EU AI Act : la deadline du 2 août 2026 et votre checklist de conformité

Le 2 août 2026, l'EU AI Act devient pleinement applicable. Concrètement, à cette date entrent en vigueur les règles de transparence de l'article 50, les pouvoirs d'exécution de la Commission européenne sur les modèles à usage général (GPAI), et une partie du dispositif relatif aux systèmes à haut risque. Le règlement est entré en vigueur le 1^er août 2024 ; cette échéance d'août 2026 marque la bascule où l'essentiel du texte cesse d'être théorique pour devenir opposable.

Pour un dirigeant de PME ou d'ETI, le message clé est simple : il ne s'agit pas d'une réglementation lointaine qui ne concernerait que les géants de la tech. Dès lors que vous utilisez, intégrez ou distribuez un système d'IA — un chatbot client, un outil de tri de CV, un agent de génération de contenu, un assistant interne — vous portez des obligations, notamment de transparence et de documentation.

Cet article fait le tri entre ce qui s'applique réellement au 2 août 2026, ce qui a été reporté par le Digital Omnibus de mai 2026, et ce que vous devez concrètement mettre en place. Pas de panique réglementaire : une checklist actionnable.

Ce qui change vraiment le 2 août 2026

Réponse directe : au 2 août 2026, trois blocs deviennent applicables — les obligations de transparence (article 50), les pouvoirs d'exécution de la Commission sur les fournisseurs de GPAI (avec amendes possibles), et le cadre général des systèmes à haut risque listés à l'Annexe III. Mais attention : un report majeur est intervenu en mai 2026.

Le 7 mai 2026, un accord provisoire sur le Digital Omnibus a décalé l'entrée en application des obligations d'usage des systèmes à haut risque de l'Annexe III : elles passent du 2 août 2026 au 2 décembre 2027. Cela donne aux entreprises seize mois supplémentaires sur le volet le plus lourd à mettre en œuvre. Nous détaillons ce report dans notre analyse dédiée au Digital Omnibus.

Ce qui reste daté au 2 août 2026 et qui vous concerne presque tous : la transparence. Si vous exploitez un chatbot, un système qui génère du texte, des images, de l'audio ou de la vidéo, ou un système de reconnaissance d'émotions, vous devez informer les utilisateurs qu'ils interagissent avec une IA et marquer les contenus générés. C'est le cœur opérationnel de l'échéance pour la plupart des PME.

Le calendrier réel de l'AI Act, étape par étape

Le règlement applique ses dispositions par vagues. Voici la chronologie consolidée, mise à jour après l'accord du Digital Omnibus de mai 2026 :

• 1^er août 2024 — entrée en vigueur du règlement. Le compte à rebours démarre.
• 2 février 2025 — interdiction des pratiques d'IA présentant un risque inacceptable (notation sociale, manipulation, certaines surveillances biométriques). Obligations de littératie IA pour le personnel.
• 2 août 2025 — entrée en vigueur des obligations pour les modèles à usage général (GPAI). Le Code of Practice GPAI final a été publié en juillet 2025 pour accompagner cette échéance.
• 2 août 2026 — pleine applicabilité : transparence (article 50), pouvoirs d'exécution de la Commission sur les GPAI (amendes possibles), cadre des systèmes à haut risque de l'Annexe III.
• 2 août 2027 — date limite de mise en conformité des modèles GPAI mis sur le marché avant le 2 août 2025.
• 2 décembre 2027 — nouvelle date d'application des obligations d'usage des systèmes à haut risque de l'Annexe III, après le report acté par le Digital Omnibus.

Retenez deux dates pour 2026 : le 2 août 2026 pour la transparence et les GPAI, et le 2 décembre 2027 pour le haut risque d'usage. Cette respiration ne doit pas servir d'excuse à l'inaction : la cartographie de vos systèmes prend du temps.

Les quatre catégories de risque, expliquées simplement

L'AI Act classe les systèmes d'IA en quatre niveaux de risque, et c'est cette classification qui détermine vos obligations. La première chose à faire est donc de ranger chacun de vos usages dans la bonne case.

• Risque inacceptable (interdit). Notation sociale généralisée, manipulation comportementale exploitant des vulnérabilités, certaines identifications biométriques en temps réel dans l'espace public. Interdit depuis février 2025. La quasi-totalité des PME n'est pas concernée.
• Haut risque (Annexe III). IA utilisée dans le recrutement, l'évaluation de crédit, l'éducation, les infrastructures critiques, l'accès aux services essentiels, certaines fonctions RH. Obligations lourdes : gestion des risques, qualité des données, documentation technique, journalisation, supervision humaine, robustesse. Application d'usage reportée au 2 décembre 2027.
• Risque limité (transparence). Chatbots, systèmes génératifs de contenu, deepfakes, reconnaissance d'émotions. Obligation principale : informer et marquer. C'est la catégorie qui concerne le plus grand nombre d'entreprises, et l'échéance est bien le 2 août 2026.
• Risque minimal. Filtres anti-spam, moteurs de recommandation simples, jeux. Aucune obligation spécifique, hors bonnes pratiques volontaires.

En pratique, la plupart des projets que nous menons — un agent de support, un assistant de rédaction, un outil de automatisation métier — relèvent du risque limité. Le travail de conformité y est réel mais raisonnable.

Les nouvelles obligations de transparence (article 50)

L'article 50 impose, à partir du 2 août 2026, que tout système d'IA en contact avec des personnes soit transparent sur sa nature. Quatre obligations concrètes :

1. Interaction avec une IA. Si un utilisateur dialogue avec un chatbot ou un agent conversationnel, il doit en être informé, sauf si c'est évident pour une personne raisonnablement avertie.
2. Contenus générés ou manipulés. Texte, image, audio et vidéo produits par IA doivent être marqués de façon lisible par machine (watermark, métadonnées). C'est l'objet du second projet de Code sur le marquage publié le 5 mars 2026.
3. Deepfakes. Les contenus représentant des personnes, objets ou événements de façon trompeuse doivent être clairement identifiés comme artificiels.
4. Reconnaissance d'émotions et catégorisation biométrique. Les personnes exposées doivent être informées du fonctionnement du système.

La Commission a ouvert le 8 mai 2026 une consultation sur les lignes directrices encadrant ces obligations de transparence. Le cadre se précise donc en continu. Pour les détails techniques du marquage des contenus, consultez notre guide sur le marquage des contenus générés par IA.

Votre checklist de conformité en 9 points

Voici la séquence d'actions que nous recommandons à nos clients PME et ETI pour aborder l'échéance d'août 2026 sereinement. Chaque point produit un livrable concret.

1. Inventaire des systèmes d'IA. Recensez tous les outils d'IA utilisés, achetés, intégrés ou développés en interne — y compris les briques cachées dans vos logiciels SaaS.
2. Classification par niveau de risque. Rangez chaque système dans l'une des quatre catégories. C'est l'étape qui détermine tout le reste.
3. Identification de votre rôle. Êtes-vous fournisseur, déployeur, importateur ou distributeur ? Les obligations diffèrent. Un utilisateur d'un outil tiers est un « déployeur » et porte surtout des obligations de transparence et d'usage.
4. Mise en conformité transparence. Ajoutez les mentions « vous interagissez avec une IA », marquez les contenus générés, documentez les deepfakes éventuels.
5. Littératie IA des équipes. Obligation depuis février 2025 : vos collaborateurs qui utilisent l'IA doivent avoir un niveau de compréhension suffisant. Une formation interne courte suffit pour démarrer.
6. Documentation des fournisseurs GPAI. Récupérez la documentation de conformité des modèles que vous utilisez (Anthropic, OpenAI, Mistral). Ils sont tenus de la fournir depuis août 2025.
7. Gouvernance des données. Vérifiez la base légale RGPD de vos traitements IA, la minimisation des données et les durées de conservation.
8. Préparation au haut risque. Si un usage relève de l'Annexe III, anticipez le 2 décembre 2027 : système de gestion des risques, qualité des jeux de données, supervision humaine, journalisation.
9. Registre et responsable. Désignez un référent IA, tenez un registre des systèmes et de leur classification, et planifiez une revue annuelle.

Cette checklist n'a pas vocation à remplacer un avis juridique sur un cas complexe, mais elle couvre 90 % des situations d'une PME. La CNIL publie par ailleurs des ressources françaises très utiles sur l'IA et le RGPD.

Sanctions : ce que vous risquez vraiment

Les sanctions de l'AI Act sont calibrées sur le modèle du RGPD, avec des plafonds élevés mais une application proportionnée. Trois niveaux :

• Pratiques interdites — jusqu'à 35 millions d'euros ou 7 % du chiffre d'affaires mondial annuel, le montant le plus élevé étant retenu. Réservé aux violations les plus graves (risque inacceptable).
• Violation des autres obligations (haut risque, transparence) — jusqu'à 15 millions d'euros ou 3 % du chiffre d'affaires mondial.
• Information incorrecte fournie aux autorités — jusqu'à 7,5 millions d'euros ou 1 % du chiffre d'affaires mondial.

Pour les PME et les start-up, le règlement prévoit explicitement des plafonds réduits et une approche proportionnée. À partir du 2 août 2026, la Commission dispose aussi de pouvoirs d'exécution spécifiques sur les fournisseurs de GPAI, avec amendes possibles. En clair : les plafonds théoriques sont vertigineux, mais le risque concret pour une PME de bonne foi qui a fait son inventaire et respecté la transparence reste mesuré. L'inaction totale, en revanche, expose.

Comment aborder la conformité sans paralyser vos projets

La conformité AI Act ne doit pas geler vos projets IA — elle doit les structurer. Chez Genee, nous intégrons la conformité dès la conception (privacy & compliance by design) plutôt qu'en couche finale, ce qui évite les ré-architectures coûteuses.

Notre approche tient en trois temps. D'abord, un cadrage de classification : nous rangeons chaque système dans sa catégorie de risque, identifions votre rôle (déployeur dans l'immense majorité des cas), et listons les obligations effectives. Ensuite, l'implémentation technique : mentions de transparence, marquage des contenus générés, journalisation, gestion des accès et des données. Enfin, la gouvernance : registre des systèmes, référent désigné, procédure de revue.

Quand nous concevons une solution sur mesure — qu'il s'agisse d'un agent IA, d'un développement applicatif sur mesure ou d'une chaîne d'automatisation — la dimension réglementaire fait partie du livrable, pas d'une facture séparée. Pour les architectures qui manipulent des données sensibles, nous privilégions des approches souveraines, par exemple un RAG sécurisé hébergé en UE.

Vous voulez savoir où vous en êtes avant le 2 août 2026 ? Parlons de votre situation : un audit de classification de quelques jours suffit généralement à transformer un brouillard réglementaire en plan d'action chiffré.

FAQ — EU AI Act : la deadline du 2 août 2026 et votre checklist de conformité

Mon entreprise utilise un chatbot IA : suis-je concerné par l'AI Act au 2 août 2026 ?

Oui. Un chatbot relève du « risque limité » et tombe sous l'article 50 sur la transparence, applicable au 2 août 2026. Vous devez informer vos utilisateurs qu'ils interagissent avec une IA et marquer les contenus générés par celle-ci. Ces obligations sont légères techniquement mais bien réelles : une mention claire dans l'interface et un marquage des contenus suffisent dans la plupart des cas.

Le Digital Omnibus a-t-il repoussé toute l'application de l'AI Act ?

Non. L'accord provisoire du 7 mai 2026 a uniquement repoussé l'entrée en application des obligations d'usage des systèmes à haut risque de l'Annexe III, du 2 août 2026 au 2 décembre 2027. Les règles de transparence de l'article 50 et les pouvoirs d'exécution sur les GPAI restent bien datés au 2 août 2026. Pour la majorité des PME, dont les usages relèvent du risque limité, l'échéance d'août 2026 reste pleinement d'actualité.

Suis-je « fournisseur » ou « déployeur » au sens de l'AI Act ?

La plupart des entreprises qui utilisent des outils d'IA achetés ou intégrés sont des « déployeurs » : elles exploitent un système d'IA sous leur autorité. Le « fournisseur » est celui qui développe et met sur le marché le système. Vous devenez fournisseur si vous développez votre propre système ou si vous modifiez substantiellement un système existant et le rediffusez sous votre nom. Le déployeur porte surtout des obligations de transparence, d'usage conforme et de supervision humaine.

Quelles sanctions concrètes pour une PME en cas de non-conformité ?

Les plafonds vont de 7,5 à 35 millions d'euros (ou 1 % à 7 % du chiffre d'affaires mondial) selon la gravité, mais le règlement impose une application proportionnée et prévoit des plafonds réduits pour les PME et start-up. Pour une PME de bonne foi ayant réalisé son inventaire et respecté la transparence, le risque concret reste mesuré. C'est l'absence totale de démarche qui expose réellement.

Par où commencer si je n'ai rien fait pour l'AI Act ?

Commencez par l'inventaire de tous vos systèmes d'IA, y compris ceux cachés dans vos logiciels SaaS. Classez ensuite chaque système par niveau de risque, puis identifiez votre rôle (déployeur dans la plupart des cas). Ces trois étapes, réalisables en quelques jours, vous donnent la liste exacte de vos obligations et écartent l'essentiel du risque. La transparence et la littératie des équipes sont les chantiers prioritaires à fermer avant le 2 août 2026.

Sources

• Calendrier officiel d'implémentation de l'EU AI Act
• Cadre réglementaire européen sur l'IA (Commission européenne)
• Timeline d'implémentation — AI Act Service Desk (UE)
• CNIL — Intelligence artificielle et RGPD
• EUR-Lex — textes juridiques de l'Union européenne