AI Act calendrier : dates cles d’application

Le reglement europeen sur l’intelligence artificielle (AI Act – reglement (UE) 2024/1689) a ete adopte le 13 juin 2024 et publie au Journal officiel de l’Union europeenne le 12 juillet 2024. Son entree en vigueur est intervenue le 1er aout 2024, mais son application suit un calendrier echelonne sur plusieurs annees. Comprendre les dates cles du calendrier du AI Act est indispensable pour anticiper les obligations et structurer la mise en conformite.

Ce calendrier progressif repond a une logique de proportionnalite : les interdictions les plus urgentes s’appliquent en premier, puis les obligations se deploient par niveau de risque et par categorie d’acteurs. L’articulation avec les obligations du RGPD et d’autres reglementations sectorielles impose une coordination attentive.

Le calendrier complet du AI Act

1er aout 2024 : entree en vigueur

Le reglement est entre en vigueur le vingtieme jour suivant sa publication au Journal officiel, soit le 1er aout 2024. A compter de cette date, le texte existe juridiquement mais la plupart de ses dispositions ne sont pas encore applicables. Les Etats membres ont toutefois commence a preparer la transposition des elements necessitant des mesures nationales et a designer les autorites competentes.

2 fevrier 2025 : interdictions et maitrise de l’IA

La premiere echeance substantielle est intervenue le 2 fevrier 2025 (six mois apres l’entree en vigueur). Deux categories de dispositions sont devenues applicables :

Les interdictions (article 5) : les systemes d’IA presentant un risque inacceptable sont interdits depuis cette date. Sont concernes :

• Les systemes utilisant des techniques subliminales, manipulatrices ou trompeuses causant un prejudice significatif ;
• Les systemes exploitant les vulnerabilites de personnes en raison de leur age, handicap ou situation sociale ;
• Les systemes de scoring social par les autorites publiques ;
• Les systemes d’evaluation des risques de commission d’infractions fondes uniquement sur le profilage ;
• Les systemes de reconnaissance faciale par moissonnage non cible d’images ;
• Les systemes d’inference d’emotions sur le lieu de travail et dans les etablissements d’enseignement (sauf raisons medicales ou de securite) ;
• Les systemes de categorisation biometrique deduisant la race, les opinions politiques, l’appartenance syndicale, les convictions religieuses ou l’orientation sexuelle ;
• L’identification biometrique a distance en temps reel dans l’espace public a des fins repressives (sauf exceptions strictement encadrees).

L’obligation de maitrise de l’IA (article 4) : toutes les organisations fournissant ou deployant des systemes d’IA doivent garantir que leur personnel dispose d’un niveau suffisant de competences en matiere d’IA. Cette obligation transversale concerne l’ensemble des acteurs, independamment du niveau de risque des systemes utilises.

Les entreprises devaient donc, a cette date, avoir identifie les systemes interdits eventuellement en usage et les avoir supprimes, et avoir engage des actions de formation sur l’IA pour les personnes concernees.

2 aout 2025 : modeles d’IA a usage general (GPAI)

La deuxieme echeance majeure concerne les obligations applicables aux modeles d’IA a usage general (General Purpose AI – GPAI), qui incluent les grands modeles de langage comme GPT-4, Gemini, Claude, Mistral et Llama. Le chapitre V du AI Act distingue deux niveaux d’obligations :

Obligations pour tous les fournisseurs de modeles GPAI :

• Elaboration et mise a jour d’une documentation technique du modele ;
• Mise a disposition d’informations et de documentation aux fournisseurs en aval qui integrent le modele dans leurs systemes ;
• Mise en place d’une politique de respect du droit d’auteur ;
• Publication d’un resume suffisamment detaille du contenu utilise pour l’entrainement.

Obligations supplementaires pour les modeles GPAI a risque systemique (modeles entraines avec une puissance de calcul superieure a 10^25 FLOPS, ou designes par la Commission) :

• Evaluation du modele incluant des tests contradictoires ;
• Evaluation et attenuation des risques systemiques ;
• Suivi, documentation et notification des incidents graves ;
• Garantie d’un niveau adequat de cybersecurite.

Le Bureau europeen de l’IA supervise la mise en oeuvre de ces obligations. Les codes de bonnes pratiques elabores par les acteurs du secteur en concertation avec le Bureau de l’IA jouent un role important pour preciser les modalites de conformite.

2 aout 2025 : autorites nationales

A la meme date, les Etats membres doivent avoir designe leurs autorites nationales competentes et notifie cette designation a la Commission. En France, la repartition des competences entre la CNIL, la DGCCRF, l’ANSSI et d’autres autorites sectorielles fait l’objet de discussions. La loi d’adaptation nationale est en cours d’elaboration.

2 aout 2026 : systemes d’IA a haut risque (annexe III)

L’echeance la plus structurante est celle du 2 aout 2026, date a laquelle l’ensemble des obligations relatives aux systemes d’IA a haut risque listes a l’annexe III deviennent applicables. Ces systemes couvrent de nombreux domaines sensibles :

• Identification biometrique et categorisation des personnes ;
• Gestion et exploitation d’infrastructures critiques ;
• Education et formation professionnelle (acces, evaluation, affectation) ;
• Emploi et gestion des travailleurs (recrutement, evaluation, promotion, licenciement) ;
• Acces aux services publics et prestations sociales ;
• Repression ;
• Migration, asile et controle aux frontieres ;
• Administration de la justice et processus democratiques.

Pour ces systemes, l’ensemble des obligations du titre III du AI Act s’appliquent : systeme de gestion des risques, gouvernance des donnees, documentation technique, journalisation, transparence, supervision humaine, exactitude, robustesse et cybersecurite.

Les entreprises qui deploient ces systemes doivent egalement satisfaire aux obligations de l’article 26 : surveillance du fonctionnement, conservation des journaux, analyse d’impact sur les droits fondamentaux, et information des personnes. La mise en conformite doit etre anticipee des maintenant en s’appuyant sur une checklist structuree des obligations.

2 aout 2027 : systemes d’IA a haut risque (annexe I)

La derniere echeance majeure concerne les systemes d’IA integres dans des produits deja soumis a la legislation d’harmonisation de l’Union listee a l’annexe I du AI Act. Il s’agit notamment des systemes d’IA integres dans les dispositifs medicaux, les machines, les jouets, les equipements sous pression, les equipements radio, et les vehicules. Pour ces systemes, les obligations a haut risque du AI Act s’integrent dans les procedures d’evaluation de conformite existantes (marquage CE).

A cette date, les regles relatives aux systemes a haut risque sont pleinement applicables, y compris l’enregistrement dans la base de donnees de l’UE.

Tableau recapitulatif du calendrier

Date	Dispositions applicables
1er aout 2024	Entree en vigueur du reglement
2 fevrier 2025	Interdictions (art. 5) + maitrise de l’IA (art. 4)
2 aout 2025	Modeles GPAI (chap. V) + designation autorites nationales
2 aout 2026	Systemes a haut risque (annexe III) + obligations deploiements
2 aout 2027	Systemes a haut risque (annexe I – produits reglementes)

Les implications pratiques du calendrier echelonne

Prioriser les actions de mise en conformite

Le calendrier echelonne du AI Act impose une approche par priorites. En avril 2026, la situation est la suivante :

• Les interdictions sont applicables depuis plus d’un an : les organisations doivent avoir identifie et supprime tout systeme interdit ;
• L’obligation de maitrise de l’IA est applicable : les programmes de formation doivent etre en cours ;
• Les obligations GPAI sont applicables : les fournisseurs de modeles a usage general doivent etre en conformite ;
• Les obligations pour les systemes a haut risque s’appliqueront dans quatre mois : c’est le chantier le plus lourd, qui necessite une mobilisation immediate.

Anticiper les normes techniques

Le systeme de normalisation europeen (CEN/CENELEC) travaille a l’elaboration de normes harmonisees qui faciliteront la demonstration de conformite au AI Act. Ces normes couvriront la gestion des risques, la gouvernance des donnees, la documentation technique, la transparence, la supervision humaine, l’exactitude et la robustesse. Leur publication progressive est attendue au cours de l’annee 2026.

En l’absence de normes harmonisees, les fournisseurs devront demontrer leur conformite par d’autres moyens, ce qui rend la tache plus complexe.

Coordonner avec les autres calendriers reglementaires

Le calendrier du AI Act s’inscrit dans un ecosysteme reglementaire dense. Les organisations doivent coordonner la mise en conformite AI Act avec d’autres echeances : le RGPD (application continue et evolutions jurisprudentielles), le reglement DORA (applicable depuis janvier 2025 pour le secteur financier), le Cyber Resilience Act (applicable progressivement a partir de 2026-2027), le Data Act (applicable depuis septembre 2025), et la directive NIS2 (transposition nationale en cours).

La gouvernance de l’IA en entreprise doit integrer cette dimension multi-reglementaire pour eviter les redondances et garantir une approche coherente.

Les consequences du non-respect des echeances

Le AI Act prevoit des sanctions significatives en cas de non-conformite, proportionnees a la gravite de l’infraction. Les amendes maximales sont les suivantes :

• 35 millions d’euros ou 7% du chiffre d’affaires mondial pour les violations relatives aux systemes interdits ;
• 15 millions d’euros ou 3% du chiffre d’affaires mondial pour les violations des autres obligations du reglement ;
• 7,5 millions d’euros ou 1,5% du chiffre d’affaires mondial pour la fourniture d’informations inexactes aux autorites.

Pour les PME et les start-ups, les sanctions sont plafonnees au montant le plus faible entre le pourcentage du chiffre d’affaires et le montant forfaitaire. Les obligations allegees pour les PME meritent une attention particuliere.

Les autorites nationales de surveillance du marche disposeront de pouvoirs d’investigation et de sanction effectifs. Le Bureau europeen de l’IA disposera de pouvoirs specifiques pour les modeles GPAI, incluant la possibilite d’ordonner des evaluations et de restreindre la mise sur le marche.

FAQ

Les echeances du AI Act peuvent-elles etre reportees ?

Le reglement ne prevoit pas de mecanisme de report general des echeances. Les dates sont fixees dans le texte et s’appliquent de maniere uniforme dans l’ensemble de l’Union europeenne. Des periodes de transition specifiques sont prevues pour certains systemes existants, mais elles ne constituent pas un report : les systemes a haut risque mis sur le marche ou en service avant le 2 aout 2026 ne sont soumis aux nouvelles obligations que s’ils font l’objet de modifications significatives apres cette date.

A quelle date les controles commenceront-ils effectivement ?

Les autorites nationales de surveillance du marche pourront exercer leurs pouvoirs de controle des que les obligations concernees deviennent applicables. Pour les systemes interdits, les controles sont possibles depuis le 2 fevrier 2025. Pour les systemes a haut risque, ils le seront a compter du 2 aout 2026. Dans la pratique, les autorites procedent generalement par etapes, en privilegiant d’abord l’accompagnement avant les sanctions, mais cette approche n’est pas garantie.

Comment savoir si mes systemes d’IA sont concernes par l’echeance d’aout 2026 ?

Il convient de verifier si les systemes d’IA utilises ou deployes par votre organisation figurent dans la liste de l’annexe III du AI Act, qui couvre les systemes a haut risque par domaine (biometrie, infrastructures critiques, education, emploi, services publics, repression, migration, justice). Si un systeme entre dans l’une de ces categories et qu’il est utilise comme composant de securite ou qu’il est lui-meme un produit, les obligations a haut risque s’appliqueront au 2 aout 2026. En cas de doute, une evaluation par un expert qualifie est recommandee.