Introduction
Le AI Act calendrier obligations entreprises est devenu l’un des sujets les plus scrutés par les directions juridiques, les DSI et les dirigeants depuis l’entrée en vigueur officielle du règlement européen sur l’intelligence artificielle. La législation sur l’IA est entrée en vigueur le 1er août 2024 et sera pleinement applicable deux ans plus tard, le 2 août 2026, à quelques exceptions près. European Commission
Mais ce calendrier initial est aujourd’hui bouleversé par un développement majeur que toute entreprise doit intégrer dans sa planification : en mars 2026, le Parlement européen a adopté sa position sur un paquet de modifications, dit Digital Omnibus sur l’IA, qui propose de repousser les échéances les plus contraignantes. Le vote repousse l’échéance du 2 août 2026 au 2 décembre 2027 pour les systèmes de l’Annexe III, et au 2 août 2028 pour ceux de l’Annexe II. Tech Insider Ce report n’est toutefois pas encore définitif à la date de publication de cet article.
Ce guide expose l’état exact du calendrier en avril 2026 : ce qui est déjà en vigueur, ce qui fait l’objet d’un report en négociation, et ce que les entreprises françaises doivent concrètement planifier.
Contents : AI Act
1. Architecture générale de l’AI Act : la logique par niveaux de risque
Avant d’examiner le calendrier, il est indispensable de comprendre la logique structurelle du règlement. Le règlement européen sur l’IA propose une approche fondée sur les risques en classant les systèmes d’IA en quatre niveaux : risque inacceptable, haut risque, risque limité et risque minimal. CNIL
Le premier niveau regroupe les systèmes d’IA dits à risque inacceptable, purement et simplement interdits sur le territoire de l’Union européenne. Ces interdictions incluent les systèmes d’IA considérés comme « à risque inacceptable », notamment la notation sociale, la manipulation subliminale, l’exploitation des vulnérables et la surveillance biométrique massive dans les espaces publics.
Le deuxième niveau concerne les systèmes à haut risque. C’est là que se concentrent l’essentiel des obligations pour les entreprises. Les règles applicables aux systèmes d’IA à haut risque concernent notamment les domaines de la biométrie, des infrastructures critiques, de l’éducation, de l’emploi, de l’accès aux services publics essentiels, de l’application de la loi, de l’immigration et de l’administration de la justice. CNIL
Le troisième niveau couvre les systèmes à risque limité, principalement soumis à des obligations de transparence : les chatbots doivent se signaler comme tels, les contenus générés par IA doivent être identifiables. Le quatrième niveau, celui du risque minimal, englobe la grande majorité des applications IA courantes et ne fait l’objet d’aucune obligation spécifique, hormis des codes de conduite volontaires. European Commission
2. Le calendrier d’application initial : ce que dit le texte original
La loi sur l’IA de l’UE a été publiée au Journal officiel de l’Union européenne le 12 juillet 2024. Il s’agit de la version finale du texte à appliquer. EU Artificial Intelligence Act Le règlement porte la référence officielle (UE) 2024/1689, directement consultable sur EUR-Lex.
Le texte original prévoyait cinq grandes étapes. Le 1er août 2024 marque l’entrée en vigueur du règlement. Le 2 février 2025 : interdiction des systèmes d’IA présentant des risques jugés inacceptables. Le 2 août 2025 : mise en place des règles pour les modèles d’IA à usage général et désignation des autorités compétentes dans chaque État membre. Le 2 août 2026 : application complète aux systèmes d’IA à haut risque déjà identifiés, tels que ceux utilisés dans la biométrie, les infrastructures critiques, l’éducation, l’emploi ou la justice. Le 2 août 2027 : application aux systèmes d’IA à haut risque incorporés dans certains produits réglementés, comme les jouets, les dispositifs médicaux, les machines. Direction générale des Entreprises
Ce calendrier a depuis été partiellement remis en question par la procédure legislative du Digital Omnibus, détaillée dans la section suivante.
Ce qui est déjà en vigueur et ne fait pas l’objet de report
Deux échéances sont passées et ne sont pas remises en cause par le Digital Omnibus. Depuis le 2 février 2025, les interdictions absolues sont pleinement effectives. Les chapitres I et II, correspondant aux dispositions générales et aux pratiques interdites, s’appliquent depuis février 2025. Depuis le 2 août 2025, les obligations relatives aux modèles d’IA à usage général sont également en vigueur. À partir du 2 août 2025, de nouvelles obligations s’appliquent aux fournisseurs de modèles d’IA à usage général, notamment sur la transparence et le respect du droit d’auteur. Direction générale des Entreprises
3. Le tournant de mars 2026 : le Digital Omnibus et ses reports proposés
C’est l’élément le plus important à intégrer dans toute planification de conformité en 2026, et celui qui était absent du calendrier publié en version précédente de cet article.
Pourquoi un report a-t-il été proposé ?
Le problème est apparu clairement dès l’automne 2025 : les normes harmonisées développées par le CEN-CENELEC JTC 21, indispensables pour permettre aux entreprises de prouver leur conformité, accusent un retard considérable. Sans ces standards techniques, les entreprises se retrouvent dans un flou juridique, ne sachant pas exactement comment démontrer qu’elles respectent les exigences de gestion des risques, de transparence et de gouvernance des données imposées par le règlement.
C’est dans ce contexte que la Commission européenne a publié, le 19 novembre 2025, sa proposition de paquet Omnibus numérique sur l’IA, visant à accorder des délais supplémentaires aux acteurs économiques.
Le vote du Parlement européen du 26 mars 2026
Le Parlement européen a adopté sa position sur la proposition « omnibus numérique » de la Commission européenne avec 569 voix pour, 45 contre et 23 abstentions. Ce vote fait suite à un vote préparatoire en commission conjointe IMCO/LIBE le 18 mars 2026, qui avait recueilli 101 voix pour, 9 contre et 8 abstentions.
Concrètement, le Parlement européen propose de repousser l’application des règles sur les systèmes d’IA à haut risque de l’Annexe III du 2 août 2026 au 2 décembre 2027. Pour les systèmes de l’Annexe I (IA dans les produits réglementés), la date passe du 2 août 2027 au 2 août 2028.
Une précision essentielle sur le watermarking : le Parlement introduit une date ferme au 2 novembre 2026 pour le marquage lisible par machine des contenus générés par IA (Article 50§2), soit trois mois plus tôt que la proposition initiale de la Commission. aiacto
Ce report est-il définitif ?
Non. Le Parlement et le Conseil ont lancé des négociations en trilogues. Le Conseil a adopté son approche générale le 13 mars 2026, s’alignant largement sur la proposition de la Commission. European Parliament Mais le texte final doit encore être formellement adopté et publié au Journal officiel. Tant que le Digital Omnibus n’est pas formellement adopté, la date butoir légale d’août 2026 reste techniquement en vigueur.
Pour les entreprises, la position à tenir est celle de l’anticipation : préparer sa conformité sans attendre la confirmation officielle du report, tout en étant informé que l’échéance pourrait être repoussée.
Les PME bénéficient d’allègements spécifiques
Les PME et les petites ETI sont les premières bénéficiaires de cette révision : les mesures de soutien réservées aux PME sont étendues aux entreprises qui dépassent ce seuil mais restent de taille modeste, jusqu’à 750 salariés et 150 millions d’euros de chiffre d’affaires.
4. Quelles entreprises françaises sont réellement concernées ?
L’AI Act ne s’applique pas uniquement aux développeurs ou éditeurs de systèmes d’IA. Il concerne également les déployeurs, c’est-à-dire toute entité qui utilise un système d’IA dans un contexte professionnel, même si elle n’en est pas le concepteur.
À compter du 2 août 2026, les entreprises présentant ou développant des produits intégrant des systèmes d’IA à haut risque devront : être inscrites dans la base de données de l’Union européenne ; obtenir un marquage CE avant la commercialisation ; établir un système de gestion des risques, documenté et mis à jour ; mettre en place une documentation complète permettant de comprendre le fonctionnement du système d’IA et de garantir la transparence et la traçabilité ; mettre en œuvre un contrôle humain du système d’IA avant sa mise en service. Service-public
Pour une PME française, les situations les plus fréquemment concernées par la catégorie haut risque sont les suivantes : un cabinet de recrutement utilisant un logiciel de tri automatique de CV, une fintech ou un service de crédit recourant à un scoring algorithmique, un établissement de formation utilisant un outil d’évaluation automatisée des apprenants, ou encore une entreprise industrielle intégrant un système de contrôle qualité basé sur la vision par ordinateur dans un secteur réglementé.
En revanche, une PME utilisant un assistant de rédaction pour produire des contenus marketing, un outil de transcription de réunions ou un chatbot de support client standard opère dans le registre du risque limité ou minimal, soumis uniquement à des obligations légères de transparence.
5. Les obligations concrètes selon le type de système IA
Pour les systèmes à haut risque, les obligations concrètes se déclinent en plusieurs domaines que le règlement détaille avec précision.
La gestion des risques impose un processus documenté d’identification, d’analyse et de traitement des risques tout au long du cycle de vie du système. La gouvernance des données exige que les données d’entraînement et de validation soient pertinentes, représentatives et exemptes de biais dans la mesure du possible. La documentation technique doit permettre à une autorité de contrôle de comprendre le fonctionnement complet du système. Cette documentation doit permettre de comprendre le fonctionnement du système d’IA et de garantir la transparence et la traçabilité. Service-public
La supervision humaine doit être intégrée dans la conception même du système : le contrôle humain du système d’IA doit être mis en œuvre avant sa mise en service ou la mise en place d’un produit sur le marché, ainsi qu’un mécanisme visant à guider et à informer la personne ayant la charge du contrôle. Service-public
Concernant les obligations de transparence pour les systèmes à risque limité, lors de l’utilisation de systèmes d’IA tels que les chatbots, les humains doivent être informés qu’ils interagissent avec une machine afin de pouvoir prendre une décision en connaissance de cause. En outre, les fournisseurs d’IA générative doivent veiller à ce que les contenus générés par l’IA soient identifiables. European Commission
6. Sanctions : ce que prévoit l’article 99 du règlement
Le règlement est explicite sur les sanctions. Le non-respect de l’interdiction des pratiques en matière d’IA visées à l’article 5 fait l’objet d’amendes administratives pouvant aller jusqu’à 35 000 000 EUR ou, si l’auteur de l’infraction est une entreprise, jusqu’à 7 % de son chiffre d’affaires annuel mondial total réalisé au cours de l’exercice précédent, le montant le plus élevé étant retenu.
La non-conformité avec d’autres dispositions relatives aux opérateurs ou aux organismes notifiés fait l’objet d’une amende administrative pouvant aller jusqu’à 15 000 000 EUR ou, si l’auteur de l’infraction est une entreprise, jusqu’à 3 % de son chiffre d’affaires annuel mondial total réalisé au cours de l’exercice précédent, le montant le plus élevé étant retenu.
La fourniture d’informations inexactes, incomplètes ou trompeuses aux organismes notifiés ou aux autorités nationales compétentes fait l’objet d’une amende administrative pouvant aller jusqu’à 7 500 000 EUR ou jusqu’à 1 % du chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu.
Un point favorable pour les PME : dans le cas des PME, y compris les jeunes pousses, chaque amende s’élève au maximum aux pourcentages ou montants visés, le chiffre le plus faible étant retenu. Le Digital Omnibus renforce encore cet allègement : les eurodéputés proposent que pour les small caps, l’AI Act retienne le montant le moins élevé entre le forfait et le pourcentage du chiffre d’affaires mondial, en cas de non-conformité.
7. La gouvernance en France : une désignation d’autorités encore incomplète
La France a opté pour une architecture de gouvernance décentralisée. La France a présenté le 9 septembre 2025 son projet de désignation des autorités nationales chargées de surveiller la bonne application du texte. Pilotée par la direction générale de la Concurrence, de la Consommation et de la Répression des Fraudes (DGCCRF) et la direction générale des Entreprises (DGE), l’organisation est éclatée entre une quinzaine d’autorités déjà compétentes dans leur secteur.
Concrètement, la CNIL sera chargée des usages impliquant des données personnelles ou sensibles, l’Arcom interviendra sur les contenus numériques notamment en matière de deepfakes, et la DGCCRF assurera la surveillance générale des pratiques commerciales.
Cependant, ce processus accuse un retard significatif. La France est encore l’un des États membres qui n’a pas désigné ses autorités nationales compétentes, plus de cinq mois après l’échéance fixée par l’AI Act au 2 août 2025. Les dispositions concernant la désignation des autorités nationales compétentes ont été retirées du projet de loi soumis au Parlement. Cette situation crée une incertitude pratique pour les entreprises françaises qui ne savent pas précisément à quel guichet adresser leurs demandes de conseil ou leurs déclarations.
8. Tableau de bord : AI Act calendrier obligations entreprises — état au 1er avril 2026
| Date | Obligation | Statut | Entreprises concernées |
|---|---|---|---|
| 1er août 2024 | Entrée en vigueur — Règlement (UE) 2024/1689 | Effectif | Toutes |
| 2 février 2025 | Interdiction pratiques à risque inacceptable (Art. 5) | Effectif et définitif | Biométrie, notation sociale, manipulation |
| 2 août 2025 | Obligations modèles GPAI — Art. 113(b) | Effectif et définitif | Éditeurs, intégrateurs, API tiers |
| 2 août 2025 | Désignation autorités nationales compétentes | En retard en France | États membres |
| 2 août 2026 | Conformité systèmes haut risque Annexe III | Report proposé au 2 déc. 2027 (en cours de négociation) | RH, crédit, éducation, biométrie, justice |
| 2 novembre 2026 | Watermarking contenus IA générés (Art. 50§2) | Proposé par le Parlement | Fournisseurs de contenu synthétique |
| 2 décembre 2027 | Conformité systèmes haut risque Annexe III (report proposé) | Sous réserve adoption finale Digital Omnibus | RH, crédit, éducation, services essentiels |
| 2 août 2027 | Conformité systèmes haut risque Annexe I (calendrier initial) | Report proposé au 2 août 2028 | Industrie, médical, jouets, transport |
| 2 août 2028 | Conformité systèmes haut risque Annexe I (report proposé) | Sous réserve adoption finale Digital Omnibus | Produits réglementés |
9. Comment préparer sa mise en conformité dès maintenant
Le report proposé par le Digital Omnibus ne doit pas être interprété comme un signal d’attente. L’extension de 16 mois est une opportunité pour se préparer correctement, pas pour temporiser. DT Master Carbon Les entreprises qui ont attendu les dernières semaines avant les échéances du RGPD en 2018 ont subi des coûts de mise en conformité bien supérieurs à ceux d’une démarche anticipée.
La première étape est la cartographie des systèmes IA. Il s’agit de recenser exhaustivement tous les systèmes d’IA utilisés dans l’entreprise, qu’ils soient développés en interne ou fournis par des tiers, et de les classifier selon les catégories du règlement. Les bacs à sable réglementaires constituent un élément important de la mise en œuvre de l’AI Act : selon l’article 57 du règlement, chaque État membre doit mettre en place au moins un bac à sable réglementaire en matière d’IA au niveau national d’ici le 2 août 2026. EU Artificial Intelligence Act Ces dispositifs permettent aux entreprises de tester leurs systèmes sous supervision réglementaire avant mise sur le marché.
La deuxième étape consiste à identifier les obligations applicables à chaque système cartographié et à évaluer l’écart entre la situation actuelle et les exigences du règlement. Pour les PME, les lignes directrices publiées par le Bureau IA européen constituent la référence opérationnelle. La CNIL maintient également une section dédiée à l’IA et ses implications réglementaires en France.
La troisième étape implique de désigner un référent interne AI Act, souvent le DPO existant ou le responsable conformité. Pour les PME sans ressource interne dédiée, des prestataires spécialisés proposent des missions d’accompagnement sur le modèle de ce qui s’est développé autour du RGPD. Enfin, il est indispensable de vérifier que les contrats avec les fournisseurs d’outils IA contiennent bien les garanties de conformité attendues, en particulier pour les systèmes classés à haut risque.
Conclusion : un calendrier en mouvement qui ne justifie pas l’attentisme
Le AI Act calendrier obligations entreprises est désormais à deux vitesses : ce qui est déjà en vigueur et incontestable, et ce qui fait l’objet d’un report en cours de négociation institutionnelle. Les interdictions absolues et les obligations GPAI sont effectives et définitives. Les obligations pour les systèmes à haut risque, elles, pourraient être décalées de seize mois, sous réserve de l’adoption finale du Digital Omnibus.
Pour les dirigeants et responsables IT français, la posture recommandée est celle de la préparation méthodique, indépendamment du calendrier final. La cartographie des systèmes IA, l’identification des obligations applicables et l’engagement des chantiers de documentation sont des investissements utiles quelle que soit la date d’échéance retenue.
En France, la gouvernance reste en construction : l’organisation éclatée entre une quinzaine d’autorités sectorielles soulève des interrogations sur la lisibilité du dispositif pour les entreprises. Cette complexité renforce l’intérêt d’un suivi actif des publications de la DGE, de la CNIL et du Bureau IA européen, qui sont les trois sources à consulter en priorité pour rester informé des évolutions réglementaires au fil des mois.
A lire également
Hébergement cloud des données sensibles : les recommandations de l’ANSSI pour sécuriser son SI
