certaines IA considérée comme à haut risque présentent des cas d’usage qui ne le sont pas, de ce fait, elles n’ont pas à être classées comme telle,
• la puissance du modèle d’IA,
• ou encore les types de données utilisées (données à caractère personnel, données sensibles …).

Étape 3 : Classer les systèmes d’IA en fonction des niveaux de risque

Une fois les systèmes d’IA évalués, vous devez les classer en fonction de leur niveau de risque : minime, faible, haut risque ou inacceptable.

Si le risque est inacceptable, le produit ne peut pas être commercialisé.

Dans les autres cas, l’entreprise doit mettre en place des actions permettant la commercialisation : code de conduite volontaire (minime), obligation d’information de l’utilisateur (risque faible) ou mise en conformité (haut risque).

Étape 4 : Mise en conformité d’un système à haut risque (10 étapes)

En cas de système à haut risque, celui-ci doit être mis en conformité en suivant les étapes suivantes :

1. Mettre en place un système de gestion des risques : adopter des mesures de gestion des risques appropriées et ciblées pour répondre aux risques identifiés ;
2. Valider la qualité et la non-discrimination des ensemble de données alimentant le système :  tester son système d’IA dans un bac à sable réglementaire afin de s'assurer de l'absence de biais et de minimiser les résultats discriminatoires ;
3. Évaluer la précision, la robustesse et garantir un niveau de cybersécurité : mettre en place des indicateurs de précision, une résilience contre les erreurs ainsi que toute mesure appropriée pour corriger les biais potentiels ;
4. Garantir un contrôle humain : des mesures de surveillance humaine doivent être mis en oeuvre pour minimiser les risques et permettre aux utilisateurs un usage en confiance de ces outils;
5. Respecter l’obligation d’information et de transparence : rendre les archives disponibles tout au long de la durée de vie du système d'IA pour assurer la traçabilité et la transparence de celui-ci ;
6. Accompagner les systèmes d’IA d’un registre des activités : Documenter un système de gestion de la qualité concernant notamment la conformité réglementaire, la conception, le développement, les tests, ainsi que la gestion des risques.
7. Concevoir la documentation technique ;
8. Procéder à la déclaration de conformité : La déclaration de conformité doit être rédigée et signée pour chaque système d'IA à haut risque puis soumise aux autorités nationales. Celle-ci est mise à jour en cas d’évolution des solutions d’IA ;
9. S’assurer du marquage CE : s'assurer que le marquage CE est apposé de manière visible, lisible et indélébile. Ce label atteste de la conformité du système ou du modèle d’IA aux exigences Européennes. ;
10. Procéder à l’enregistrement : inscrire l’organisme qui a développé le SIA et le SIA lui-même dans la base de données de l'UE.

Dans le cas de la commercialisation d’une solution d’IA à haut risque, la mise en conformité s’avère très encadrée.

Etape 5 : Formation des équipes

L'AI Act impose une obligation de littératie en IA : les personnes qui déploient ou supervisent des systèmes d'IA doivent avoir un niveau de compétence suffisant.

Actions à réaliser :

• Former les équipes techniques au règlement AI Act
• Sensibiliser aux risques de l'IA (biais, discrimination, manipulation)
• Former aux bonnes pratiques de surveillance humaine
• Documenter les formations effectuées

Pour cela, Leto vous accompagne !

Etape 6 : Tester dans un bac à sable réglementaire (optionnel)

Un bac à sable réglementaire est un cadre contrôlé où vous pouvez tester votre IA en conditions réelles sous la supervision d'un régulateur, avec une souplesse temporaire des règles.

Etape 7 : Convergence AI Act + RGPD

Si votre IA traite des données personnelles, vous devez aussi respecter le RGPD. Vous pouvez retrouver toutes les informations ici.

Sanctions et exemples Réels

Tout dépend du niveau de risque :

L’IA à risque inacceptable :  commercialiser ou laisser sur le marché intérieur de l'UE une IA à risque inacceptable peut être sanctionné d’une amende de 35 millions d'euros ou 7% du CA annuel mondial, selon le montant le plus élevé.

L’IA à haut risque : le non-respect des obligations de déclaration, de marquage CE et d’enregistrement est passible d’une amende de 15 millions d'euros ou de  3% du CA annuel mondial,  selon le montant le plus élevé.

L’IA à risque faible : le non-respect de l’obligation d’information et de transparence est passible d’une amende de 7,5 millions d'euros ou 1% du CA annuel mondial,  selon le montant le plus élevé.

L’IA à risque minime : aucune sanction n’est prévue par l’AI Act puisque l’adoption d’un code de conduite se fait sur la base du volontariat.

Quelques exemples :

IA de recrutement discriminatoire‍

Situation : Une entreprise utilise une IA pour trier des CV qui élimine systématiquement les candidatures de femmes pour des postes techniques.

Infractions :

• IA à haut risque non conforme (pas de test anti-discrimination)
• Violation des droits fondamentaux (égalité femmes-hommes)

Sanction potentielle : 15M€ ou 3% du CA + dommages et intérêts aux victimes

----

Chatbot sans mention "IA"

Situation : Un site e-commerce utilise un chatbot IA sans indiquer aux clients qu'ils parlent à une machine.

Infraction : Manquement obligation de transparence (IA à risque limité)

Sanction potentielle : 7,5M€ ou 1% du CA

----

Quelles sont les autorités AI Act en France ?

Qui contrôle l'AI Act en France ?

La France a désigné plusieurs autorités en fonction du type d'infraction :

1. CNIL (Commission Nationale Informatique et Libertés)

Compétences AI Act :

• ✅ Pratiques de catégorisation biométrique
• ✅ Reconnaissance des émotions (travail, école)
• ✅ Scoring social
• ✅ Prédiction du risque criminel
• ✅ Identification biométrique à distance

Pour plus d'informations, c'est par ici

2. DGCCRF (Direction Générale Concurrence, Consommation, Répression Fraudes)

Compétences AI Act :

• ✅ Techniques manipulatrices ou trompeuses
• ✅ Exploitation des vulnérabilités (âge, handicap)
• ✅ Obligations de transparence (chatbots, deepfakes)
• ✅ Protection des consommateurs

3. Arcom (Autorité de Régulation de la Communication Audiovisuelle et Numérique)

Compétences AI Act :

• ✅ Contenus générés par IA (deepfakes)
• ✅ Génération de texte informatif sur sujets d'intérêt public
• ✅ Manipulation de contenus audiovisuels

Leto vous accompagne dans votre conformité IA

Notre offre AI Act + RGPD‍

• ‍Cartographie automatisée de vos systèmes d'IA
• ‍Évaluation des niveaux de risque (scoring automatique)
• ‍Templates AIPD AI Act + RGPD
• ‍Registre de conformité IA
• Formations équipes AI Act + RGPD + Cybersécurité
• ‍Veille réglementaire (alertes sur évolutions)

👉 Demander une démo

📚 Pour aller plus loin

Ressources officielles

• Règlement AI Act (texte officiel)
• Questions-réponses CNIL sur l'AI Act
• Commission européenne - Législation sur l'IA

Guides Leto

• La feuille de route RIA du Club DPO
• Qu'est-ce que le RGPD ? Guide Complet 2026
• ChatGPT et RGPD 2026 : Guide de Conformité
• 5 Bonnes Pratiques pour Sensibiliser Vos Équipes à l'IA
• ISO 42001 : Norme IA et Conformité

Questions fréquentes sur l'AI Act

Qu'est-ce que l'AI Act ?

L'AI Act (Règlement UE 2024/1689) est le premier cadre juridique mondial sur l'intelligence artificielle, adopté par l'Union européenne. Il encadre le développement, la commercialisation et l'utilisation des systèmes d'IA en Europe selon 4 niveaux de risque.

Quand l'AI Act entre-t-il en vigueur ?

L'AI Act est entré en vigueur le 1er août 2024. Son application est progressive : interdictions depuis février 2025, obligations GPAI depuis août 2025, et application complète le 2 août 2026.

Qui est concerné par l'AI Act ?

Toute organisation qui développe, commercialise ou utilise des systèmes d'IA dans l'Union européenne, ou dont les systèmes d'IA sont utilisés par des personnes situées dans l'UE, même si l'entreprise est hors Europe.

Quels sont les 4 niveaux de risque de l'AI Act ?

1) Risque inacceptable : IA interdites (scoring social, manipulation). 2) Haut risque : obligations strictes (recrutement, crédit, santé). 3) Risque limité : obligation de transparence (chatbots). 4) Risque minimal : pas d'obligation spécifique.

Quelles sont les sanctions AI Act ?

Les sanctions varient selon le niveau de risque : jusqu'à 35M€ ou 7% du CA mondial pour les IA interdites, 15M€ ou 3% pour les IA haut risque non conformes, et 7,5M€ ou 1% pour les manquements de transparence.

Quelle différence entre AI Act et RGPD ?

Le RGPD encadre les données personnelles, l'AI Act encadre les systèmes d'intelligence artificielle. Les deux sont complémentaires et peuvent s'appliquer simultanément si une IA traite des données personnelles.