IA à haut risque : le compte à rebours de 47 jours avant l’UE

ParÉlise Marchetti

Le règlement européen sur l’intelligence artificielle n’est plus une obligation lointaine. À 47 jours du 2 août 2026, l’échéance d’application des dispositions à haut risque prévues à l’Annexe III est imminente. Les entreprises déployant des systèmes d’IA dans les secteurs de l’emploi, du crédit, de la santé, de la sécurité publique ou des infrastructures critiques doivent être en conformité — sous peine de sanctions dépassant celles du RGPD.

Le texte a suivi un calendrier délibérément progressif. Les pratiques interdites par l’article 5 — notation sociale, manipulation subliminale, surveillance biométrique de masse dans les espaces publics — sont entrées en vigueur le 2 février 2025. Six mois plus tard, les obligations relatives aux modèles d’IA à usage général ont été activées, avec 26 fournisseurs majeurs, dont Microsoft, Google, Amazon, OpenAI et Anthropic, signataires du Code de conduite. Meta a refusé de signer, s’exposant ainsi à un contrôle renforcé de la part du Bureau européen de l’IA — une décision qui continue d’attirer l’attention des autorités nationales compétentes.

L’échéance d’août 2026 est d’une tout autre ampleur. Les systèmes d’IA à haut risque — ceux qui influencent l’embauche, évaluent la solvabilité, gèrent les contrôles aux frontières, éclairent des décisions judiciaires ou opèrent au sein d’infrastructures critiques — doivent satisfaire à une conformité totale. Cela implique des évaluations de conformité achevées, un marquage CE, un enregistrement obligatoire dans la base de données européenne de l’IA, des dossiers de documentation technique complets, des mécanismes de supervision humaine opérationnels et des systèmes de surveillance post-commercialisation. Les sanctions en cas de manquement peuvent atteindre 35 millions d’euros ou 7 % du chiffre d’affaires annuel mondial — dépassant en sévérité relative le plafond du RGPD.

Les experts en conformité sont sans ambiguïté sur la nature du défi. « Il s’agit d’une conformité structurelle, pas d’une simple formalité administrative », confie à notre rédaction un conseiller en gouvernance de l’IA basé à Bruxelles. Les organisations qui avaient abordé l’AI Act comme un exercice documentaire réalisent désormais que les évaluations de conformité exigent des transformations techniques et organisationnelles substantielles, bien au-delà de la production de rapports supplémentaires.

Le sommet du G7 à Évian, conclu le 17 juin, a envoyé un signal parallèle mais finalement divergent. Les dirigeants ont actualisé le code de conduite volontaire du Processus d’Hiroshima sur l’IA, alignant rhétoriquement les pays membres sur des principes de sécurité compatibles avec le cadre européen. Toutefois, l’absence d’engagements contraignants de la part des États-Unis confirme la position constante de Bruxelles : l’UE appliquera ses propres règles de manière unilatérale, indépendamment de l’adoption par ses partenaires internationaux d’obligations équivalentes.

L’architecture d’application est désormais opérationnelle. La Finlande est devenue le premier État membre à désigner son autorité nationale de contrôle en décembre 2025. Le Bureau européen de l’IA est pleinement fonctionnel, et les autorités compétentes de France, d’Allemagne, d’Italie, d’Espagne et des Pays-Bas supervisent activement leurs marchés respectifs. L’infrastructure d’application existe ; ce qui demeure incertain, c’est le rythme auquel elle agira contre les opérateurs non conformes après août.

Une tentative parlementaire de reporter l’échéance a échoué. Des eurodéputés avaient voté, dans le cadre du processus Digital Omnibus, pour repousser la date limite au décembre 2027, mais la Commission a rejeté tout report généralisé. Le 2 août 2026 est maintenu, et les entreprises qui misaient sur un aménagement législatif doivent définitivement abandonner cette hypothèse.

La vulnérabilité la plus criante concerne les PME. Beaucoup n’ont pas encore effectué ne serait-ce qu’une classification préliminaire des risques liés à leurs systèmes d’IA, et encore moins d’évaluation de conformité. Ce retard a engendré un nouveau segment de marché en plein essor : cabinets d’audit de l’IA, cabinets juridiques spécialisés et startups de conformité affichent tous une demande explosive à mesure que l’échéance se rapproche. Pour les PME dépourvues d’équipes juridiques ou techniques dédiées, 47 jours représentent un défi considérable.

La dernière étape de ce calendrier législatif interviendra le 2 août 2027, date à laquelle les systèmes existants relevant de l’Annexe I devront également être mis en conformité. Mais cette échéance est secondaire face à la question immédiate que toute organisation déployant de l’IA dans des contextes à haut risque doit se poser aujourd’hui : le temps est presque écoulé.

Publications similaires