AI Act : ce qui devient obligatoire le 2 août 2026 pour une entreprise

Si votre entreprise utilise un outil IA pour trier des CV, scorer des demandes de crédit, ou évaluer la performance de vos équipes, une date doit figurer dans votre agenda : le 2 août 2026. Ce jour-là, la majeure partie du règlement européen sur l'intelligence artificielle devient applicable. Avec elle arrive un bloc d'obligations qui visent précisément ces usages. Un report partiel est en discussion à Bruxelles, mais il n'est pas adopté, et compter dessus serait un pari risqué.

Ce qui se déclenche exactement le 2 août 2026

L'AI Act n'arrive pas d'un bloc. Le règlement est entré en vigueur le 1er août 2024, et il s'applique par vagues. Certaines obligations sont déjà actives depuis plus d'un an.

Trois échéances sont déjà passées :

• Depuis février 2025, les pratiques interdites (article 5) sont sanctionnées : manipulation subliminale, exploitation de vulnérabilités, notation sociale.
• Depuis février 2025, l'obligation de littératie IA (article 4) impose que vos équipes qui utilisent l'IA soient formées à son fonctionnement et à ses limites.
• Depuis août 2025, les fournisseurs de modèles à usage général (GPAI) ont des obligations de documentation et de respect du droit d'auteur.

Le 2 août 2026 ouvre la vague qui concerne directement les entreprises utilisatrices : l'application des obligations sur les systèmes à haut risque de l'annexe III. C'est la partie du texte qui touche le plus grand nombre d'entreprises, parce qu'elle vise des usages courants, pas des laboratoires de recherche.

Êtes-vous concerné : la question du haut risque

Le règlement ne traite pas tous les usages IA de la même façon. Il les classe par niveau de risque. La catégorie qui déclenche le plus d'obligations est celle des systèmes à haut risque, définie à l'annexe III. Huit domaines y figurent. Trois reviennent constamment dans les entreprises françaises :

• Ressources humaines : outils de tri de candidatures, de présélection, d'évaluation de la performance ou d'aide aux décisions de promotion.
• Accès aux services essentiels : scoring de solvabilité, évaluation d'éligibilité à un crédit ou à une assurance.
• Biométrie : identification ou catégorisation de personnes, reconnaissance d'émotions.

Retenez ceci : la classification ne dépend pas de votre taille ni de votre secteur, mais de l'usage que fait votre système IA. Un outil de tri de CV utilisé par une entreprise de 30 personnes tombe dans la même catégorie que celui d'un grand groupe. Ce n'est pas le logiciel qui est étiqueté, c'est ce qu'il décide.

Fournisseur ou déployeur : vos obligations ne sont pas les mêmes

Le règlement distingue deux rôles, et la plupart des entreprises sont déployeurs, pas fournisseurs. Le fournisseur conçoit et met sur le marché le système. Le déployeur l'utilise dans son activité. Si vous achetez un outil de tri de CV à un éditeur et que vous l'utilisez sur vos candidats, vous êtes déployeur.

Les obligations du fournisseur sont les plus lourdes : système de gestion des risques sur tout le cycle de vie, documentation technique complète, évaluation de conformité, enregistrement dans la base de données européenne, surveillance après mise sur le marché. C'est le travail de votre éditeur.

Vos obligations de déployeur sont concrètes et vous incombent directement :

• Informer les personnes soumises à une décision prise ou assistée par le système IA à haut risque.
• Assurer une supervision humaine réelle, pas une validation automatique de pure forme.
• Conserver les logs générés par le système pendant au moins six mois.
• Réaliser, dans les cas prévus, une analyse d'impact sur les droits fondamentaux avant la mise en service.

Ces obligations ne se délèguent pas à l'éditeur. Même si l'outil est conforme côté fournisseur, l'usage que vous en faites reste votre responsabilité. C'est le prolongement direct de notre article sur l'auditabilité des systèmes IA : sans traçabilité organisée en amont, ces obligations deviennent impossibles à honorer le jour d'un contrôle.

Le report en discussion : pourquoi vous ne devez pas l'attendre

Un élément complique le calendrier. Le 7 mai 2026, le Conseil et le Parlement européens sont parvenus à un accord politique sur un texte appelé Digital Omnibus. Ce texte propose de repousser l'application des obligations haut risque de l'annexe III au 2 décembre 2027, soit seize mois de plus.

Trois raisons de ne pas se reposer dessus :

• Un accord politique n'est pas une loi. Tant que le texte révisé n'est pas formellement adopté et publié au Journal officiel de l'Union Européenne, l'échéance qui fait foi reste le 2 août 2026.
• Les pratiques interdites, la littératie IA et les obligations GPAI ne sont pas concernées par ce report. Elles s'appliquent déjà.
• Préparer la conformité prend des mois. Une entreprise qui attend la confirmation du report pour s'y mettre se retrouvera, en cas de blocage du texte, à devoir tout faire en quelques semaines.

Ne pariez pas sur le report. Mettez-vous en conformité comme si l'échéance d'août 2026 tenait. Si le report passe, vous aurez gagné du temps, pas une dispense.

Ce qu'un dirigeant doit avoir préparé avant l'été

Les obligations sont techniques, mais la préparation de fond relève de la direction, pas de l'équipe IT seule. Quatre actions concrètes :

1. Recenser vos systèmes IA. Listez tous les outils qui utilisent de l'IA dans vos processus, y compris ceux intégrés à des logiciels que vous n'aviez pas identifiés comme tels (un module de scoring dans votre CRM, par exemple).
2. Classer chaque usage. Pour chacun, déterminez s'il tombe sous l'annexe III. En cas de doute sur un usage RH, crédit ou biométrie, partez du principe qu'il est concerné jusqu'à preuve du contraire.
3. Interroger vos fournisseurs. Demandez à chaque éditeur la documentation de conformité, la déclaration de conformité, et l'enregistrement dans la base européenne. Un fournisseur incapable de répondre est un risque que vous portez à sa place.
4. Documenter votre usage. Mettez en place la supervision humaine, la conservation des logs, et l'information des personnes concernées. Cette documentation est ce qu'un contrôle vous demandera.

Comment SolidScale intègre la conformité dans la méthode S3

La conformité AI Act n'est pas une couche qu'on ajoute à la fin d'un projet. Dans la méthode Scan, Solve, Scale, elle est posée dès le cadrage.

Scan : l'audit gratuit de 30 minutes inclut une lecture de vos usages IA sous l'angle de l'annexe III. La question "ce système est-il à haut risque, et qui en est le déployeur" est posée avant le brief technique. Cadrer un projet RH ou crédit sans cette question, c'est construire une dette de conformité qui se paiera plus cher au moment du contrôle.

Solve : pour les cas d'usage à haut risque, nous concevons l'architecture avec la traçabilité et la supervision humaine intégrées, pas ajoutées après coup. Les logs, l'information des personnes et les points de contrôle humain font partie du livrable, pas d'un correctif ultérieur.

Scale : le suivi continu inclut une veille sur l'évolution du calendrier réglementaire. Si le report Digital Omnibus est publié, ou si la classification d'un de vos usages change, vous le savez avant que ce soit un problème opérationnel.

Ce qu'il faut retenir

Le 2 août 2026 fait entrer en application les obligations de l'AI Act sur les systèmes à haut risque, et ces usages sont plus courants qu'on ne le pense.

• Le 2 août 2026 déclenche les obligations haut risque de l'annexe III : RH, crédit, scoring, biométrie.
• En tant que déployeur, vous avez des obligations propres : information, supervision humaine, conservation des logs, analyse d'impact.
• Le report au 2 décembre 2027 est un accord politique non publié, à ne pas attendre.
• Les sanctions atteignent 35 millions d'euros ou 7 pour cent du chiffre d'affaires mondial.

L'action concrète tient en une phrase : recensez vos usages IA, classez ceux qui touchent au RH, au crédit ou à la biométrie, et exigez la documentation de conformité de vos fournisseurs avant l'été.

Questions fréquentes

Mon entreprise est-elle concernée même si elle est de petite taille ?

Oui. La classification dépend de l'usage du système IA, pas du chiffre d'affaires ni de l'effectif. Un outil de tri de candidatures utilisé par une petite structure tombe dans la même catégorie haut risque que celui d'un grand groupe. Les obligations varient selon le rôle (fournisseur ou déployeur) et le niveau de risque, pas selon la taille.

Le report à décembre 2027 me dispense-t-il de me préparer maintenant ?

Non. Le report n'est qu'un accord politique du 7 mai 2026, pas encore adopté ni publié au Journal officiel. Tant qu'il ne l'est pas, l'échéance légale reste le 2 août 2026. Préparer la conformité prend des mois : attendre la confirmation du report, c'est risquer de devoir tout faire dans l'urgence si le texte se bloque.

Quelle différence entre fournisseur et déployeur d'un système IA ?

Le fournisseur conçoit et met le système sur le marché. Le déployeur l'utilise dans son activité. La plupart des entreprises sont déployeurs : elles achètent un outil et l'appliquent à leurs candidats ou clients. Les obligations les plus lourdes pèsent sur le fournisseur, mais le déployeur a ses propres obligations (information, supervision, logs) qu'il ne peut pas déléguer.

Que risque mon entreprise en cas de non-conformité ?

Les sanctions de l'AI Act peuvent atteindre 35 millions d'euros ou 7 pour cent du chiffre d'affaires annuel mondial, selon la nature du manquement. Au-delà de l'amende, un système à haut risque non conforme peut devoir être retiré, avec l'interruption de processus métier que cela implique.

Sources

• Règlement (UE) 2024/1689 du Parlement européen et du Conseil (AI Act), annexe III et calendrier d'application, artificialintelligenceact.eu/implementation-timeline
• AI Act Service Desk (Commission européenne), Timeline for the Implementation of the EU AI Act, ai-act-service-desk.ec.europa.eu
• Holland & Knight, U.S. Companies Face EU AI Act's Possible August 2026 Compliance Deadline, avril 2026, hklaw.com
• Cloud Security Alliance, EU AI Act High-Risk Compliance Deadline, labs.cloudsecurityalliance.org