Par Joseph David Atias, avocat au Barreau de Paris · LinkedIn · Mai 2026
L’AI Act est entré dans sa phase d’application progressive, et 2026 marque une étape décisive pour les entreprises. Les pratiques interdites sont déjà sanctionnées, les obligations relatives aux systèmes à haut risque se déploient, et les autorités de contrôle montent en puissance. Pourtant, la majorité des entreprises sous-estime encore l’ampleur des obligations AI Act entreprises qui s’imposent désormais à elles — y compris lorsqu’elles ne font qu’utiliser des outils d’IA tiers. Cet article détaille de manière concrète et opérationnelle ce que votre entreprise doit faire dès maintenant pour se mettre en conformité.
SOMMAIRE
- Pourquoi l’AI Act devient incontournable en 2026
- Le cadre juridique et la classification des risques
- Les 7 obligations concrètes des entreprises
- Tableau de synthèse des obligations par niveau de risque
- La méthodologie de mise en conformité en 5 étapes
- Pourquoi faire appel à Atias Avocats
- FAQ — Questions fréquentes
1. Pourquoi l’AI Act devient incontournable en 2026
Les obligations AI Act entreprises ne sont plus une perspective lointaine. Elles s’imposent désormais concrètement, avec un calendrier d’application qui se déploie et des autorités de contrôle qui se structurent. Trois facteurs convergents en 2026 expliquent cette montée en puissance des obligations AI Act entreprises et imposent une réaction rapide.
1.1 Un calendrier d’application déjà engagé
Le Règlement UE 2024/1689 (AI Act) est entré en vigueur en août 2024, avec une application échelonnée. Les pratiques interdites s’appliquent depuis février 2025. Les obligations relatives aux modèles d’IA à usage général se déploient depuis août 2025. Les obligations des systèmes à haut risque s’appliquent progressivement jusqu’en 2027. En 2026, l’entreprise se trouve donc dans une phase critique où plusieurs strates d’obligations sont déjà exigibles.
1.2 Un périmètre d’application très large
Beaucoup de dirigeants pensent à tort que les obligations AI Act entreprises ne concernent que les éditeurs de solutions d’IA. C’est une erreur d’appréciation majeure. Le règlement vise quatre catégories d’acteurs : les fournisseurs, les déployeurs, les importateurs et les distributeurs. La grande majorité des entreprises sont déployeurs — c’est-à-dire qu’elles utilisent des systèmes d’IA dans un cadre professionnel. À ce titre, elles supportent des obligations propres, souvent ignorées.
1.3 Une articulation forte avec le RGPD
Les obligations AI Act entreprises ne remplacent pas le RGPD : elles s’y ajoutent. Lorsqu’un système d’IA traite des données personnelles, les deux corpus s’appliquent cumulativement. Cette articulation crée une complexité de conformité accrue mais aussi des synergies : l’analyse d’impact sur les droits fondamentaux (FRIA) peut s’articuler avec l’analyse d’impact RGPD (AIPD). Pour aller plus loin, consultez nos services en matière de protection des données personnelles.
2. Le cadre juridique et la classification des risques
Comprendre les obligations AI Act entreprises suppose de maîtriser l’architecture du règlement. L’AI Act repose sur une approche graduée par les risques, structurée en quatre niveaux distincts dont découlent des obligations différenciées.
2.1 Le risque inacceptable — les pratiques interdites
L’article 5 du Règlement UE 2024/1689 interdit certaines pratiques d’IA jugées contraires aux valeurs de l’Union. Sont notamment prohibés : la notation sociale généralisée, la manipulation subliminale, l’exploitation des vulnérabilités, l’identification biométrique à distance en temps réel dans l’espace public (sauf exceptions strictes), la reconnaissance des émotions sur le lieu de travail. Toute entreprise utilisant ou développant ces systèmes s’expose aux sanctions maximales.
2.2 Le risque élevé — les systèmes à haut risque
Les systèmes d’IA à haut risque sont listés à l’Annexe III du règlement : recrutement et gestion des ressources humaines, accès au crédit et à l’assurance, éducation, infrastructures critiques, accès aux services essentiels. Ces systèmes supportent des obligations strictes : système de gestion des risques, gouvernance des données, documentation technique, transparence, supervision humaine, robustesse et cybersécurité. C’est le cœur opérationnel des obligations AI Act entreprises.
2.3 Le risque limité — les obligations de transparence
Le risque limité concerne les systèmes qui interagissent avec des personnes ou génèrent des contenus. L’article 50 du règlement impose des obligations de transparence : informer l’utilisateur qu’il interagit avec une IA (chatbots), signaler les contenus générés ou modifiés par IA (deepfakes, textes synthétiques). Ces obligations s’appliquent largement, y compris aux usages marketing et communication des entreprises.
2.4 Le risque minimal et les modèles à usage général
Le risque minimal ne fait l’objet d’aucune obligation contraignante spécifique — la majorité des systèmes d’IA y appartiennent. En parallèle, les modèles d’IA à usage général (GPAI), comme les grands modèles de langage, supportent des obligations spécifiques de transparence et de documentation, renforcées pour ceux présentant un risque systémique. Pour aller plus loin, consultez nos services en matière de contrats informatiques.
3. Les 7 obligations concrètes des entreprises
Au-delà de la théorie, les obligations AI Act entreprises se traduisent par sept actions opérationnelles concrètes. Leur mise en œuvre conditionne la conformité réelle de l’organisation et sa capacité à démontrer sa bonne foi en cas de contrôle.
3.1 Cartographier tous les systèmes d’IA utilisés
La première obligation pratique consiste à recenser l’ensemble des systèmes d’IA utilisés dans l’organisation. Cette cartographie est presque toujours incomplète au départ : outils IA intégrés dans des SaaS, assistants génératifs utilisés par les équipes, modules d’IA dans les logiciels métiers. Un inventaire rigoureux révèle systématiquement de nombreux systèmes non identifiés initialement, dont certains peuvent relever du haut risque.
3.2 Classer chaque système par niveau de risque
Chaque système identifié doit être qualifié juridiquement selon les quatre niveaux de risque. Cette classification détermine l’intensité des obligations applicables. Elle exige une analyse fine, car un même outil peut basculer en haut risque selon son usage concret. Une qualification erronée expose à des manquements graves — d’où l’importance d’une analyse juridique rigoureuse documentée.
3.3 Établir la documentation technique et les registres
Pour les systèmes à haut risque, une documentation technique complète est obligatoire (article 11 et Annexe IV) : description du système, données d’entraînement, mesures de gestion des risques, performances, limites. Les déployeurs doivent également tenir des registres de fonctionnement. Cette documentation est la première chose qu’une autorité de contrôle examinera en cas de vérification.
3.4 Mettre en place la supervision humaine
L’article 14 du règlement impose une supervision humaine effective des systèmes à haut risque. Concrètement : désignation de personnes responsables, formation appropriée, capacité d’intervention et d’arrêt du système, procédures documentées. La supervision humaine ne peut être purement formelle — elle doit être réelle et opérationnelle, sous peine d’être considérée comme inexistante.
3.5 Réaliser l’analyse d’impact (FRIA)
L’article 27 impose, pour certains déployeurs de systèmes à haut risque, une analyse d’impact sur les droits fondamentaux — la FRIA (Fundamental Rights Impact Assessment). Cette analyse évalue les effets du système sur la non-discrimination, la vie privée et la dignité. Elle s’articule avec l’analyse d’impact RGPD (AIPD) lorsque des données personnelles sont traitées, dans une logique de conformité intégrée et documentée.
3.6 Respecter les obligations de transparence
L’article 50 impose des obligations de transparence largement applicables. Toute interaction avec un système d’IA conversationnel doit être signalée à l’utilisateur. Tout contenu généré ou modifié par IA (image, vidéo, texte, audio) doit être identifié comme tel. Ces obligations concernent particulièrement les usages marketing, communication et relation client des entreprises — domaines où les manquements sont fréquents.
3.7 Structurer une gouvernance IA interne
Au-delà des obligations ponctuelles, l’AI Act impose de fait une gouvernance IA structurée : politique interne d’usage de l’IA, processus de validation des nouveaux systèmes, formation des équipes, désignation de référents, articulation avec le DPO. Cette gouvernance transforme la conformité ponctuelle en démarche pérenne et auditable — condition de la sécurité juridique durable.
4. Tableau de synthèse des obligations par niveau de risque
Le tableau ci-dessous synthétise les obligations principales selon le niveau de risque du système d’IA, avec le niveau de criticité associé en cas de manquement.
| Niveau de risque | Obligation principale | Criticité |
|---|---|---|
| Inacceptable | Interdiction totale (art. 5) | 🔴 Critique |
| Élevé (Annexe III) | Documentation, FRIA, supervision | 🔴 Critique |
| Limité | Transparence (art. 50) | 🟠 Élevée |
| Modèles à usage général | Documentation + transparence | 🟠 Élevée |
| Minimal | Aucune obligation spécifique | 🟡 Moyenne |
| Tous niveaux | Cartographie + gouvernance | 🔴 Critique |
5. La méthodologie de mise en conformité en 5 étapes
Une méthodologie structurée permet de transformer la complexité des obligations AI Act entreprises en démarche maîtrisée. Cinq étapes successives sécurisent la conformité et constituent la preuve de bonne foi en cas de contrôle.
5.1 Étape 1 — Cartographier l’écosystème IA
La première étape consiste à recenser exhaustivement tous les systèmes d’IA présents dans l’organisation : outils internes, modules IA des SaaS, assistants génératifs, systèmes développés. Cette cartographie combine plusieurs sources : achats, IT, métiers, audit technique. L’inventaire doit préciser pour chaque système son usage, son fournisseur, ses données et son périmètre d’utilisation.
5.2 Étape 2 — Qualifier juridiquement chaque système
Chaque système cartographié doit être classé selon les quatre niveaux de risque. Cette qualification, qui doit être documentée, détermine les obligations applicables. Elle exige une analyse juridique précise, car la frontière entre risque limité et haut risque dépend souvent de l’usage concret du système plutôt que de sa nature technique.
5.3 Étape 3 — Combler les écarts de conformité
Sur la base de cette qualification, et au regard des obligations AI Act entreprises identifiées, un plan de remédiation hiérarchisé doit être établi. Les écarts critiques (système relevant d’une pratique interdite, absence de documentation pour un système à haut risque) sont traités en priorité absolue. Les écarts secondaires sont planifiés. Cette priorisation concentre les ressources là où le risque juridique est maximal.
5.4 Étape 4 — Documenter et formaliser
La conformité AI Act repose largement sur la preuve documentaire. Documentation technique, FRIA, registres, politique de gouvernance, procédures de supervision humaine : chaque obligation doit être matérialisée par un document daté et accessible. En cas de contrôle, l’absence de documentation équivaut à l’absence de conformité, même si les mesures sont effectivement appliquées.
5.5 Étape 5 — Pérenniser la gouvernance
Le respect des obligations AI Act entreprises n’est pas un état figé mais un processus continu. Une gouvernance IA pérenne doit être instaurée : comité IA, processus de validation des nouveaux systèmes, formation régulière, veille réglementaire, audits périodiques. Cette gouvernance transforme une mise en conformité ponctuelle en démarche durable, capable d’absorber l’évolution des systèmes et de la réglementation.
6. Pourquoi faire appel à Atias Avocats
Conduire une mise en conformité aux obligations AI Act entreprises de manière efficace exige une combinaison rare de compétences : maîtrise fine du Règlement UE 2024/1689 et de ses textes d’application, expertise RGPD pour articuler FRIA et AIPD, compréhension technique des architectures d’IA (modèles, données d’entraînement, déploiement), pratique contractuelle pour sécuriser les relations avec les fournisseurs d’IA. Cette pluridisciplinarité est précisément la valeur ajoutée d’un cabinet spécialisé en droit du numérique avec une pratique active de la conformité IA.
Atias Avocats accompagne entreprises, startups et grands comptes dans l’ensemble du cycle de conformité AI Act : cartographie des systèmes d’IA, qualification juridique par niveau de risque, rédaction de la documentation technique et des FRIA, élaboration de la politique de gouvernance IA, formation des équipes, audit des contrats fournisseurs d’IA, accompagnement en cas de contrôle des autorités. Pour aller plus loin, consultez nos services en matière de contrats informatiques.
Conclusion
L’AI Act n’est plus une perspective réglementaire abstraite : c’est un cadre contraignant dont les obligations s’imposent concrètement aux entreprises dès 2026. La majorité des organisations sous-estiment encore leur statut de déployeur et les obligations qui en découlent — y compris lorsqu’elles se contentent d’utiliser des outils d’IA tiers. Les sept obligations concrètes présentées dans cet article concentrent l’essentiel des exigences opérationnelles, et la méthodologie en cinq étapes offre une approche éprouvée pour transformer la complexité en démarche maîtrisée.
FAQ — Questions fréquentes
Quelles entreprises sont concernées par l’AI Act ?
L’AI Act (Règlement UE 2024/1689) concerne un périmètre très large d’entreprises. Sont visés : les fournisseurs qui développent et commercialisent des systèmes d’IA, les déployeurs qui utilisent des systèmes d’IA dans un cadre professionnel, les importateurs et distributeurs de systèmes d’IA. Le règlement s’applique de manière extraterritoriale : toute entreprise dont les systèmes d’IA produisent des effets dans l’Union européenne est concernée, quel que soit son lieu d’établissement. En pratique, la quasi-totalité des entreprises utilisant des outils d’IA en production sont déployeurs au sens du règlement et doivent vérifier leurs obligations.
Comment classer un système d’IA selon l’AI Act ?
L’AI Act repose sur une approche par les risques en quatre niveaux. Le risque inacceptable concerne les pratiques interdites (notation sociale, manipulation, identification biométrique non autorisée). Le risque élevé vise les systèmes listés à l’Annexe III (recrutement, crédit, éducation, infrastructures critiques) et soumis à des obligations strictes. Le risque limité impose des obligations de transparence (chatbots, deepfakes). Le risque minimal ne fait l’objet d’aucune obligation spécifique. La première étape de conformité consiste toujours à cartographier et classer chaque système d’IA utilisé ou déployé.
Quelles sont les sanctions prévues par l’AI Act ?
Les sanctions de l’AI Act sont parmi les plus élevées du droit européen. Pour les pratiques interdites (risque inacceptable), l’amende peut atteindre 35 millions d’euros ou 7 % du chiffre d’affaires mondial annuel. Pour les manquements aux obligations des systèmes à haut risque, le plafond est de 15 millions d’euros ou 3 % du chiffre d’affaires. Pour la fourniture d’informations inexactes aux autorités, la sanction est de 7,5 millions d’euros ou 1 % du chiffre d’affaires. Ces montants se cumulent avec les sanctions RGPD applicables lorsque des données personnelles sont traitées.
Qu’est-ce qu’une FRIA et qui doit la réaliser ?
La FRIA (Fundamental Rights Impact Assessment), ou analyse d’impact sur les droits fondamentaux, est une obligation introduite par l’article 27 de l’AI Act. Elle doit être réalisée par les déployeurs de systèmes d’IA à haut risque, notamment les organismes publics et certaines entreprises privées fournissant des services essentiels. La FRIA évalue l’impact du système sur les droits fondamentaux des personnes concernées : non-discrimination, vie privée, dignité. Elle s’articule avec l’analyse d’impact RGPD (AIPD) lorsque des données personnelles sont traitées, dans une logique de conformité intégrée.
Contact : david@atiasavocats.com | LinkedIn: David Joseph Atias | https://www.atiasavocats.com | 42 rue de la Clef, 75005 Paris
Atias Avocats — Droit du numérique, AI Act, RGPD, Contrats IT
