Ce qui est déjà applicable depuis 2025
Le règlement (UE) 2024/1689, dit IA Act ou RIA, est entré en vigueur le 1er août 2024 avec une application par paliers. Deux jalons sont déjà derrière nous.
Depuis le 2 février 2025, les pratiques d'IA à risque inacceptable sont interdites (article 5) : notation sociale, manipulation exploitant les vulnérabilités, certaines formes d'identification biométrique. La même date a rendu applicable l'obligation de maîtrise de l'IA (article 4) : toute organisation qui déploie des systèmes d'IA doit s'assurer que son personnel dispose d'un niveau suffisant de compréhension de ces outils. Cette obligation concerne déjà toutes les organisations, y compris les PME et les collectivités.
Depuis le 2 août 2025, les fournisseurs de modèles d'IA à usage général (les grands modèles génératifs) sont soumis à leurs obligations propres, la gouvernance européenne est en place et le régime de sanctions est activé.
Ce qui s'applique au 2 août 2026
Le 2 août 2026 marque l'application de la majorité des dispositions restantes du règlement. Le point le plus concret pour la plupart des organisations : les obligations de transparence de l'article 50.
- Chatbots et agents conversationnels : les personnes doivent être informées qu'elles interagissent avec une IA, sauf si cela est évident au regard du contexte.
- Contenus générés par IA : les images, sons, vidéos et textes générés ou manipulés artificiellement doivent être identifiables comme tels, avec des règles renforcées pour les hypertrucages (deepfakes).
- Systèmes de reconnaissance des émotions et de catégorisation biométrique : information obligatoire des personnes exposées.
Nous avons consacré un article détaillé à l'articulation de ces obligations avec le RGPD : transparence des systèmes d'IA, ce que exigent le RGPD et l'IA Act.
Ce qui est en cours de report : le haut risque de l'annexe III
C'est le changement majeur du premier semestre 2026. Les obligations applicables aux systèmes d'IA à haut risque listés à l'annexe III (biométrie, infrastructures critiques, éducation, emploi et gestion des ressources humaines, services essentiels comme le crédit et l'assurance, répression, migration, justice) devaient initialement s'appliquer le 2 août 2026.
Le 7 mai 2026, le Parlement européen et le Conseil sont parvenus à un accord politique dans le cadre du paquet de simplification dit Digital Omnibus : ces obligations sont reportées au 2 décembre 2027. Les systèmes à haut risque intégrés dans des produits réglementés (annexe I : machines, dispositifs médicaux, jouets) basculent quant à eux au 2 août 2028.
Attention à la nuance juridique. Tant que le Digital Omnibus n'est pas formellement adopté et publié au Journal officiel de l'Union européenne, la date du 2 août 2026 reste juridiquement en vigueur pour l'annexe III. L'accord politique de mai 2026 rend le report très probable. Il ne le rend pas encore certain. Une organisation qui exploite un système à haut risque ne peut pas fonder sa stratégie de conformité sur un texte non publié.
La raison du report est essentiellement pratique : les normes harmonisées élaborées par le CEN et le CENELEC, indispensables pour guider la mise en conformité des systèmes à haut risque, ne seront pas disponibles à temps. Reporter l'échéance évite d'exiger une conformité dont les référentiels techniques n'existent pas encore.
Ce que votre organisation doit faire maintenant
Le report éventuel de l'annexe III ne dispense de rien : il déplace une échéance, pas les obligations. Quatre chantiers peuvent être engagés dès maintenant, quel que soit le sort du Digital Omnibus.
- Cartographier vos systèmes d'IA. Recenser les outils réellement utilisés, y compris ceux adoptés sans validation (le shadow AI) et qualifier leur niveau de risque. Notre article mon système IA est-il à haut risque ? détaille la méthode.
- Former vos équipes. L'obligation de maîtrise de l'IA de l'article 4 s'applique depuis février 2025. Elle n'attend pas 2027.
- Encadrer les usages. Une charte IA co-construite avec les équipes pose les règles du jeu internes : usages autorisés, données interdites, validation humaine.
- Préparer la transparence. Si vous exploitez un chatbot ou publiez des contenus générés par IA, les obligations de l'article 50 arrivent en août 2026 : mentions d'information, identification des contenus.
Le RGPD reste par ailleurs pleinement applicable aux traitements de données personnelles opérés par les systèmes d'IA, sans aucun report. La CNIL a publié ses recommandations sur ce point : voir notre synthèse CNIL, RGPD et intelligence artificielle.
Besoin d'y voir clair pour votre organisation ?
Premier échange sans engagement, sur site ou à distance.