Beaucoup d'entreprises pensent que l'AI Act « entre en vigueur le 2 août 2026 ». C'est inexact. Le Règlement (UE) 2024/1689 est applicable depuis le 1er août 2024 et se déploie progressivement sur six ans. Certaines obligations sont déjà actives depuis février 2025. D'autres ne le seront qu'en août 2030. Le calendrier exact, étape par étape.

Six phases d'application. un calendrier souvent ignoré

L'article 113 du Règlement définit l'entrée en application progressive :

  • 1er août 2024, Entrée en vigueur officielle du texte. Délai de transposition pour les États membres déclenché.
  • 2 février 2025, Application des Chapitres I et II : pratiques IA interdites (Art. 5) ET obligation de littératie IA (Art. 4). DÉJÀ EN VIGUEUR depuis 15 mois.
  • 2 août 2025, Application des Chapitres III sections 4-5 (organismes notifiés), V (modèles GPAI), VII (gouvernance), XII (sanctions). DÉJÀ EN VIGUEUR.
  • 2 août 2026, Application générale du Règlement, notamment Annexe III (systèmes haut risque par usage : RH, scoring crédit, biométrie, justice, services essentiels). C'est l'échéance la plus médiatisée.
  • 2 août 2027, Application aux systèmes Annexe I (composants de sécurité dans produits régulés CE : dispositifs médicaux, jouets, équipements industriels).
  • 31 décembre 2030, Application aux systèmes IA grand public mis sur le marché avant le 2 août 2025 et significativement modifiés (clause de transition longue).

Article 4. la bombe à retardement déjà active

L'Art. 4 stipule : « Les fournisseurs et déployeurs de systèmes IA prennent des mesures pour assurer, dans la mesure du possible, un niveau suffisant de littératie en IA de leur personnel ». Cette obligation s'applique depuis le 2 février 2025. Quinze mois plus tard, la grande majorité des entreprises UE n'a aucune trace formalisée de formation à l'IA pour ses équipes opérant Copilot, ChatGPT, ou des outils RH IA.

Concrètement : si l'AESIA ou la CNIL ouvre un contrôle aujourd'hui, elles peuvent déjà sanctionner sur l'Art. 4. Les sanctions associées (Art. 99 §3) atteignent 15 M€ ou 3% du CA mondial pour les manquements aux obligations des déployeurs.

Obligations GPAI. déjà en vigueur depuis août 2025

Les fournisseurs de modèles d'IA à usage général (GPAI), OpenAI, Anthropic, Google, Mistral, Meta, sont soumis depuis août 2025 à des obligations spécifiques : documentation technique (Art. 53), politique de respect du droit d'auteur, résumé des données d'entraînement, et pour les modèles à risque systémique, évaluation et atténuation des risques (Art. 55).

Pour les entreprises qui utilisent ces modèles : le code de bonnes pratiques GPAI publié par l'AI Office en juillet 2025 sert de référence. Il convient de vérifier que vos fournisseurs LLM ont signé le code et de demander la documentation Art. 53.

Le 2 août 2026. application générale

À cette date, l'ensemble du Règlement s'applique aux systèmes IA classés haut risque selon l'Annexe III. C'est le moment où :

  • Vos systèmes IA RH (Workday, Eightfold, HireVue) deviennent haut risque par usage.
  • Vos systèmes de scoring crédit, fraude bancaire, recommandation algorithmique deviennent haut risque.
  • Vos chatbots clients pouvant influencer des décisions économiques deviennent risque limité (transparence obligatoire).
  • L'AESIA en Espagne et la CNIL en France sont opérationnelles pour exercer leurs pouvoirs de sanction sur l'ensemble du Règlement.

Le 2 août 2027. produits régulés

Pour les fabricants de produits déjà soumis à des règlements de sécurité européens (jouets, Directive 2009/48, dispositifs médicaux non-marqués MDR, équipements industriels, Directive Machines), l'AI Act s'applique au composant IA embarqué. Cette échéance touche peu les ETI françaises directement, mais leurs fournisseurs et clients industriels y sont exposés.

Que faire concrètement en 2026

Si vous n'avez encore rien fait :

Avant le 1er juillet 2026 : inventaire systèmes IA + classification + politique IA interne + formation Art. 4 documentée pour toutes les équipes opérant de l'IA.

Avant le 2 août 2026 : documentation technique Art. 11 pour chaque système classé haut risque + procédure de supervision humaine Art. 14 + désignation d'un responsable.

Avant le 31 décembre 2026 : audit interne ou externe à blanc + dossier de preuves prêt à être présenté en cas de contrôle.

Pourquoi cette ignorance des dates antérieures ?

Trois raisons : (1) la médiatisation a focalisé sur le 2 août 2026 comme « date d'entrée en vigueur », (2) la majorité des cabinets juridiques ont communiqué cette date simplifiée, (3) les autorités nationales (AESIA, CNIL) n'ont pas encore ouvert de contrôle public sur l'Art. 4 pour ne pas créer un signal d'urgence prématuré. Ce calme officiel ne durera pas.