AI Act entreprise : le guide complet 2026 (calendrier, sanctions, plan d'action)

Le règlement européen sur l'intelligence artificielle, plus connu sous le nom d'AI Act, redessine complètement les obligations des entreprises européennes en matière d'IA. Le 2 août 2026, le texte devient pleinement applicable et les sanctions deviennent effectives. Ce guide pilier rassemble tout ce qu'une entreprise française doit savoir : calendrier détaillé, niveaux de risque, article 4 et son obligation de formation, sanctions, plan d'action en 4 étapes, financement OPCO et ressources téléchargeables.

L'essentiel à retenir

→ L'AI Act s'applique à toute entreprise utilisant des systèmes d'IA (ChatGPT, Copilot, CRM augmentés, logiciels RH avec tri de CV, etc.)
→ L'article 4 impose une formation IA obligatoire pour vos collaborateurs depuis février 2025
→ Les sanctions vont jusqu'à 35 M€ ou 7 % du CA mondial selon la gravité
→ Le 2 août 2026 marque l'application complète du texte avec sanctions nationales effectives
→ La formation IA est finançable OPCO (jusqu'à 100 % pour TPE-PME via un organisme Qualiopi)

1. Comprendre l'AI Act en 2 minutes

L'Artificial Intelligence Act (règlement (UE) 2024/1689) est le premier cadre légal au monde à régir l'intelligence artificielle de manière horizontale. Adopté par le Parlement européen en mars 2024 et publié au Journal officiel en juillet 2024, il s'inspire de la logique du RGPD : protection des droits fondamentaux, classification par niveau de risque, sanctions proportionnelles.

Le texte s'applique à tous les acteurs de la chaîne de valeur IA : fournisseurs (qui développent ou commercialisent), déployeurs (les entreprises utilisatrices, c'est probablement vous), importateurs et distributeurs. La portée est extraterritoriale : un fournisseur américain qui propose son outil IA dans l'UE est soumis aux mêmes règles qu'un acteur européen.

L'objectif affiché : favoriser l'innovation tout en garantissant la sécurité, la transparence et le respect des droits fondamentaux. En pratique, l'AI Act crée des obligations graduées selon le niveau de risque du système d'IA.

2. Le calendrier 2024-2027 : ce que vous devez savoir

L'AI Act entre en vigueur de manière progressive. Voici les jalons-clés :

• 1er août 2024 : entrée en vigueur officielle du règlement (publication au JO de l'UE)
• 2 février 2025 : entrée en application des interdictions absolues (article 5) et de l'article 4 sur la littératie IA (formation des collaborateurs)
• 2 août 2025 : application des obligations pour les modèles d'IA à usage général (GPAI comme GPT, Claude, Gemini, Mistral)
• 2 août 2026 : application complète du texte avec entrée en vigueur des sanctions nationales. C'est la date la plus critique pour les entreprises.
• 2 août 2027 : application des obligations pour les systèmes d'IA à haut risque intégrés dans des produits réglementés (dispositifs médicaux, automobiles, jouets, etc.)

Conseil stratégique : ne pas attendre août 2026 pour vous mettre en conformité. Les entreprises qui auront déjà formé leurs équipes et documenté leurs usages dès 2025 prendront un avantage décisif sur deux fronts : moindre risque de sanction en cas de contrôle, et expérience consolidée sur l'adoption de l'IA.

3. Les 4 niveaux de risque et leurs sanctions

L'AI Act repose sur une classification pyramidale : plus le système d'IA présente de risques pour les droits fondamentaux, plus les obligations et sanctions sont lourdes.

Niveau 1 — Risque inacceptable (interdit depuis février 2025)

Les pratiques qualifiées de risque inacceptable sont purement et simplement interdites dans l'UE :

• Notation sociale par les autorités publiques (à la chinoise)
• Reconnaissance biométrique en temps réel dans l'espace public, sauf exceptions très encadrées
• Reconnaissance des émotions sur le lieu de travail et en milieu scolaire
• Manipulation cognitive ou comportementale (par exemple : jouet incitant un enfant à un comportement dangereux)
• Catégorisation biométrique selon des données sensibles (origine ethnique, opinions politiques, etc.)

Sanction maximale : jusqu'à 35 millions d'euros ou 7 % du chiffre d'affaires mondial annuel (le montant le plus élevé étant retenu).

Niveau 2 — Haut risque

Les systèmes d'IA à haut risque ne sont pas interdits mais sont soumis à des obligations fortes. Ils sont listés en annexe III du règlement et couvrent notamment :

• RH et emploi : tri de CV, scoring de candidats, évaluation de performance
• Éducation : évaluation des étudiants, admission, scoring d'examens
• Accès aux services essentiels : scoring de crédit, scoring d'assurance
• Maintien de l'ordre : profilage, identification biométrique a posteriori
• Migration et asile : évaluation des demandes
• Justice : aide à la décision judiciaire
• Composants de sécurité dans des produits réglementés (machines, jouets, dispositifs médicaux, automobiles)

Obligations pour les fournisseurs et déployeurs : système de gestion des risques, qualité des données, documentation technique, transparence, supervision humaine, robustesse et cybersécurité, marquage CE, déclaration de conformité.

Sanction maximale : jusqu'à 15 millions d'euros ou 3 % du chiffre d'affaires mondial annuel.

Niveau 3 — Risque limité

Ce niveau concerne les systèmes d'IA qui interagissent avec des humains et génèrent du contenu. C'est la catégorie dans laquelle se trouvent la grande majorité des outils utilisés en entreprise : ChatGPT, Claude, Copilot, Gemini, chatbots, générateurs d'images, etc.

Obligations principales : transparence. L'utilisateur doit savoir qu'il interagit avec une IA. Les contenus générés (deepfakes, images, textes synthétiques) doivent être identifiables comme tels.

Sanction maximale : jusqu'à 7,5 millions d'euros ou 1 % du chiffre d'affaires mondial annuel pour les manquements aux obligations de transparence ou à l'article 4.

Niveau 4 — Risque minimal ou nul

La grande majorité des systèmes d'IA actuels (filtres anti-spam, IA dans les jeux vidéo, optimisation de stockage) tombent dans cette catégorie. Aucune obligation spécifique ne s'applique, mais les fournisseurs sont encouragés à suivre des codes de conduite volontaires.

4. L'article 4 : l'obligation qui vous concerne directement

L'article 4 du règlement (UE) 2024/1689 est l'obligation centrale pour la majorité des entreprises. Il stipule que les fournisseurs et les déployeurs de systèmes d'IA doivent prendre des mesures pour garantir que leur personnel dispose d'un niveau suffisant de littératie IA.

Concrètement, cela signifie :

• Qui est concerné ? Tous vos collaborateurs qui interagissent avec un outil intégrant de l'IA. ChatGPT pour la rédaction, Copilot dans Office, un CRM avec scoring prédictif, un logiciel RH avec tri automatique de CV : tout cela déclenche l'obligation.
• Quel niveau de compétence ? Le texte n'impose pas un niveau précis. Il exige que les collaborateurs comprennent ce qu'est un système d'IA, identifient les risques (hallucinations, biais, confidentialité des données), utilisent les outils de manière responsable et sachent qui contacter en cas d'incident.
• Depuis quand ? L'obligation s'applique depuis le 2 février 2025.
• Comment démontrer la conformité ? Programme de formation documenté, registres des sessions (noms, dates, contenus, durées), supports pédagogiques, attestations de compétences, politique interne d'usage de l'IA.

Pour une analyse détaillée de l'article 4 et de ce qu'il implique, consultez notre article dédié : AI Act 2026 : ce que chaque entreprise doit savoir sur la formation obligatoire.

5. Le plan en 4 étapes pour vous mettre en conformité

La conformité à l'AI Act se construit en quatre étapes lisibles. Cette méthodologie est applicable à toutes les tailles d'entreprises et est la méthode IAvenir que nous déployons sur nos missions d'audit.

Étape 1 — Cartographier vos usages IA

Vous ne pouvez pas être conforme à ce que vous ne connaissez pas. Commencez par lister tous les outils intégrant de l'IA utilisés dans votre organisation. La liste est probablement plus longue que vous ne le pensez :

• Outils d'IA générative explicites : ChatGPT, Claude, Copilot, Gemini, Mistral
• CRM augmentés : HubSpot AI, Salesforce Einstein, Pipedrive AI
• Logiciels RH : ATS avec tri de CV, scoring de candidats
• Outils comptables et financiers : détection d'anomalies, OCR de factures
• Marketing : segmentation prédictive, recommandation, scoring de leads
• Service client : chatbots, IA conversationnelle
• Outils internes développés en interne ou par un prestataire

Documentez pour chaque outil : qui l'utilise, pour quoi, quelles données y sont chargées, quel fournisseur, quel niveau de risque présumé.

Étape 2 — Classifier vos risques

Pour chaque outil cartographié, déterminez dans quelle catégorie de risque il tombe. La plupart des outils grand public (ChatGPT, Copilot pour la rédaction) relèvent du risque limité. Mais attention : un même outil peut basculer en haut risque selon son usage. ChatGPT pour rédiger un e-mail = risque limité. ChatGPT pour scorer des candidats = haut risque (catégorie RH/Emploi).

Cette classification dicte les obligations qui s'appliquent. Pour les usages à haut risque, vous devez documenter la gestion des risques, garantir une supervision humaine et tenir un registre.

Étape 3 — Former vos équipes

C'est l'obligation la plus immédiate (article 4) et la plus simple à remplir. Une formation IA de 1 à 2 jours, dispensée par un organisme certifié Qualiopi, couvre la littératie IA exigée par le texte.

Chez IAvenir, nous proposons trois programmes :

• IAvenir Découverte (1 jour, 2 400 € TTC) : initiation aux fondamentaux IA, prompt engineering, outils. Premier pas idéal pour cocher l'obligation de littératie IA.
• IAvenir Performance (2 jours, 4 300 € TTC) : maîtrise opérationnelle, projet Quick Win, jeu de rôle IA. Pour les équipes qui déploient l'IA dans leurs workflows.
• IAvenir Business (2 jours sur mesure, 4 900 € TTC) : programme entièrement personnalisé selon votre secteur et vos cas d'usage.

Toutes nos formations sont finançables OPCO via le plan de développement des compétences. Pour le détail du financement, consultez notre guide complet sur le financement OPCO.

Étape 4 — Documenter et tenir des registres

En cas de contrôle, vous devez prouver votre conformité. Conservez :

• Une politique interne d'usage de l'IA (qui peut utiliser quoi, dans quel cadre, avec quelles données)
• Le registre des formations : nom, date, durée, contenu, attestation
• L'inventaire des systèmes d'IA en exploitation avec leur classification de risque
• Les évaluations de conformité pour les usages à haut risque
• Les contrats avec vos fournisseurs IA (clauses RGPD-IA, DPA)

Un audit IA d'IAvenir produit ces livrables en standard. Consultez notre offre Audit & Conseil IA.

6. Cas pratique : la conformité AI Act pour une PME

La conformité AI Act n'est pas réservée aux grands groupes. Une PME de 50 à 250 collaborateurs qui utilise ChatGPT, Copilot et un CRM augmenté est tout autant concernée qu'un groupe du CAC 40.

Le coût de la conformité reste raisonnable : pour une PME utilisant des outils grand public, le budget annuel se situe généralement entre 2 000 et 8 000 € (audit + formation), une grande partie pouvant être prise en charge par l'OPCO.

Pour le plan d'action détaillé spécifique aux PME, consultez notre article : AI Act 2026 pour les PME : plan de conformité en 4 étapes.

7. Foire aux questions

Mon entreprise est-elle concernée par l'AI Act même si nous n'avons aucune IA "officielle" ?

Oui, très probablement. Dès lors qu'un de vos outils intègre une fonctionnalité d'IA — et ils sont nombreux à le faire désormais sans l'afficher — vous êtes concerné. ChatGPT utilisé par un commercial pour rédiger un e-mail, Copilot intégré à Office, scoring prédictif dans votre CRM : tout cela déclenche l'article 4.

Quelle est la différence entre l'AI Act et le RGPD ?

Le RGPD régit la protection des données personnelles. L'AI Act régit les systèmes d'IA. Les deux se complètent : un système d'IA qui traite des données personnelles est soumis aux deux règlements. En pratique, votre DPO et votre responsable conformité IA peuvent être la même personne dans une PME.

Combien de temps pour me mettre en conformité ?

Pour une PME utilisant des outils grand public : 2 à 3 mois entre la cartographie initiale, la formation des équipes et la documentation. Pour une organisation avec des systèmes à haut risque (RH, finance, santé), comptez 6 à 12 mois.

Que se passe-t-il si je suis contrôlé alors que je ne suis pas conforme ?

Les sanctions sont graduées. Un manquement à l'article 4 (formation) entraîne un avertissement et une mise en demeure dans la plupart des cas, surtout si vous démarrez votre mise en conformité. Les amendes maximales ne s'appliquent qu'aux infractions graves et récurrentes. Le principal risque à court terme n'est pas l'amende mais la réputation : un signalement public peut affecter votre crédibilité commerciale.

L'AI Act s'applique-t-il aussi aux outils déployés en interne (pas en SaaS) ?

Oui. Que l'outil soit hébergé chez vous, dans un cloud souverain (OVHcloud, Scaleway) ou chez un fournisseur américain, les obligations sont identiques.

Mes formateurs externes sont-ils concernés ?

Si vos formateurs utilisent de l'IA pendant leurs prestations chez vous, oui. Cela rentre dans le périmètre des collaborateurs externes interagissant avec des systèmes d'IA pour le compte de votre organisation.

8. Ressources et prochaines étapes

Pour aller plus loin :

• AI Act 2026 : ce que chaque entreprise doit savoir sur la formation obligatoire (article satellite, focus article 4)
• AI Act 2026 pour les PME : plan de conformité en 4 étapes (article satellite, focus PME)
• Financement OPCO : comment faire financer votre formation IA en 2026
• Le texte officiel du règlement (UE) 2024/1689

Prêt à vous mettre en conformité AI Act ?

Réservez un échange gratuit de 30 minutes avec un expert IAvenir. Nous identifions vos cas d'usage IA, classifions les risques et vous proposons un parcours adapté — formation, audit ou les deux. Certifié Qualiopi, finançable OPCO.

→ Prendre rendez-vous
→ Découvrir notre offre Audit & Conseil IA