AI Act calendrier : dates clés d'application

Le règlement européen sur l’intelligence artificielle (AI Act – règlement (UE) 2024/1689) a été adopté le 13 juin 2024 et publié au Journal officiel de l’Union européenne le 12 juillet 2024. Son entrée en vigueur est intervenue le 1er août 2024, mais son application suit un calendrier échelonné sur plusieurs années. Comprendre les dates clés du calendrier du AI Act est indispensable pour anticiper les obligations et structurer la mise en conformité.

Ce calendrier progressif répond à une logique de proportionnalité : les interdictions les plus urgentes s’appliquent en premier, puis les obligations se deploient par niveau de risque et par catégorie d’acteurs. L’articulation avec les obligations du RGPD et d’autres réglementations sectorielles impose une coordination attentive.

Le calendrier complet du AI Act

1er août 2024 : entrée en vigueur

Le règlement est entre en vigueur le vingtième jour suivant sa publication au Journal officiel, soit le 1er août 2024. À compter de cette date, le texte existe juridiquement mais la plupart de ses dispositions ne sont pas encore applicables. Les États membres ont toutefois commencé a préparer la transposition des éléments nécessitant des mesures nationales et a désigner les autorités compétentes.

2 février 2025 : interdictions et maîtrise de l’IA

La première échéance substantielle est intervenue le 2 février 2025 (six mois après l’entrée en vigueur). Deux catégories de dispositions sont devenues applicables :

Les interdictions (article 5) : les systèmes d’IA présentant un risque inacceptable sont interdits depuis cette date. Sont concernés :

• Les systèmes utilisant des techniques subliminales, manipulatrices ou trompeuses causant un préjudice significatif ;
• Les systèmes exploitant les vulnérabilités de personnes en raison de leur âge, handicap ou situation sociale ;
• Les systèmes de scoring social par les autorités publiques ;
• Les systèmes d’évaluation des risques de commission d’infractions fondés uniquement sur le profilage ;
• Les systèmes de reconnaissance faciale par moissonnage non ciblé d’images ;
• Les systèmes d’inférence d’emotions sur le lieu de travail et dans les établissements d’enseignement (sauf raisons médicales ou de sécurité) ;
• Les systèmes de categorisation biométrique deduisant la race, les opinions politiques, l’appartenance syndicale, les convictions religieuses ou l’orientation sexuelle ;
• L’identification biométrique à distance en temps réel dans l’espace public à des fins repressives (sauf exceptions strictement encadrées).

L’obligation de maîtrise de l’IA (article 4) : toutes les organisations fournissant ou déployant des systèmes d’IA doivent garantir que leur personnel dispose d’un niveau suffisant de compétences en matière d’IA. Cette obligation transversale concerne l’ensemble des acteurs, indépendamment du niveau de risque des systèmes utilisés.

Les entreprises devaient donc, à cette date, avoir identifié les systèmes interdits éventuellement en usage et les avoir supprimes, et avoir engagé des actions de formation sur l’IA pour les personnes concernées.

2 août 2025 : modèles d’IA a usage général (GPAI)

La deuxième échéance majeure concerne les obligations applicables aux modèles d’IA a usage général (Général Purpose AI – GPAI), qui incluent les grands modèles de langage comme GPT-4, Gemini, Claude, Mistral et Llama. Le chapitre V du AI Act distingue deux niveaux d’obligations :

Obligations pour tous les fournisseurs de modèles GPAI :

• Elaboration et mise à jour d’une documentation technique du modèle ;
• Mise à disposition d’informations et de documentation aux fournisseurs en aval qui intègrent le modèle dans leurs systèmes ;
• Mise en place d’une politique de respect du droit d’auteur ;
• Publication d’un résumé suffisamment détaillé du contenu utilise pour l’entraînement.

Obligations supplémentaires pour les modèles GPAI à risque systémique (modèles entraînés avec une puissance de calcul supérieure à 10^25 FLOPS, ou désignés par la Commission) :

• Évaluation du modèle incluant des tests contradictoires ;
• Évaluation et attenuation des risques systémiques ;
• Suivi, documentation et notification des incidents graves ;
• Garantie d’un niveau adéquat de cybersécurité.

Le Bureau européen de l’IA supervise la mise en oeuvre de ces obligations. Les codes de bonnes pratiques elabores par les acteurs du secteur en concertation avec le Bureau de l’IA jouent un rôle important pour préciser les modalités de conformité.

2 août 2025 : autorités nationales

À la même date, les États membres doivent avoir désigné leurs autorités nationales compétentes et notifie cette désignation à la Commission. En France, la répartition des compétences entre la CNIL, la DGCCRF, l’ANSSI et d’autres autorités sectorielles fait l’objet de discussions. La loi d’adaptation nationale est en cours d’élaboration.

2 août 2026 : systèmes d’IA à haut risque (annexe III)

L’échéance la plus structurante est celle du 2 août 2026, date a laquelle l’ensemble des obligations relatives aux systèmes d’IA à haut risque listes à l’annexe III deviennent applicables. Ces systèmes couvrent de nombreux domaines sensibles :

• Identification biométrique et categorisation des personnes ;
• Gestion et exploitation d’infrastructures critiques ;
• Éducation et formation professionnelle (accès, évaluation, affectation) ;
• Emploi et gestion des travailleurs (recrutement, évaluation, promotion, licenciement) ;
• Accès aux services publics et prestations sociales ;
• Répression ;
• Migration, asile et contrôle aux frontières ;
• Administration de la justice et processus democratiques.

Pour ces systèmes, l’ensemble des obligations du titre III du AI Act s’appliquent : système de gestion des risques, gouvernance des données, documentation technique, journalisation, transparence, supervision humaine, exactitude, robustesse et cybersécurité.

Les entreprises qui deploient ces systèmes doivent également satisfaire aux obligations de l’article 26 : surveillance du fonctionnement, conservation des journaux, analyse d’impact sur les droits fondamentaux, et information des personnes. La mise en conformité doit être anticipée des maintenant en s’appuyant sur une checklist structurée des obligations.

2 août 2027 : systèmes d’IA à haut risque (annexe I)

La dernière échéance majeure concerne les systèmes d’IA intégrés dans des produits déjà soumis à la législation d’harmonisation de l’Union listée à l’annexe I du AI Act. Il s’agit notamment des systèmes d’IA intégrés dans les dispositifs médicaux, les machines, les jouets, les équipements sous pression, les équipements radio, et les véhicules. Pour ces systèmes, les obligations à haut risque du AI Act s’intègrent dans les procédures d’évaluation de conformité existantes (marquage CE).

À cette date, les règles relatives aux systèmes à haut risque sont pleinement applicables, y compris l’enregistrement dans la base de données de l’UE.

Tableau récapitulatif du calendrier

Date	Dispositions applicables
1er août 2024	Entree en vigueur du règlement
2 février 2025	Interdictions (art. 5) + maîtrise de l’IA (art. 4)
2 août 2025	Modèles GPAI (chap. V) + désignation autorités nationales
2 août 2026	Systèmes à haut risque (annexe III) + obligations déploiements
2 août 2027	Systèmes à haut risque (annexe I – produits réglementés)

Les implications pratiques du calendrier échelonné

Prioriser les actions de mise en conformité

Le calendrier échelonné du AI Act impose une approche par priorités. En avril 2026, la situation est la suivante :

• Les interdictions sont applicables depuis plus d’un an : les organisations doivent avoir identifié et supprimé tout système interdit ;
• L’obligation de maîtrise de l’IA est applicable : les programmes de formation doivent être en cours ;
• Les obligations GPAI sont applicables : les fournisseurs de modèles a usage général doivent être en conformité ;
• Les obligations pour les systèmes à haut risque s’appliqueront dans quatre mois : c’est le chantier le plus lourd, qui nécessite une mobilisation immédiate.

Anticiper les normes techniques

Le système de normalisation européen (CEN/CENELEC) travaillé à l’élaboration de normes harmonisees qui faciliteront la démonstration de conformité au AI Act. Ces normes couvriront la gestion des risques, la gouvernance des données, la documentation technique, la transparence, la supervision humaine, l’exactitude et la robustesse. Leur publication progressive est attendue au cours de l’année 2026.

En l’absence de normes harmonisees, les fournisseurs devront démontrer leur conformité par d’autres moyens, ce qui rend la tâche plus complexe.

Coordonner avec les autres calendriers réglementaires

Le calendrier du AI Act s’inscrit dans un écosystème réglementaire dense. Les organisations doivent coordonner la mise en conformité AI Act avec d’autres échéances : le RGPD (application continue et évolutions jurisprudentielles), le règlement DORA (applicable depuis janvier 2025 pour le secteur financier), le Cyber Resilience Act (applicable progressivement à partir de 2026-2027), le Data Act (applicable depuis septembre 2025), et la directive NIS2 (transposition nationale en cours).

La gouvernance de l’IA en entreprise doit intégrer cette dimension multi-réglementaire pour éviter les redondances et garantir une approche cohérente.

Les conséquences du non-respect des échéances

Le AI Act prévoit des sanctions significatives en cas de non-conformité, proportionnées à la gravité de l’infraction. Les amendes maximales sont les suivantes :

• 35 millions d’euros ou 7% du chiffre d’affaires mondial pour les violations relatives aux systèmes interdits ;
• 15 millions d’euros ou 3% du chiffre d’affaires mondial pour les violations des autres obligations du règlement ;
• 7,5 millions d’euros ou 1,5% du chiffre d’affaires mondial pour la fourniture d’informations inexactes aux autorités.

Pour les PME et les start-ups, les sanctions sont plafonnées au montant le plus faible entre le pourcentage du chiffre d’affaires et le montant forfaitaire. Les obligations allegees pour les PME méritent une attention particulière.

Les autorités nationales de surveillance du marché disposeront de pouvoirs d’investigation et de sanction effectifs. Le Bureau européen de l’IA disposera de pouvoirs spécifiques pour les modèles GPAI, incluant la possibilité d’ordonner des évaluations et de restreindre la mise sur le marché.

FAQ

Les échéances du AI Act peuvent-elles être reportees ?

Le règlement ne prévoit pas de mécanisme de report général des échéances. Les dates sont fixées dans le texte et s’appliquent de manière uniforme dans l’ensemble de l’Union européenne. Des périodes de transition spécifiques sont prévues pour certains systèmes existants, mais elles ne constituent pas un report : les systèmes à haut risque mis sur le marché ou en service avant le 2 août 2026 ne sont soumis aux nouvelles obligations que s’ils font l’objet de modifications significatives après cette date.

À quelle date les contrôles commenceront-ils effectivement ?

Les autorités nationales de surveillance du marché pourront exercer leurs pouvoirs de contrôle dès que les obligations concernées deviennent applicables. Pour les systèmes interdits, les contrôles sont possibles depuis le 2 février 2025. Pour les systèmes à haut risque, ils le seront à compter du 2 août 2026. Dans la pratique, les autorités procèdent généralement par étapes, en privilegiant d’abord l’accompagnement avant les sanctions, mais cette approche n’est pas garantie.

Comment savoir si mes systèmes d’IA sont concernés par l’échéance d’août 2026 ?

Il convient de vérifier si les systèmes d’IA utilisés ou déployés par votre organisation figurent dans la liste de l’annexe III du AI Act, qui couvre les systèmes à haut risque par domaine (biométrie, infrastructures critiques, éducation, emploi, services publics, répression, migration, justice). Si un système entre dans l’une de ces catégories et qu’il est utilisé comme composant de sécurité ou qu’il est lui-même un produit, les obligations à haut risque s’appliqueront au 2 août 2026. En cas de doute, une évaluation par un expert qualifié est recommandée.