Qui doit se conformer au Règlement IA de l'UE ?

Toute organisation qui fournit (développe ou met sur le marché), déploie, importe ou distribue des systèmes d'IA destinés à des utilisateurs de l'UE doit se conformer au Règlement. Cela inclut les entreprises établies dans l'UE et celles hors UE dont les résultats des systèmes d'IA sont utilisés dans l'UE. Les rôles clés sont : fournisseur (développe/met sur le marché), déployeur (utilise l'IA dans un contexte professionnel), importateur et distributeur.

Quelles sont les principales échéances du Règlement IA ?

Trois dates critiques : (1) 2 février 2025 — les pratiques d'IA interdites (Chapitre II, Article 5) sont applicables ; (2) 2 août 2025 — les obligations GPAI (Chapitre V) s'appliquent et le régime de sanctions est effectif ; (3) 2 août 2026 — les exigences pour les systèmes d'IA à haut risque (Annexe III) doivent être satisfaites. Les systèmes déjà en service avant le 2 août 2026 ont jusqu'au 2 août 2027 pour se conformer.

Quelles sont les sanctions prévues par le Règlement IA ?

En vertu de l'Article 99 : jusqu'à 35 millions d'euros ou 7 % du chiffre d'affaires annuel mondial pour les violations liées aux pratiques d'IA interdites ; jusqu'à 15 millions d'euros ou 3 % pour le non-respect des obligations à haut risque ; jusqu'à 7,5 millions d'euros ou 1 % pour la fourniture d'informations incorrectes aux autorités. Pour les PME et start-ups, le plafond en pourcentage du chiffre d'affaires peut s'appliquer à la place du montant fixe.

Quels systèmes d'IA sont considérés à haut risque selon l'Annexe III ?

L'Annexe III liste huit catégories : (1) biométrie, (2) infrastructures critiques, (3) éducation et formation professionnelle, (4) emploi et gestion des travailleurs, (5) accès aux services essentiels, (6) application de la loi, (7) migration et contrôle aux frontières, (8) administration de la justice et processus démocratiques. Exemples concrets : IA pour l'analyse de CV, le scoring de crédit ou l'évaluation scolaire.

Le Règlement IA s'applique-t-il aux modèles d'IA généralistes comme GPT-4 ou Claude ?

Oui. Depuis le 2 août 2025, les fournisseurs de GPAI (Chapitre V) doivent respecter des obligations de transparence, de droits d'auteur et de documentation technique. Les modèles entraînés avec ≥ 10²⁵ FLOP sont présumés avoir des capacités à fort impact systémique et font l'objet d'exigences supplémentaires : évaluations de modèles, tests adversariaux, mesures de cybersécurité et signalement d'incidents au Bureau IA de l'UE. Le Code de pratique GPAI, publié le 10 juillet 2025, offre des orientations pratiques.

Qu'est-ce que le Bureau IA de l'UE ?

Le Bureau IA de l'UE (European AI Office) est l'autorité centrale de l'UE disposant de pouvoirs directs d'application à l'égard des fournisseurs de modèles GPAI. Il coordonne l'application nationale, publie des orientations et gère la base de données publique de l'UE pour les enregistrements de systèmes à haut risque.

Règlement IA de l'UE : Guide complet de conformité 2026 (Règlement EU 2024/1689)

2026-03-26

By Orbiq Team

Règlement IA de l'UE : Guide complet de conformité 2026 (Règlement EU 2024/1689)

Tout ce que les entreprises doivent savoir sur la conformité au Règlement IA — systèmes d'IA interdits, obligations IA à haut risque (Annexe III), obligations GPAI, échéance août 2026, amendes jusqu'à 35 M€ et checklist étape par étape.

Règlement IA

EU AI Act

IA à haut risque

GPAI

Réglementation UE

Règlement IA de l'UE : Guide complet de conformité 2026

Le Règlement IA de l'UE (Règlement EU 2024/1689) est le premier cadre juridique complet au monde consacré à l'intelligence artificielle. Publié au Journal officiel le 12 juillet 2024, il est entré en vigueur le 1er août 2024 et impose des obligations qui montent en puissance jusqu'en 2027.

L'échéance la plus critique se situe dans cinq mois : à compter du 2 août 2026, les exigences relatives aux systèmes d'IA à haut risque prévues à l'Annexe III seront pleinement applicables — avec des amendes pouvant atteindre 35 millions d'euros ou 7 % du chiffre d'affaires mondial.

Que vous développiez des produits d'IA, déployiez des outils tiers ou utilisiez des modèles d'IA dans vos workflows B2B, le Règlement IA vous concerne très probablement. Ce guide couvre l'ensemble du périmètre d'application, la classification des risques, le calendrier d'application, la structure des sanctions et les étapes pratiques à entreprendre avant août 2026.

Règlement IA en un coup d'œil

Question	Réponse courte
De quoi s'agit-il ?	Règlement (UE) 2024/1689 — premier règlement IA horizontal au monde.
Qui doit se conformer ?	Fournisseurs, déployeurs, importateurs et distributeurs de systèmes d'IA utilisés dans l'UE.
Entrée en vigueur ?	1er août 2024.
IA interdites applicables ?	2 février 2025.
Obligations GPAI applicables ?	2 août 2025.
Échéance IA à haut risque ?	2 août 2026 (systèmes Annexe III).
Amende maximale pour IA interdite ?	Jusqu'à 35 M€ ou 7 % du CA annuel mondial.
Autorité de contrôle ?	Bureau IA de l'UE + autorités compétentes nationales (au moins une par État membre).

Qu'est-ce que le Règlement IA de l'UE ?

Le Règlement IA établit un cadre fondé sur les risques pour l'IA. Ce ne sont pas les technologies elles-mêmes qui sont réglementées, mais les systèmes d'IA sont évalués selon le risque qu'ils font peser sur la santé, la sécurité et les droits fondamentaux. Plus le risque est élevé, plus les exigences sont strictes.

Classification en quatre niveaux de risque

Niveau de risque	Exemples	Signification
Risque inacceptable (Interdit)	Scoring social, manipulation subliminale, identification biométrique en temps réel dans les espaces publics	Interdit. Applicable depuis le 2 février 2025.
Haut risque (Annexe III)	Analyse de CV, scoring de crédit, identification biométrique, évaluation scolaire	Doivent satisfaire aux exigences de qualité, transparence et supervision avant août 2026.
Risque limité	Chatbots, générateurs de deepfakes, outils de reconnaissance des émotions	Doivent informer les utilisateurs de la nature IA du système (Art. 50 — obligations de transparence).
Risque minimal	Filtres anti-spam, jeux vidéo pilotés par IA	Pas d'obligations spécifiques ; codes de conduite volontaires encouragés.

Qui doit se conformer ?

Le Règlement définit quatre catégories d'opérateurs :

Rôle	Définition	Obligations clés
Fournisseur	Développe un système d'IA ou un modèle GPAI et le met sur le marché.	Charge principale de conformité : évaluation de la conformité, documentation technique, enregistrement dans la base de données UE.
Déployeur	Utilise un système d'IA sous sa propre autorité dans un contexte professionnel.	Mettre en œuvre la supervision humaine, surveiller les performances, réaliser une évaluation d'impact sur les droits fondamentaux pour certains systèmes à haut risque.
Importateur	Introduit des systèmes d'IA en provenance de pays tiers sur le marché UE.	Vérifier que le fournisseur a satisfait aux exigences ; joindre une déclaration d'importateur.
Distributeur	Met des systèmes d'IA à disposition sur le marché UE sans les modifier.	Vérifier la conformité, coopérer avec les autorités.

Portée territoriale : Le Règlement s'applique dès lors que le résultat du système d'IA est utilisé dans l'UE, quel que soit l'État d'établissement du fournisseur.

Chapitre II : Pratiques d'IA interdites (En vigueur depuis le 2 février 2025)

L'Article 5 interdit les pratiques d'IA présentant un risque inacceptable pour les droits fondamentaux. Celles-ci exposent déjà à des amendes allant jusqu'à 35 M€ ou 7 % du CA annuel mondial.

Sont interdits :

Manipulation subliminale — IA influençant le comportement de manière subliminale et causant un préjudice.
Exploitation des vulnérabilités — IA ciblant des personnes en raison de leur âge, handicap ou situation socio-économique pour distordre leur comportement.
Notation sociale — Évaluation de personnes par des autorités publiques ou privées sur la base du comportement social, entraînant un traitement défavorable.
Identification biométrique en temps réel dans les espaces publics (pour les services répressifs, avec de rares exceptions).
Reconnaissance des émotions sur le lieu de travail et dans les établissements d'enseignement.
Catégorisation biométrique pour déduire des attributs sensibles (race, opinion politique, orientation sexuelle).
Collecte non ciblée d'images faciales sur Internet ou via CCTV pour constituer des bases de données de reconnaissance.
Police prédictive basée exclusivement sur le profilage sans soupçon individuel.

Note pour les équipes RH et les acteurs EdTech : Les systèmes de reconnaissance des émotions sur le lieu de travail et dans les établissements scolaires sont interdits. Si vous utilisez des outils de surveillance du bien-être, des trackers d'engagement ou des logiciels de proctoring avec détection des émotions, révisez-les immédiatement.

Chapitre III & Annexe III : Systèmes d'IA à haut risque (Échéance : 2 août 2026)

Il s'agit de la catégorie qui concerne la majorité des déploiements en entreprise et en B2B. L'Annexe III liste huit secteurs dans lesquels les systèmes d'IA sont présumés à haut risque :

Biométrie — Identification à distance, catégorisation, reconnaissance des émotions (si non interdite).
Infrastructures critiques — Composantes de sécurité dans l'énergie, l'eau, les transports, l'infrastructure numérique.
Éducation et formation professionnelle — Détermination de l'accès, évaluation des apprenants, résultats d'apprentissage.
Emploi et gestion des travailleurs — Recrutement, sélection, évaluation des performances, promotion, licenciement.
Accès aux services essentiels — Scoring de crédit, évaluation du risque assurantiel, dispatching des secours.
Application de la loi — Évaluation du risque criminel, détecteurs de mensonges, évaluation de preuves.
Migration, asile, contrôle des frontières — Examen des demandes, évaluation des risques, authenticité des documents.
Administration de la justice et processus démocratiques — IA dans les procédures judiciaires, les systèmes électoraux.

Ce que les fournisseurs à haut risque doivent faire (avant août 2026)

Exigence	Signification en pratique
Système de gestion des risques (Art. 9)	Processus d'évaluation des risques continu tout au long du cycle de vie de l'IA.
Gouvernance des données (Art. 10)	Les données d'entraînement, de validation et de test doivent être pertinentes, représentatives et exemptes d'erreurs dans la mesure du possible.
Documentation technique (Art. 11 + Annexe IV)	Documentation détaillée de la conception, de l'objectif, des capacités, des limites et des métriques de performance.
Tenue de registres / journalisation (Art. 12)	Journaux d'événements automatiques permettant la traçabilité et l'auditabilité.
Transparence envers les déployeurs (Art. 13)	Instructions d'utilisation expliquant les capacités, les limites et les caractéristiques de performance.
Supervision humaine (Art. 14)	La conception doit permettre à des personnes physiques de comprendre, surveiller et — si nécessaire — passer outre les résultats de l'IA.
Précision, robustesse, cybersécurité (Art. 15)	Performance cohérente ; protection contre les attaques adversariales, l'empoisonnement des données et les défaillances du modèle.
Évaluation de la conformité (Art. 43)	Auto-évaluation pour la plupart des systèmes Annexe III ; évaluation par un tiers pour l'identification biométrique et certaines infrastructures critiques.
Enregistrement dans la base de données UE (Art. 49)	Les systèmes à haut risque doivent être enregistrés dans la base de données publique UE avant déploiement.
Surveillance post-commercialisation (Art. 72)	Suivi continu des performances après déploiement ; les incidents graves doivent être signalés aux autorités nationales.

Obligations des déployeurs pour les systèmes à haut risque

Les déployeurs (organisations utilisant une IA à haut risque fournie par un tiers) ont leurs propres obligations :

Évaluation de l'impact sur les droits fondamentaux (EIDF) — Requise pour les déployeurs qui sont des organismes publics ou des entités privées fournissant des services essentiels.
Mesures de supervision humaine — Mettre en œuvre les procédures de supervision spécifiées par le fournisseur.
Formation du personnel — S'assurer que le personnel utilisant des systèmes d'IA à haut risque dispose des compétences nécessaires.
Surveillance des incidents — Surveiller le système et signaler les incidents graves au fournisseur et, si requis, à l'autorité nationale.

Point clé pour les acheteurs SaaS : Si vous achetez un outil d'IA tiers relevant de l'Annexe III, vous êtes déployeur — et vous avez vos propres obligations légales. Les contrats fournisseurs doivent désormais inclure des clauses de conformité au Règlement IA.

Chapitre V : Modèles d'IA à usage général (GPAI) (En vigueur depuis le 2 août 2025)

Le Chapitre V instaure un régime spécifique pour les modèles d'IA à grande échelle utilisables pour de nombreux usages : GPT-4, Claude, Gemini, Llama, Mistral, etc.

Qui est fournisseur de GPAI ?

Toute organisation qui entraîne et met à disposition un modèle GPAI — y compris via une API — est fournisseur de GPAI. Le seuil est fixé à des modèles entraînés avec plus de 10²³ FLOP.

Obligations de base GPAI (Tous les fournisseurs)

Documentation technique — Documenter l'architecture du modèle, les données d'entraînement, la puissance de calcul utilisée et les benchmarks de performance.
Conformité au droit d'auteur — Mettre en place une politique de respect du droit d'auteur de l'UE, incluant l'exception de fouille de textes et de données (Art. 4 de la Directive DSM).
Transparence envers les fournisseurs en aval — Publier ou mettre à disposition les informations permettant aux développeurs d'IA en aval de comprendre les capacités et les limites.

Obligations supplémentaires : Modèles GPAI à risque systémique

Les modèles entraînés avec ≥ 10²⁵ FLOP sont présumés avoir des capacités à fort impact et sont soumis à des obligations de risque systémique (Article 55) :

Évaluations de modèles — Y compris les tests adversariaux (red-teaming) avant et après déploiement.
Évaluation des risques systémiques — Évaluer les risques pouvant avoir un impact significatif sur le marché de l'Union.
Mesures de cybersécurité — Protéger le modèle et l'infrastructure associée.
Signalement d'incidents — Signaler les incidents graves au Bureau IA de l'UE.
Notification — Notifier proactivement le Bureau IA de l'UE des modèles à risque systémique.

Le Code de pratique GPAI, publié le 10 juillet 2025, fournit des orientations pratiques de mise en conformité. Sa participation est volontaire mais constitue une présomption de conformité.

Article 50 : Obligations de transparence (IA à risque limité)

Même si votre système d'IA n'est pas à haut risque ou interdit, l'Article 50 impose des obligations de divulgation dans certaines situations :

Les chatbots doivent informer les utilisateurs qu'ils interagissent avec un système d'IA.
Les systèmes de reconnaissance des émotions et de catégorisation biométrique doivent notifier les personnes concernées.
Les deepfakes — contenus audio, vidéo ou images synthétiques générés par IA — doivent être marqués de filigranes lisibles par machine.
Le texte généré par IA sur des sujets d'intérêt public doit être identifié comme artificiel.

Ces obligations s'appliquent à compter du 2 août 2026.

Structure des sanctions (Articles 99 et 101)

Violation	Amende maximale
Pratiques d'IA interdites (Art. 5)	35 millions € ou 7 % du CA annuel mondial
Non-respect des obligations à haut risque (Annexe III)	15 millions € ou 3 % du CA annuel mondial
Fourniture d'informations incorrectes aux autorités	7,5 millions € ou 1 % du CA annuel mondial
Fournisseurs GPAI (application Commission à partir d'août 2026)	15 millions € ou 3 % du CA annuel mondial
Non-coopération avec le Bureau IA de l'UE (GPAI)	Astreintes périodiques

Les amendes s'appliquent au plus élevé des deux montants — montant fixe ou pourcentage du chiffre d'affaires. Pour les PME et les start-ups, les autorités nationales peuvent appliquer le plafond le plus bas.

Mise en perspective : L'amende de 35 M€ pour IA interdite dépasse l'amende maximale du premier niveau RGPD (10 M€ / 2 %). À 7 %, le Règlement IA rejoint le niveau le plus élevé du RGPD. L'intention du législateur est claire : des sanctions véritablement dissuasives.

Architecture d'application

Bureau IA de l'UE et autorités nationales françaises

Le Bureau IA de l'UE est l'autorité centrale de l'UE disposant de pouvoirs directs d'application à l'égard des fournisseurs de GPAI. En France, la désignation des autorités nationales compétentes est en cours. L'ANSSI et la CNIL jouent un rôle déterminant dans la supervision des systèmes d'IA qui traitent des données personnelles ou touchent à la sécurité des systèmes d'information.

Proposition « Digital Omnibus »

Fin 2025, la Commission européenne a proposé un paquet « Digital Omnibus » qui pourrait reporter certaines obligations Annexe III jusqu'en décembre 2027. En mars 2026, cette proposition n'a pas encore été adoptée. Une planification de conformité sérieuse doit traiter le 2 août 2026 comme l'échéance contraignante.

Checklist de conformité avant août 2026

Étape 1 — Inventaire des systèmes d'IA

Recenser tous les systèmes d'IA développés, déployés, importés ou distribués qui touchent des utilisateurs UE.
Documenter le nom du système, le fournisseur, l'objectif, les entrées/sorties de données et la population d'utilisateurs.

Étape 2 — Classification des risques

Déterminer le niveau de risque de chaque système : interdit, haut risque (Annexe III), risque limité ou minimal.
Appliquer les règles de classification de l'Article 6.

Étape 3 — Traiter immédiatement les IA interdites

Arrêter ou reconcevoir tout système violant l'Article 5.
Auditer les outils de reconnaissance des émotions sur les lieux de travail et dans les établissements scolaires.
Revoir les systèmes de notation sociale ou de profilage comportemental.

Étape 4 — Programme de conformité haut risque

Mettre en place un système de gestion des risques (Art. 9).
Réaliser un audit de gouvernance des données d'entraînement/validation (Art. 10).
Préparer la documentation technique selon l'Annexe IV (Art. 11).
Implémenter la journalisation et la tenue de registres (Art. 12).
Définir les procédures de supervision humaine (Art. 14).
Réaliser l'évaluation de conformité (Art. 43).
S'enregistrer dans la base de données publique UE (Art. 49).

Étape 5 — Obligations des déployeurs

Pour les outils d'IA à haut risque tiers : demander et examiner la documentation technique et les preuves d'évaluation de conformité.
Mettre à jour les contrats fournisseurs avec des clauses de conformité au Règlement IA.
Réaliser une évaluation de l'impact sur les droits fondamentaux si nécessaire.
Former le personnel concerné aux procédures de supervision de l'IA.

Étape 6 — Obligations GPAI (si applicable)

En tant que fournisseur GPAI : mettre en œuvre la documentation technique, la politique de droits d'auteur et les exigences de transparence.
Évaluer si votre modèle dépasse le seuil de risque systémique de 10²⁵ FLOP.
Étudier le Code de pratique GPAI.

Étape 7 — Transparence (Article 50)

Ajouter des notices de divulgation IA à toutes les interfaces chatbot.
Implémenter le filigrane deepfake si vous générez des médias synthétiques.
Notifier les utilisateurs de la reconnaissance des émotions lorsque ce n'est pas interdit.

Interactions avec les autres réglementations européennes

Règlement	Relation
RGPD	Les systèmes d'IA traitant des données personnelles doivent satisfaire au Règlement IA et au RGPD. Les obligations de gouvernance des données (Art. 10) complètent les principes de minimisation et d'exactitude du RGPD.
NIS2	Les systèmes d'IA à haut risque dans les infrastructures critiques sont soumis au Règlement IA (précision, robustesse, cybersécurité — Art. 15) et aux mesures de gestion des risques NIS2 (Art. 21).
DORA	Les entités financières déployant de l'IA dans des systèmes ICT ont des obligations croisées entre le Règlement IA et DORA. Le cadre de gestion des risques ICT de DORA peut partiellement couvrir les exigences de résilience opérationnelle du Règlement IA.
Cyber Resilience Act (CRA)	Les produits d'IA avec éléments numériques doivent satisfaire aux exigences du CRA et du Règlement IA. Les obligations de signalement de vulnérabilités du CRA s'appliquent à partir de septembre 2026.

Comment Orbiq accompagne la conformité au Règlement IA

La conformité au Règlement IA de l'UE requiert documentation, collecte de preuves, évaluations fournisseurs et suivi continu sur l'ensemble du portefeuille d'IA — exactement le type de workflow de conformité structuré pour lequel Orbiq ISMS Software a été conçu.

Inventaire des systèmes d'IA et classification des risques — Documenter et classifier chaque système d'IA avec des pistes de preuves structurées via Orbiq ISMS Software.
Questionnaires Règlement IA pour les fournisseurs — Envoyer des questionnaires de conformité à vos fournisseurs d'IA tiers et suivre les réponses via la Vendor Assurance Platform d'Orbiq.
Collecte de preuves et préparation aux audits — Collecter automatiquement la documentation technique, les preuves d'évaluation de conformité et les éléments de gouvernance des données d'entraînement.
Surveillance continue — La surveillance continue d'Orbiq garantit que votre posture de conformité au Règlement IA reste à jour au fil de l'évolution des systèmes.

Sources et références

Règlement (UE) 2024/1689 — Journal officiel de l'UE — Texte officiel du Règlement IA, 12 juillet 2024
Calendrier de mise en œuvre du Règlement IA — artificialintelligenceact.eu
Article 5 — Pratiques d'IA interdites
Article 6 — Règles de classification des systèmes d'IA à haut risque
Annexe III — Catégories de systèmes d'IA à haut risque
Article 55 — Obligations pour les modèles GPAI à risque systémique
Article 99 — Sanctions administratives
Code de pratique GPAI — Commission européenne, 10 juillet 2025
Orientations pour les fournisseurs de modèles GPAI — Commission européenne
DLA Piper : Nouvelle vague d'obligations du Règlement IA — août 2025
Orrick : 6 étapes avant le 2 août 2026
Baker Botts : Règlement IA — ce que les dirigeants doivent savoir avant août 2026 — mars 2026
Sanctions du Règlement IA — Holistic AI
Bureau IA de l'UE — Commission européenne