Comment se préparer aux échéances et aux exigences de la loi européenne sur l'IA

intelligence artificielle
Written By Nathalie Pouderoux

La loi européenne sur l'IA marque l'une des évolutions réglementaires les plus importantes au monde dans le domaine de l'intelligence artificielle. Elle instaure un cadre harmonisé dans tous les États membres de l'UE, s'appliquant non seulement aux organisations établies dans l'UE, mais aussi à celles situées en dehors de l'UE qui commercialisent des systèmes d'IA sur le marché européen ou les utilisent au sein de l'UE.

Pour de nombreuses entreprises, le défi ne consiste pas simplement à comprendre la loi, mais à savoir comment se préparer de manière pratique, proportionnée et en phase avec les opérations existantes. Si la majorité des obligations s'appliquera à partir d'août 2026, des dispositions clés sont déjà en vigueur, et les régulateurs attendent des organisations qu'elles commencent à se préparer dès maintenant. Il est également important de noter que la loi européenne sur l'IA fait actuellement l'objet d'un projet de paquet de simplification — le « Digital Omnibus » — qui, s'il est finalisé, modifierait certains délais et obligations. Les négociations en trilogue entre le Parlement européen, le Conseil et la Commission sont en cours, et les entreprises devraient suivre de près l'évolution de la situation.

L'Omnibus numérique : de quoi s'agit-il et où en est-on ?

Le 19 novembre 2025, la Commission européenne a publié son Omnibus numérique, un ensemble de mesures de simplification proposées s'inscrivant dans le cadre des efforts plus larges de l'UE visant à réduire la charge administrative et à favoriser la compétitivité. L'Omnibus numérique comprend des modifications ciblées de la loi sur l'IA, spécialement conçues pour répondre aux défis pratiques de mise en œuvre identifiés lors de la consultation des parties prenantes, tels que les retards dans l'établissement de normes et la désignation des autorités nationales compétentes.

Depuis lors, le processus législatif a avancé rapidement. Le 13 mars 2026, le Conseil de l'UE a adopté son approche générale visant à rationaliser les règles en matière d'IA. Le 27 mars 2026, le Parlement européen a adopté sa propre position par 569 voix pour, ouvrant la voie au lancement des négociations en trilogue. La présidence chypriote a clairement exprimé son ambition de parvenir à un accord politique d'ici avril ou mai 2026, compte tenu de la pression pour finaliser les modifications avant la date d'application générale de la loi sur l'IA, fixée au 2 août 2026.

Toutefois, les entreprises ne doivent pas considérer l'Omnibus comme une loi définitive. Le texte final est toujours en cours de négociation et, si aucun accord n'est conclu à temps, les délais actuels prévus par la loi sur l'IA initiale continueront de s'appliquer. Les organisations doivent donc planifier leurs efforts de mise en conformité par rapport au cadre réglementaire existant tout en suivant l'évolution de l'Omnibus au fur et à mesure.

Ce guide présente les principales mesures que les entreprises doivent prendre pour se préparer à août 2026.

Qui est concerné par la loi européenne sur l'IA ?

La loi européenne sur l'IA s'applique de manière générale à l'ensemble de la chaîne de valeur de l'IA et vise à couvrir un large éventail d'acteurs impliqués dans le développement et l'utilisation de l'intelligence artificielle. Cela inclut les organisations qui développent des systèmes d'IA, celles qui les déploient dans le cadre de leurs activités, ainsi que les fournisseurs de modèles d'IA à usage général. Dans la pratique, de nombreuses entreprises se rendront compte qu'elles relèvent de plusieurs catégories selon la manière dont elles interagissent avec l'IA, que ce soit en créant leurs propres outils, en intégrant des solutions tierces ou en intégrant l'IA dans leurs produits et services.

L'article 2 de la loi définit précisément à qui s'applique la loi. Pour plus de clarté, voici l'extrait pertinent tiré du règlement.

« (a) les fournisseurs qui mettent sur le marché ou mettent en service des systèmes d'IA ou qui mettent sur le marché des modèles d'IA à usage général dans l'Union, que ces fournisseurs soient établis ou situés dans l'Union ou dans un pays tiers ;

(b) les déployeurs de systèmes d'IA qui ont leur lieu d'établissement ou sont situés dans l'Union ;

(c) les fournisseurs et les exploitants de systèmes d’IA qui ont leur lieu d’établissement ou sont situés dans un pays tiers, lorsque les résultats produits par le système d’IA sont utilisés dans l’Union ;

(d) les importateurs et les distributeurs de systèmes d’IA ;

(e) les fabricants de produits qui mettent sur le marché ou en service un système d’IA avec leur produit et sous leur propre nom ou marque ;

(f) les mandataires des fournisseurs qui ne sont pas établis dans l’Union ;

(g) les personnes concernées situées dans l’Union. »

Cette distinction quant au lieu où votre entreprise est effectivement implantée est importante, car les obligations imposées par la loi varient en fonction du rôle joué par une organisation. Par exemple, une entreprise développant un outil d’IA destiné à la distribution commerciale sera soumise à des exigences différentes de celles d’une entreprise qui utilise simplement ce même outil en interne. Cependant, les deux auront toujours des responsabilités en matière de conformité, et il est essentiel de comprendre où se situent ces responsabilités pour gérer efficacement les risques.

Il est également important de reconnaître que la loi sur l’IA repose sur un cadre fondé sur les risques. Tous les systèmes d’IA ne sont pas traités de la même manière au regard de la législation. Au contraire, le niveau de contrôle réglementaire dépend de l’impact potentiel d’un système sur les personnes, les droits fondamentaux et la société au sens large. Cette approche signifie que les entreprises doivent aller au-delà de la simple identification de leur utilisation de l’IA et commencer à évaluer le niveau de risque associé à chaque système.

Étape 1 : Identifier et cartographier vos utilisations de l'IA

Compte tenu de ce que nous venons d'évoquer concernant les différentes obligations imposées aux organisations en fonction de leur rôle, le point de départ pour toute organisation consiste à acquérir une compréhension claire et exhaustive de la manière dont l'IA est utilisée au sein de l'entreprise.

Dans de nombreux cas, l'adoption de l'IA s'est développée de manière organique, différentes équipes mettant en œuvre des outils de manière indépendante ou s'appuyant sur des fonctionnalités basées sur l'IA intégrées à des logiciels existants. En conséquence, les organisations peuvent ne pas disposer d'une vue d'ensemble complète ou centralisée de leur paysage IA.

Pour y remédier, les entreprises doivent mener un exercice de cartographie structuré afin d'identifier tous les systèmes d'IA en service ou en cours de développement. Cela doit inclure les outils développés en interne, les solutions tierces et toute fonctionnalité d'IA intégrée dans les produits ou services proposés aux clients. Sans ce niveau de visibilité, il est difficile d'évaluer les obligations de conformité ou d'identifier les domaines de risque potentiel.

Parallèlement, les organisations doivent déterminer leur rôle par rapport à chaque système d'IA. Le fait d'agir en tant que fournisseur, déployeur ou les deux influencera directement les obligations applicables en vertu de la loi. Il est essentiel d'établir cette clarté dès le début, car elle constitue le fondement de tous les efforts de conformité ultérieurs.

Étape 2 : Évaluer les risques et identifier les utilisations interdites

Une fois les systèmes d'IA identifiés, l'étape suivante consiste à les évaluer et à les classer selon les catégories de risque définies dans la loi sur l'IA. Cet exercice de classification est essentiel au cadre réglementaire, car il détermine si un système est interdit, soumis à des exigences réglementaires strictes ou seulement légèrement réglementé.

La loi interdit une catégorie limitée d'utilisations de l'IA jugées fondamentalement incompatibles avec les valeurs de l'UE. Il s'agit notamment de pratiques telles que la notation sociale, certaines formes de catégorisation biométrique et les systèmes qui exploitent des vulnérabilités ou manipulent des individus d'une manière susceptible de causer un préjudice. Dans le cadre du projet de directive omnibus sur le numérique, tant le Conseil que le Parlement européen ont également appelé à l'interdiction d'une nouvelle pratique visant les systèmes d'IA qui génèrent ou manipulent des images réalistes, sexuellement explicites ou intimes de personnes identifiables sans leur consentement — communément appelés systèmes de «nudification» par l'IA. Cette interdiction ne s'appliquerait pas lorsque des garanties techniques efficaces sont en place pour empêcher la génération de tels contenus. Les organisations devraient examiner attentivement leurs cas d'utilisation de l'IA existants et prévus afin de s'assurer qu'aucun ne relève de ces catégories interdites, car de telles utilisations ne seront autorisées en aucune circonstance.

Au-delà des utilisations interdites, une attention particulière doit être accordée aux systèmes d'IA susceptibles d'être classés comme à haut risque. Il s'agit généralement de systèmes utilisés dans des domaines tels que les décisions en matière d'emploi, l'éducation, l'accès aux services essentiels et les évaluations de solvabilité. Les systèmes à haut risque sont soumis à des exigences réglementaires étendues et nécessiteront une approche de conformité plus structurée et nécessitant davantage de ressources.

Étape 3 : Réaliser une analyse des écarts pour les IA à haut risque

Pour les systèmes d'IA susceptibles d'entrer dans la catégorie des IA à haut risque, les organisations doivent mener une analyse détaillée des écarts par rapport aux exigences de la loi sur l'IA. Cela implique d'évaluer si les processus et contrôles existants couvrent de manière adéquate des domaines clés tels que la gestion des risques, la gouvernance des données, la documentation, la transparence et la supervision humaine.

Dans de nombreux cas, les entreprises, en particulier celles opérant dans des secteurs réglementés, disposent peut-être déjà de certains éléments de ces cadres. Cependant, la loi sur l'IA introduit une structure plus formalisée et prescriptive, qui peut obliger les organisations à renforcer ou à adapter leurs dispositifs de gouvernance existants pour se conformer aux nouvelles normes.

Cette étape offre également l'occasion d'examiner si des évaluations supplémentaires seront nécessaires avant le déploiement de certains systèmes d'IA. En particulier, les organisations peuvent être amenées à réaliser des analyses d'impact sur les droits fondamentaux afin d'évaluer l'impact potentiel de l'IA sur les personnes et de s'assurer que des garanties appropriées sont en place.

Le critère de l'IA à haut risque

Un système d'IA est considéré comme « à haut risque » au sens de l'article 6 de la loi européenne sur l'IA, principalement dans deux situations. Premièrement, s'il est intégré à un produit (ou s'il constitue le produit lui-même) relevant de la législation européenne en matière de sécurité et devant faire l'objet d'une évaluation de sécurité par un tiers avant d'être vendu ou utilisé.

Deuxièmement, s’il est spécifiquement répertorié comme à haut risque en vertu du droit de l’UE en raison de son utilisation. Il existe toutefois des exceptions : même si un système d’IA figure sur la liste, il peut ne pas être considéré comme à haut risque s’il n’effectue qu’une tâche restreinte, contribue simplement à améliorer une décision humaine déjà prise, détecte des tendances sans se substituer au jugement humain, ou n’est utilisé que comme étape préparatoire dans un processus décisionnel.

Cela dit, tout système d'IA utilisé pour établir le profil d'individus est toujours considéré comme à haut risque. Si une entreprise estime que son système d'IA ne devrait pas être classé comme à haut risque, elle doit documenter et justifier cette évaluation avant le lancement, enregistrer le système et fournir des preuves aux autorités de régulation si celles-ci en font la demande. La Commission européenne publiera également des lignes directrices et des exemples concrets pour clarifier l'application de ces règles et les mettra à jour au fil du temps, à mesure que la technologie et les pratiques du marché évoluent.

Étape 4 : Mettre en place une gouvernance et un système de responsabilité

Se préparer à la loi sur l'IA ne se limite pas à des ajustements techniques ; cela exige une réponse organisationnelle coordonnée. Une mise en conformité efficace dépendra de structures de gouvernance claires et d'un système de responsabilité bien défini dans les différents services de l'entreprise.

Les organisations doivent identifier les personnes chargées de superviser la conformité en matière d'IA et s'assurer que les rôles et les responsabilités sont clairement documentés. Cela inclut la mise en place de processus pour approuver les nouveaux cas d'utilisation de l'IA, gérer les modifications apportées aux systèmes existants, surveiller les performances et répondre aux incidents ou aux plaintes.

Un aspect clé de ce cadre est la supervision humaine. La loi sur l'IA met fortement l'accent sur la nécessité de veiller à ce que les systèmes d'IA ne fonctionnent pas sans une supervision appropriée. Les entreprises doivent donc s'assurer que les personnes chargées de superviser les systèmes d'IA disposent de l'autorité, de l'expertise et de la compréhension des risques associés nécessaires.

En ce qui concerne l'enregistrement, il convient de noter que, bien que la proposition omnibus de la Commission ait initialement suggéré de supprimer l'obligation d'enregistrer les systèmes d'IA dans la base de données de l'UE lorsque le fournisseur évalue lui-même ces systèmes comme ne présentant pas de risque élevé au sens de l'article 6, paragraphe 3, tant le Conseil que le Parlement ont rejeté cette proposition et rétabli l'obligation d'enregistrement — tout en proposant de rationaliser les informations à fournir. Les cadres de gouvernance doivent donc continuer à tenir compte des obligations d'enregistrement.

Étape 5 : Examiner la documentation et les contrats

La loi sur l'IA (AI Act) impose des exigences détaillées en matière de documentation, en particulier pour les systèmes à haut risque. Les organisations devront tenir des registres complets expliquant le fonctionnement de leurs systèmes d'IA, les finalités pour lesquelles ils sont utilisés et les éventuelles limites liées à leur déploiement.

Ces exigences vont au-delà de la documentation interne. Les entreprises doivent également examiner leurs accords contractuels avec les fournisseurs, prestataires et partenaires d'IA afin de s'assurer qu'elles ont accès aux informations nécessaires pour démontrer leur conformité. Cela inclut la documentation technique, les données de performance et une répartition claire des responsabilités tout au long de la chaîne de valeur de l'IA. Il sera essentiel d'adopter une approche proactive en matière de gestion des contrats, car les organisations ne peuvent pas remplir leurs obligations de manière isolée lorsque des systèmes d'IA tiers sont impliqués.

Étape 6 : Se préparer aux obligations de transparence

La transparence est un thème central de la loi sur l'IA et reflète une orientation réglementaire plus large axée sur la confiance et la responsabilité dans les systèmes d'IA. Dans certaines situations, les organisations seront tenues d'informer les personnes lorsqu'elles interagissent avec l'IA ou lorsque celle-ci est utilisée pour prendre ou étayer des décisions qui les concernent.

Outre ces obligations de divulgation, les fournisseurs de systèmes d'IA générative seront tenus de veiller à ce que les contenus audio, image, vidéo et texte générés par l'IA soient lisibles par machine et identifiables comme ayant été générés ou manipulés artificiellement — ce que l'on appelle communément l'obligation de « tatouage numérique ». Dans le cadre du projet de directive « Digital Omnibus », le Parlement européen a proposé la date limite du 2 novembre 2026 pour se conformer à cette obligation, raccourcissant ainsi le délai de grâce de six mois initialement proposé par la Commission. Les organisations qui développent ou déploient des outils d'IA générative devraient tenir compte de cette date avancée dans leur planification.

Si les obligations de transparence constituent une exigence légale, elles ont également des implications importantes en matière de réputation. Les entreprises qui communiquent de manière claire et ouverte sur leur utilisation de l'IA sont plus susceptibles de gagner la confiance de leurs clients, de leurs employés et des autres parties prenantes.

À cette fin, les organisations devraient élaborer des directives internes afin de s'assurer que le personnel comprenne quand les obligations de transparence s'appliquent et comment les informations doivent être communiquées de manière claire et accessible.

Étape 7 : Investir dans la culture de l'IA

La loi sur l'IA met explicitement l'accent sur la culture de l'IA, reconnaissant que le respect effectif de la réglementation dépend de la compréhension et de la sensibilisation des personnes impliquées dans le développement, le déploiement et la supervision des systèmes d'IA. Cette obligation, énoncée à l'article 4 de la loi, s'applique depuis le 2 février 2025.

Le paquet « Omnibus numérique » a suscité un débat sur la portée future de cette obligation. La Commission a proposé de ne plus faire porter l'obligation de culture de l'IA sur les fournisseurs et les déployeurs individuels, mais de la définir comme un cadre devant être piloté par la Commission et les États membres. Le Conseil a soutenu cette approche. Toutefois, la position du Parlement européen maintient l’obligation directement sur les fournisseurs et les déployeurs, tout en proposant d’assouplir la norme, passant de la garantie d’un « niveau suffisant de culture de l’IA » à la « promotion de l’amélioration de la culture de l’IA » parmi le personnel. Le Parlement propose également que la Commission publie des lignes directrices pratiques de mise en œuvre et encourage les partenariats public-privé pour soutenir des efforts plus larges en matière de culture de l’IA.

La position finale sera déterminée lors d’un trilogue. En attendant, l’obligation prévue à l’article 4 reste en vigueur et peut être appliquée par les autorités nationales de surveillance du marché. Pour les déployeurs de systèmes d’IA à haut risque en particulier, l’obligation de veiller à ce que le personnel soit formé pour permettre une supervision humaine adéquate reste inchangée, quelle que soit l’issue de la directive Omnibus.

Voici quelques exemples de cours et de formations en matière de culture numérique reconnus et approuvés.

Étape 8 : Suivre les échéances et planifier à l'avance

La loi européenne sur l'IA est mise en œuvre par étapes, et les modifications proposées dans le cadre du « Digital Omnibus » pourraient encore modifier certaines échéances. Les entreprises doivent planifier leurs actions en tenant compte à la fois du calendrier réglementaire actuel et des modifications proposées par l'Omnibus.

En vertu de la loi actuelle sur l'IA :

  • À compter du 2 février 2025 : les interdictions relatives à l'IA présentant un risque inacceptable et les obligations en matière de culture de l'IA sont entrées en vigueur.

  • À partir du 2 août 2025 : les dispositions en matière de gouvernance et les obligations applicables aux fournisseurs de modèles d'IA à usage général (GPAI) sont entrées en vigueur, parallèlement à la mise en place des structures de gouvernance de l'UE, notamment le comité de l'IA, le panel scientifique et le forum consultatif. Les États membres ont également été tenus de désigner des régulateurs nationaux et de définir des sanctions en vertu de leur propre législation.

  • À partir du 2 août 2026 : la plupart des obligations restantes prévues par la loi sur l'IA s'appliquent, y compris les règles relatives aux systèmes d'IA à haut risque énumérés à l'annexe III et les principales exigences en matière de transparence. La mise en œuvre commence tant au niveau des autorités nationales qu'au niveau de l'UE, et chaque État membre est censé disposer d'au moins un bac à sable réglementaire opérationnel.

  • À partir du 2 août 2027 : les règles s'étendent aux systèmes d'IA à haut risque intégrés dans des produits réglementés, achevant ainsi la phase finale de la loi.

Modifications proposées dans le cadre de l'Omnibus numérique (sous réserve du trilogue) :

Le Conseil et le Parlement européen soutiennent tous deux un calendrier révisé liant l'application des obligations relatives aux systèmes à haut risque à la disponibilité des normes de mise en œuvre et des outils d'aide. En vertu de ces propositions :

  • Systèmes d'IA à haut risque énumérés à l'annexe III (systèmes autonomes, y compris ceux impliquant la biométrie, les infrastructures critiques, l'éducation, l'emploi, les services essentiels, l'application de la loi et la gestion des frontières) : règles applicables au plus tard le 2 décembre 2027.

  • Systèmes d'IA à haut risque intégrés dans des produits réglementés (annexe I) : règles applicables au plus tard le 2 août 2028.

  • Obligations de tatouage numérique pour les contenus générés par l'IA : date limite proposée du 2 novembre 2026 selon la position du Parlement.

Il est important de noter que ces dates révisées n'ont pas encore force de loi. Si les négociations en trilogue ne aboutissent pas à temps, la date limite initiale du 2 août 2026 pour les obligations relatives aux systèmes à haut risque continuerait de s'appliquer. Les organisations ne devraient donc pas reporter leurs préparatifs de mise en conformité en attendant l'issue du paquet Omnibus.

Note sur les PME et les petites entreprises de taille intermédiaire

La loi sur l'IA prévoit déjà des mesures de conformité simplifiées pour les petites et moyennes entreprises (PME). L'Omnibus numérique propose d'étendre ces mêmes mesures de soutien réglementaire aux petites entreprises de taille intermédiaire (SMC) — définies comme des entreprises employant moins de 750 personnes et dont le chiffre d'affaires annuel ne dépasse pas 150 millions d'euros ou dont le total du bilan ne dépasse pas 129 millions d'euros. Tant le Conseil que le Parlement européen soutiennent cette extension. Les entreprises qui se situent dans la fourchette des SMI devraient suivre de près cette évolution, car elle pourrait alléger leur charge de conformité si elle est adoptée dans le texte final.

Application de la loi et exposition aux risques

La loi sur l'IA prévoit des sanctions financières importantes en cas de non-respect, ce qui témoigne de la gravité avec laquelle les régulateurs perçoivent les risques liés à l'IA. Selon la nature de l'infraction, les amendes peuvent atteindre 35 millions d'euros ou 7 % du chiffre d'affaires annuel mondial d'une organisation. Des seuils moins élevés s'appliquent à d'autres types d'infractions, mais l'exposition potentielle reste considérable.

Au-delà de la conformité, la loi européenne sur l'IA est susceptible d'avoir un impact plus large sur la manière dont les entreprises abordent l'IA d'un point de vue stratégique. Les organisations pourraient devoir réévaluer la viabilité de certains cas d'utilisation, en particulier lorsqu'ils relèvent de catégories à haut risque ou nécessitent des investissements importants en matière de gouvernance, de documentation et de supervision.

La réglementation devrait également influencer les décisions d'achat, les entreprises cherchant de plus en plus à travailler avec des fournisseurs d'IA capables de démontrer leur conformité et d'offrir le niveau de transparence nécessaire. En outre, l'introduction de contrôles réglementaires dans le cycle de développement pourrait affecter les délais de mise sur le marché des produits et services basés sur l'IA.

Voici quelques ressources utiles sur la loi européenne sur l'IA pour votre entreprise.

Cela s'applique-t-il aux entreprises non européennes ?

L'une des principales caractéristiques de la loi européenne sur l'IA réside dans son champ d'application extraterritorial. La réglementation s'applique non seulement aux organisations établies au sein de l'Union européenne, mais également à celles situées en dehors de l'UE lorsque des systèmes d'IA sont mis sur le marché de l'UE ou utilisés d'une manière qui affecte des personnes physiques au sein de l'UE.

Concrètement, cela signifie que les entreprises dont le siège social se trouve dans d'autres juridictions peuvent tout de même être soumises à la loi si elles proposent des produits ou services basés sur l'IA à des clients de l'UE ou si leurs systèmes sont utilisés dans le cadre d'opérations basées dans l'UE. Par conséquent, les organisations ne doivent pas partir du principe que leur situation géographique détermine l'applicabilité de la réglementation, mais doivent plutôt évaluer leur exposition en fonction de la manière dont leurs systèmes d'IA sont utilisés et de l'endroit où ils le sont.

La loi européenne sur l'IA marque un tournant vers une gouvernance structurée et fondée sur les risques de l'intelligence artificielle. Bien que le cadre soit complexe, son objectif sous-jacent est clair : garantir que l'IA soit développée et utilisée de manière sûre, transparente et conforme aux droits fondamentaux.

Pour les entreprises, cela implique d'adopter une approche proactive et éclairée. Les organisations qui consacrent dès à présent du temps à comprendre leur utilisation de l'IA, à évaluer les risques et à mettre en œuvre des contrôles appropriés seront mieux placées pour répondre aux attentes réglementaires et pour utiliser l'IA comme un moteur responsable d'innovation et de croissance.

Comment Gerrish Legal peut vous aider? 

Gerrish Legal est un cabinet juridique numérique et dynamique. Nous sommes fiers de prodiguer des conseils juridiques experts et de haute qualité à nos précieux clients. Nous sommes spécialisés dans de nombreux aspects du droit numérique tels que le RGPD, la confidentialité des données, le droit numérique et technologique, le droit commercial et la propriété intellectuelle. 

Nous offrons aux entreprises le soutien dont elles ont besoin pour gérer leurs activités avec succès et en toute confiance tout en se conformant aux réglementations légales, sans avoir à se plier aux exigences numériques en constante évolution. 

Nous sommes là pour vous aider, contactez-nous dès aujourd’hui pour plus d’informations. 

Article de Nathalie Pouderoux, Consultante pour Gerrish Legal

Nathalie Pouderoux
Next

Comment élaborer une politique en matière d'IA pour votre entreprise SaaS