Le Règlement européen sur l’intelligence artificielle, plus connu sous le nom d’AI Act (Règlement UE 2024/1689), marque une étape majeure dans la régulation des systèmes d’intelligence artificielle au sein de l’Union européenne. Après plusieurs années de négociations, le texte est officiellement entré en vigueur le 1er août 2024, avec une application progressive jusqu’en 2027.

Contrairement à certaines idées reçues, l’AI Act ne concerne pas uniquement les éditeurs de solutions d’IA générative comme ChatGPT ou Mistral. Il impacte également les entreprises utilisatrices de ces technologies, notamment dans les domaines RH, de la relation client, du scoring ou encore de l’évaluation automatisée.

Le calendrier d’application mérite donc une attention particulière.

> 1er août 2024 : entrée en vigueur officielle de l’AI Act

Depuis le 1er août 2024, le règlement est officiellement en vigueur au sein de l’Union européenne. Cette date marque le début d’une période de transition de 24 mois destinée à permettre aux acteurs économiques de se mettre en conformité.

Même si toutes les obligations ne sont pas encore applicables, le cadre juridique est désormais posé et les entreprises doivent d’ores et déjà anticiper les impacts de leurs usages de l’IA.

> 2 février 2025 : interdiction des IA à risque inacceptable

Première échéance concrète et immédiate : certaines pratiques d’IA sont désormais interdites.

L’AI Act prohibe notamment :

  • le scoring social
  • les systèmes de manipulation subliminale
  • certaines formes de reconnaissance biométrique en temps réel dans l’espace public
  • l’inférence des émotions dans le cadre professionnel ou éducatif

Les entreprises utilisant de tels dispositifs sont déjà susceptibles de faire l’objet de sanctions. Les sanctions attachées à ces violations sont les plus élevées du Règlement : jusqu’à 35 millions d’euros ou 7 % du chiffre d’affaires mondial annuel. Toute organisation qui utiliserait l’une de ces pratiques directement ou via un prestataire, est aujourd’hui en infraction. Un audit des outils déployés s’impose si ce bilan n’a pas encore été réalisé.

> 2 août 2025 : obligations pour les fournisseurs de modèles d’IA générative

À compter du 2 août 2025, les fournisseurs de modèles d’IA à usage général (GPAI), tels que OpenAI, Mistral AI ou Anthropic, devront respecter plusieurs obligations structurantes.

Ils devront notamment :

  • établir une documentation technique détaillée
  • respecter le droit d’auteur dans l’utilisation des données d’entraînement
  • publier un résumé des données utilisées
  • mettre en place des mesures de gestion des risques systémiques

Pour les entreprises utilisatrices, l’enjeu est principalement contractuel. Il devient essentiel de vérifier que les prestataires IA offrent des garanties suffisantes en matière de conformité, de sécurité et de gouvernance des données sous peine d’exposer le déployeur à une responsabilité solidaire en cas de manquement.

> 2 août 2026 : application générale du règlement et obligations des entreprises utilisatrices

Cette échéance constitue le véritable tournant pour la majorité des entreprises. Elle marque l’application générale du Règlement et surtout, l’entrée en vigueur des obligations propres aux déployeurs de systèmes d’IA à haut risque tels que définis à l’Annexe III.

À partir du 2 août 2026, les obligations applicables aux systèmes d’IA à haut risque deviendront pleinement opposables, y compris pour les déployeurs, c’est-à-dire les entreprises qui utilisent ces outils dans leur activité.

Sont notamment concernés :

  • les outils de recrutement et de tri de CV
  • les systèmes de scoring de crédit
  • l’évaluation des performances des salariés
  • certains outils biométriques
  • les systèmes utilisés dans l’éducation ou l’accès à des services essentiels

Les entreprises devront alors mettre en œuvre plusieurs mesures de conformité : supervision humaine des décisions automatisées, transparence envers les personnes concernées, documentation des traitements, gestion des risques et tenue de registres.

Autrement dit, l’AI Act ne crée pas uniquement des obligations pour les éditeurs d’IA : il impose également une véritable gouvernance interne de l’intelligence artificielle.

> 2 août 2027 : IA embarquée dans les produits réglementés

Dernière étape du calendrier : les obligations applicables aux systèmes d’IA intégrés dans des produits soumis à une réglementation sectorielle entreront en vigueur le 2 août 2027.

Sont notamment concernés :

  • les dispositifs médicaux ;
  • les véhicules autonomes ;
  • certaines machines industrielles ;
  • les objets connectés et jouets intelligents.

📌 Anticiper dès maintenant la conformité IA

La conformité à l’AI Act n’a rien d’insurmontable. Les entreprises qui ont traversé le RGPD savent qu’un chantier réglementaire, bien conduit, devient rapidement un réflexe. L’essentiel est de commencer : recenser les outils, qualifier les risques, mobiliser les équipes. L’échéance d’août 2026 est proche, mais elle est atteignable.

La question pour les entreprises qui utilisent l’IA est donc de savoir à quel niveau elles sont concernées. Les organisations utilisant déjà des outils d’IA dans leurs processus métiers ont tout intérêt à anticiper dès maintenant leurs obligations afin d’éviter une mise en conformité précipitée à l’approche des prochaines échéances.

Claudia Weber, Avocat associé fondateur ITLAW Avocats.

ITLAW Avocats mobilise ses talents et son expertise en matière de protection des  données personnelles, de projets informatiques  complexesde  contrats, d’innovation et de  propriété intellectuelle  ainsi que sa connaissance de l’écosystème IT et son expertise en matière de négociation pour vous accompagner dans la sécurisation de vos projets complexes. 
Nous contacter