Saturday, 11 July 2026 | Mise à jour quotidienne L'intelligence artificielle au service des constructeurs

Le règlement général sur l'IA de l'UE en 2026 : ce que les entreprises doivent savoir

Mis à jour · Initialement publié le 18 mai 2026

Le règlement général sur l'IA de l'UE est la première loi mondiale complète régulant l'intelligence artificielle — et, à l'instar du RGPD avant lui, son influence s'étend bien au‑delà des frontières européennes. Si votre entreprise développe, vend ou même simplement utilise de l'IA, et qu'elle entre en contact avec le marché de l'UE de quelque manière que ce soit, cette loi s'applique très probablement à vous. Ce guide vous l'explique en des termes simples et pratiques.

Cet article constitue une information générale, non un conseil juridique. Pour connaître vos obligations spécifiques, consultez un professionnel qualifié.

Points clés

  • Le règlement général sur l'IA de l'UE est la première loi complète sur l'IA, adoptant une approche fondée sur le risque .
  • Quatre niveaux de risque : inacceptable (interdit), à haut risque (règles strictes), à risque limité (transparence), à risque minimal (liberté d'usage).
  • Elle s'applique de manière extraterritoriale — les entreprises non européennes sont concernées si leur IA a un impact sur le marché de l'UE.
  • Elle entre en vigueur progressivement, avec des obligations différentes entrant en vigueur à des dates distinctes.
  • Les sanctions sont sévères — des amendes importantes calculées sur le chiffre d'affaires mondial.

Quelle est la loi européenne sur l'IA ?

La loi européenne sur l'IA est une législation de l'Union européenne qui établit des règles encadrant le développement, la commercialisation et l'utilisation des systèmes d'intelligence artificielle. Son objectif est de garantir que l'IA utilisée dans l'UE soit sûre, transparente et respectueuse des droits fondamentaux, tout en continuant de favoriser l'innovation.

Sa caractéristique distinctive est une approche fondée sur le risque. Plutôt que de réglementer toutes les IA de la même manière, elle classe les systèmes d'IA selon le niveau de risque qu'ils présentent pour les personnes, et applique des règles plus strictes aux usages à haut risque. Un filtre anti-spam et un système d'IA destiné à trier des candidats à l'embauche ne sont pas traités de façon identique — et c'est précisément là toute la logique de ce dispositif.

Les quatre niveaux de risque

Tout le dispositif de la loi découle de ces catégories :

Niveau de risqueTraitementExemples
Risque inacceptableInterdiction totaleÉvaluation sociale, IA manipulatrice ou exploitative
Risque élevéObligations strictesIA utilisée dans le recrutement, l'octroi de crédit, l'éducation, les infrastructures critiques
Risque limitéObligations de transparenceChatbots, contenus générés par l'IA
Risque minimalEn grande partie non réglementéFiltres anti-spam, IA dans les jeux vidéo, outils de recommandation

Risque inacceptable — un petit nombre d'applications de l'IA, jugées clairement menaçantes pour les droits des personnes, sont interdites sans exception.

Risque élevé — la catégorie la plus importante en matière de conformité. L'IA utilisée dans des domaines ayant des conséquences concrètes — décisions d'embauche, accès au crédit et aux services essentiels, éducation, certains systèmes critiques — fait l'objet d'exigences strictes avant et pendant son utilisation.

Risque limité — des systèmes tels que les chatbots ou les contenus générés par l'IA impliquent des obligations de transparence : les utilisateurs doivent être informés qu'ils interagissent avec une IA ou que le contenu qu'ils consultent a été généré par une IA.

Risque minimal — la grande majorité des applications de l'IA relève de cette catégorie et n'entraîne pratiquement aucune nouvelle obligation.

À qui s'applique-t-elle ?

C'est là un point souvent méconnu des entreprises : la loi européenne sur l'IA s'applique de manière extraterritoriale. Vous n'avez pas besoin d'être établi en Europe pour être concerné.

La loi s'applique aux :

  • Fournisseurs — ceux qui développent des systèmes d'IA ou les mettent sur le marché de l'UE.
  • Utilisateurs déployeurs — les entreprises qui utiliser des systèmes d'IA dans leurs activités au sein de l'UE.
  • Entreprises non européennes — si votre système d'IA est utilisé dans l'UE, ou si ses résultats sont utilisés dans l'UE, la loi peut vous être applicable, quelle que soit la localisation géographique de votre entreprise.

Ainsi, une entreprise située n'importe où dans le monde qui propose un produit d'IA à des clients de l'UE, ou qui utilise l'IA pour prendre des décisions affectant des personnes résidant dans l'UE, peut potentiellement relever du champ d'application de la loi. Il s'agit du même « effet Bruxelles » qui a fait du RGPD une norme mondiale.

Principales obligations applicables aux IA à haut risque

Si votre IA relève du niveau à haut risque, vous devrez notamment respecter les exigences suivantes :

  • Gestion des risques — un processus continu visant à identifier et à atténuer les risques.
  • Gouvernance des données — utilisation de jeux de données appropriés et correctement gérés, avec une attention particulière portée à biais.
  • Documentation — tenue de registres techniques détaillés attestant la conformité.
  • Transparence — information claire fournie aux personnes qui déploient le système ainsi qu'à celles qui en sont affectées.
  • Supervision humaine — le système doit être conçu de façon à permettre une surveillance humaine effective.
  • Précision et robustesse — performances et sécurité appropriées.
  • Tenue de registres — journalisation permettant de retracer le fonctionnement du système.

Pour à risque limité les systèmes, l’obligation centrale est plus simple : divulgation. Informez les utilisateurs qu’ils interagissent avec une intelligence artificielle et étiquetez clairement le contenu généré par IA.

IA à usage général

Le règlement aborde également l’IA à usage général — les grands modèles fondamentaux qui sous-tendent de nombreux produits. Les fournisseurs de ces modèles sont soumis à un ensemble spécifique d’obligations, notamment en matière de transparence et de documentation ; des obligations supplémentaires s’appliquent aux modèles les plus performants, susceptibles de poser des risques plus étendus.

Calendrier et sanctions

Le Règlement européen sur l’IA n’entre pas en vigueur d’un seul coup. Il s’applique progressivement, avec différentes obligations entrant en vigueur à des dates distinctes — les interdictions relatives aux usages prohibés ont été les premières à s’appliquer, suivies, selon un calendrier échelonné, des exigences applicables aux systèmes à haut risque et aux autres catégories. Comme les dates exactes dépendent de la catégorie concernée, les entreprises doivent vérifier le calendrier actuel des obligations qui les concernent.

Le pénalités sont délibérément sévères — des amendes substantielles calculées en pourcentage du chiffre d’affaires annuel mondial de l’entreprise, les pénalités les plus lourdes étant réservées aux infractions les plus graves. À l’instar du RGPD, cette conception des sanctions garantit que les grandes entreprises ne peuvent pas considérer la conformité comme une option facultative. mondial de chiffre d'affaires annuel, les amendes les plus lourdes étant prévues pour les violations les plus graves. Comme pour le GDPR, la conception des sanctions garantit que les grandes entreprises ne peuvent pas simplement considérer la conformité comme facultative.

Ce que les entreprises doivent faire dès maintenant

Une liste de contrôle pratique pour commencer :

  1. Faites l’inventaire de vos systèmes d’IA. Répertoriez tous les systèmes d’IA que vous développez ou utilisez et qui entrent en contact avec le marché de l’UE.
  2. Classez chacun d’eux selon son niveau de risque. Cela détermine ce que vous devez ou non faire.
  3. Concentrez-vous sur les systèmes à haut risque — c’est là que réside l’essentiel du travail de conformité.
  4. Vérifiez vos obligations en matière de transparence — si vous utilisez des chatbots ou générez du contenu par IA, assurez-vous de le divulguer clairement.
  5. Désignez un responsable. Attribuez clairement la gouvernance de l’IA à une personne ou une équipe.
  6. Sollicitez des conseils d’experts pour tout système à haut risque ou toute situation incertaine.

Pour la plupart des entreprises, une grande partie de leur utilisation de l’IA relève des catégories à risque minimal ou limité et nécessite peu d’actions. L’effort se concentre sur les systèmes à haut risque — la première tâche consiste donc simplement à identifier lesquels des vôtres, le cas échéant, y sont soumis.

Feuille de route progressive de conformité pour les nouvelles échéances 2026–2028

Le calendrier ne comporte plus une seule date butoir. Dans le cadre du paquet de simplification « Digital Omnibus », sur lequel le Conseil et le Parlement européen sont parvenus à un accord provisoire le 7 mai 2026, les obligations les plus contraignantes applicables aux systèmes à haut risque ont été reportées : les systèmes autonomes figurant à l’annexe III (recrutement, notation du crédit, éducation, etc.) s’appliqueront désormais à compter du 2 décembre 2027, et l’IA intégrée à des produits réglementés relevant de l’annexe I (dispositifs médicaux, machines, véhicules) à compter du 2 août 2028. Ce délai offre une marge de manœuvre, mais ne constitue pas un sursis. Les pratiques interdites sont prohibées depuis février 2025 ; les règles de transparence s’appliquent dès leur entrée en vigueur, et les obligations relatives à l’IA à usage général (déjà en vigueur depuis août 2025) deviennent exécutoires avec possibilité d’amendes à compter du 2 août 2026. À noter que ces nouvelles dates restent soumises à l’adoption formelle et à la publication au Journal officiel. Considérez ce report comme une opportunité de mener correctement les travaux requis, et non comme un motif de les différer.

Traitez le problème en quatre phases :

  • Phase 1 – Inventaire (faites-le dès maintenant). Énumérez tous les systèmes d’IA que votre organisation développe, achète ou intègre. Pour chacun d’eux, indiquez le fournisseur, la finalité métier, les données qu’il traite et les personnes affectées par ses résultats. Vous ne pouvez ni classifier ni budgéter ce que vous n’avez pas répertorié, et l’IA non déclarée intégrée dans des outils SaaS constitue le point aveugle le plus fréquent.
  • Phase 2 – Classifier et trier. Associez chaque système à un niveau de risque. Tout système susceptible d’être interdit (par exemple, la reconnaissance des émotions sur le lieu de travail ou le « scraping » non ciblé destiné à alimenter des bases de données de reconnaissance faciale) doit être immédiatement suspendu — ces interdictions sont déjà entrées en vigueur. Signalez tous les systèmes à haut risque afin de les soumettre à un examen approfondi.
  • Phase 3 – Combler les lacunes (2026-2027). Pour les systèmes à haut risque, élaborez la documentation technique, le processus de gestion des risques, la conception d’un contrôle humain, les mécanismes de journalisation (logging) et les preuves relatives à la gouvernance des données exigées par le Règlement. Lorsque vous déployez un système tiers plutôt que de le développer vous-même, vos obligations au titre de l’article 26 sont allégées, mais bien réelles : assurez-vous d’obtenir par écrit les instructions du fournisseur ainsi que sa documentation de conformité.
  • Phase 4 – Exploiter et surveiller (activités continues). La conformité ne se limite pas à un simple dépôt ponctuel. Désignez des responsables nommés, conservez les journaux d’activité, surveillez les performances et signalez sans délai les incidents graves.

Mettez en place, dès le premier jour, une formation à la littératie en IA — elle est peu coûteuse, déjà attendue tant des fournisseurs que des utilisateurs, et une main-d’œuvre formée est précisément ce qui permet de faire fonctionner durablement toutes les autres phases. Si vous êtes une PME ou une petite entreprise cotée, portez une attention particulière aux simplifications prévues par le paquet « Omnibus », conçues spécifiquement pour vous : atténuation des exigences documentaires et accès prioritaire aux « sandboxes » réglementaires pour des tests en conditions réelles.

FAQ

Quelle est la loi européenne sur l'IA ?

Le Règlement européen sur l’IA est la loi globale de l’Union européenne régissant l’intelligence artificielle — la première de son genre. Il repose sur une approche fondée sur le risque, classant les systèmes d’IA en quatre niveaux (risque inacceptable, élevé, limité et minimal) et appliquant des obligations proportionnelles au risque présenté par chacun.

Le Règlement européen sur l’IA s’applique-t-il aux entreprises non européennes ?

Oui. Le règlement s’applique de manière extraterritoriale. Une entreprise située n’importe où peut être concernée si son système d’IA est mis sur le marché de l’UE, utilisé au sein de l’UE ou si ses résultats sont utilisés dans l’UE. Des entreprises du monde entier peuvent ainsi être tenues de respecter certaines obligations dès lors que leur IA entre en contact avec l’UE.

Quelles sont les catégories de risque définies par le Règlement européen sur l’IA ?

Quatre : risque inacceptable (interdiction totale), risque élevé (obligations strictes, par exemple pour l’IA utilisée dans le recrutement ou l’octroi de crédit), risque limité (obligations de transparence, comme la divulgation par les chatbots de leur nature artificielle) et risque minimal (la plupart des applications d’IA, largement non réglementées).

Quelles sont les sanctions prévues en cas de violation du Règlement européen sur l’IA ?

Les sanctions consistent en des amendes substantielles calculées en pourcentage du chiffre d’affaires annuel mondial de l’entreprise, les amendes les plus élevées étant réservées aux infractions les plus graves, telles que l’utilisation de systèmes d’IA interdits. Cette conception reprend l’approche du RGPD, visant à rendre effectivement coûteuse la non-conformité.

Que doit faire mon entreprise pour se conformer au Règlement européen sur l’IA ?

Commencez par dresser l’inventaire de tous les systèmes d’IA que vous développez ou utilisez et qui entrent en contact avec le marché de l’UE, puis classez-les selon leur niveau de risque. La plupart seront à faible risque et nécessiteront peu d’actions. Concentrez vos efforts de conformité sur les éventuels systèmes à haut risque, veillez à respecter les obligations de transparence concernant les chatbots et le contenu généré par IA, désignez clairement un responsable de la gouvernance de l’IA et sollicitez des conseils juridiques lorsque cela est nécessaire.

Les règles applicables aux systèmes d’IA à haut risque ont-elles vraiment été reportées à 2027 ?

Oui, dans la plupart des cas. Le paquet numérique « Omnibus » — provisoirement approuvé par le Conseil et le Parlement européen le 7 mai 2026 — repousse à compter du 2 décembre 2027 l’entrée en vigueur des obligations applicables aux systèmes autonomes figurant à l’annexe III, et au 2 août 2028 celles concernant les systèmes d’IA intégrés dans des produits réglementés visés à l’annexe I. Cette décision reste toutefois subordonnée à son adoption formelle ; elle ne modifie en rien les interdictions (déjà en vigueur depuis février 2025) ni les règles relatives à la transparence et aux modèles généraux d’IA, applicables dès le 2 août 2026. Planifiez donc vos actions selon ces nouvelles échéances, mais ne considérez pas pour autant la liste des pratiques interdites comme facultative.

Les amendes sont-elles moins sévères pour les startups et les petites entreprises ?

De fait, oui. Les plafonds maximaux sont élevés : jusqu’à 35 millions d’euros ou 7 % du chiffre d’affaires mondial annuel pour les pratiques interdites, et 15 millions d’euros ou 3 % pour les manquements liés aux systèmes à haut risque. Pour la plupart des entreprises, l’autorité de régulation retient le montant le plus élevé des deux. Or, l’article 99, paragraphe 6, inverse cette règle pour les PME et les startups : l’amende est plafonnée au montant le plus faible des deux. Une petite entreprise s’expose donc à un pourcentage de son chiffre d’affaires modeste, et non à une pénalité forfaitaire de plusieurs millions d’euros.

Sommes-nous responsables si nous utilisons uniquement un outil d’IA tiers, sans le développer nous-mêmes ?

Vous pouvez l’être, mais vos obligations sont limitées. Si vous déployez simplement un système à haut risque développé par un tiers dans votre activité, vous êtes un « utilisateur », et non un « fournisseur » : les obligations les plus lourdes — évaluation de conformité, documentation technique, marquage CE et enregistrement auprès de l’UE — incombent au vendeur. Vos obligations au titre de l’article 26 demeurent néanmoins pleinement applicables : utilisez le système conformément aux instructions du fournisseur, désignez un responsable humain qualifié, conservez les journaux d’activité pendant au moins six mois, surveillez son fonctionnement, signalez sans délai les incidents graves, informez les personnes concernées et réalisez, le cas échéant, une évaluation de l’impact sur les droits fondamentaux. Attention toutefois : si vous modifiez substantiellement un système ou le rebaptisez sous votre propre marque, vous pouvez devenir pleinement responsable, à l’instar d’un fournisseur.

Conclusion

Le Règlement européen sur l’IA constitue un jalon historique : il s’agit de la première tentative globale de réguler l’IA, et — grâce à son application extraterritoriale — il deviendra probablement une référence mondiale, tout comme le RGPD l’a été pour la protection des données. Sa conception fondée sur le risque est raisonnable : l’IA à risque minimal est laissée libre, tandis que l’IA utilisée pour des décisions ayant des conséquences importantes fait l’objet d’un véritable examen.

Pour la plupart des entreprises, la tâche pratique est parfaitement gérable. Faites l’inventaire de vos systèmes d’IA, classez-les selon leur niveau de risque, et vous constaterez que les obligations les plus contraignantes ne s’appliquent qu’aux usages à haut risque. L’erreur à éviter est de supposer que ce règlement ne vous concerne pas parce que vous n’êtes pas établi en Europe — si votre IA atteint le marché de l’UE, elle y est très probablement soumise.

Défiler vers le haut
Featured on There's An AI For That