Mise en application progressive
Le EU AI Act a été publié au Journal officiel de l'Union européenne le 12 juillet 2024 et est entré en vigueur le 1er août 2024. Il s'applique progressivement sur trois ans :
Phase 1 : février 2025 – Pratiques d'IA interdites
Statut : Déjà en vigueur depuis le 2 février 2025.
L'art. 5 EU AI Act interdit les pratiques d'IA suivantes :
- Notation sociale (Social Scoring) par les autorités publiques – évaluation de personnes physiques sur la base de leur comportement social
- Manipulation subliminale – techniques d'IA influençant inconsciemment le comportement d'une personne
- Exploitation des vulnérabilités – exploitation de l'âge, du handicap ou de la situation sociale/économique
- Identification biométrique à distance en temps réel dans les espaces accessibles au public (avec exceptions pour les forces de l'ordre)
- Catégorisation biométrique par attributs sensibles (origine ethnique, opinion politique, religion)
- Moissonnage non ciblé d'images faciales sur Internet ou à partir de vidéosurveillance
- Reconnaissance des émotions sur le lieu de travail et dans les établissements d'enseignement (avec exceptions pour la sécurité/santé)
Sanctions : Jusqu'à €35 millions ou 7 % du chiffre d'affaires annuel mondial (art. 99, paragraphe 3).
Phase 2 : août 2025 – Obligations GPAI et gouvernance
Statut : À compter du 2 août 2025
- Modèles GPAI (art. 51–56) – obligations de transparence pour les fournisseurs de modèles d'IA à usage général
- GPAI à risque systémique – obligations supplémentaires : red teaming, évaluation des modèles, signalement des incidents
- Maîtrise de l'IA (art. 4) – les organisations doivent veiller à ce que le personnel impliqué dans l'IA soit suffisamment formé
- Gouvernance (art. 64–68) – mise en place du Bureau européen de l'IA et des autorités nationales compétentes
Phase 3 : août 2026 – Obligations pour l'IA à haut risque (échéance principale)
Statut : À compter du 2 août 2026 – dans environ 5 mois
Il s'agit de l'échéance la plus critique pour la plupart des organisations. À partir de cette date, toutes les obligations s'appliquent aux systèmes d'IA à haut risque au titre de l'annexe III :
- Système de gestion des risques (art. 9)
- Gouvernance des données (art. 10)
- Documentation technique (art. 11 + annexe IV) – Guide
- Conservation des enregistrements (art. 12)
- Transparence envers les déployeurs (art. 13)
- Contrôle humain (art. 14)
- FRIA (art. 27) – Guide
- Évaluation de la conformité (art. 43)
- Enregistrement dans la base de données de l'UE (art. 49)
Sanctions : Jusqu'à €15 millions ou 3 % du chiffre d'affaires annuel mondial (art. 99, paragraphe 4).
Phase 4 : août 2027 – IA embarquée dans les produits réglementés
À compter du 2 août 2027 :
Obligations pour les systèmes d'IA intégrés en tant que composants de sécurité dans des produits déjà réglementés au titre de l'annexe I (par ex. dispositifs médicaux, machines, jouets, ascenseurs, équipements sous pression).
Vue d'ensemble du calendrier
| Date | Ce qui entre en application | Article |
|---|---|---|
| 1er août 2024 | Entrée en vigueur du règlement | Art. 113 |
| 2 fév. 2025 | Pratiques d'IA interdites | Art. 5 |
| 2 août 2025 | GPAI, maîtrise de l'IA, gouvernance | Art. 4, 51–56, 64–68 |
| 2 août 2026 | IA à haut risque (annexe III) | Art. 6–27, 43, 49 |
| 2 août 2027 | IA embarquée (produits annexe I) | Art. 6, paragraphe 1 |
Ce que vous devriez faire maintenant
- Dresser un inventaire – quels systèmes d'IA utilisez-vous ? Lesquels développez-vous ?
- Classification des risques – utilisez l'analyse de risque gratuite pour vérifier si vos systèmes relèvent de l'annexe III
- Commencer la documentation – lancez votre FRIA et votre documentation technique dès maintenant – l'échéance d'août 2026 approche plus vite que vous ne le pensez
- Constituer une équipe conformité – la maîtrise de l'IA (art. 4) est obligatoire depuis août 2025
Générer vos brouillons de conformité – à partir de €149 net →