AI Act : ce que les entreprises doivent faire concrètement en 2026
AI Act : qui est concerné, quelles obligations, quel calendrier d'application, quelles sanctions. Le guide pratique pour PME et ETI — et pourquoi l'IA locale facilite la mise en conformité.
Le règlement européen sur l'intelligence artificielle — l'AI Act — est le premier cadre juridique complet au monde sur l'IA. Il s'applique par paliers jusqu'en 2027, avec des sanctions pouvant atteindre 7 % du chiffre d'affaires mondial. Pourtant, beaucoup de dirigeants de PME et d'ETI pensent (à tort) ne pas être concernés. Voici ce qu'il faut comprendre et faire, concrètement.
Une logique par niveau de risque
L'AI Act ne réglemente pas « l'IA » en bloc, mais classe les systèmes selon leur risque :
- Risque inacceptable — interdit (notation sociale, manipulation, certaines biométries).
- Haut risque — autorisé sous conditions strictes : scoring de crédit, tri de CV et RH, biométrie, infrastructures critiques, santé. C'est le cœur des obligations.
- Risque limité — obligation de transparence (signaler qu'on interagit avec une IA, marquer les contenus générés).
- Risque minimal — pas d'obligation spécifique (la majorité des usages).
Suis-je concerné ?
Très probablement, dès que vous développez, déployez ou même utilisez un système d'IA. Une PME qui se sert d'un outil de scoring, d'un assistant RH ou d'une IA générative a des devoirs — notamment d'information, de supervision humaine et de vigilance sur les données. Le statut (fournisseur ou simple utilisateur) module les obligations, mais n'exonère personne.
Le calendrier à retenir
Les règles entrent en vigueur par étapes : interdictions dès début 2025, obligations sur les modèles à usage général en 2025, puis l'essentiel des exigences sur les systèmes à haut risque à l'horizon 2026-2027. Le bon réflexe n'est pas d'attendre : c'est de cartographier dès maintenant vos usages d'IA et leur niveau de risque, pour ne pas subir le calendrier.
Ce que le haut risque impose, concrètement
Pour un système à haut risque, le règlement exige notamment : une gouvernance des données d'entraînement, une documentation technique, une traçabilité (journaux), une supervision humaine effective, de la robustesse et de la cybersécurité. En clair : il faut savoir ce que fait votre modèle, sur quelles données, et pouvoir le prouver.
Pourquoi l'IA locale simplifie la conformité
C'est le point que peu de cabinets soulignent : héberger ses modèles en local, sur sa propre infrastructure, donne un contrôle natif sur les données, les journaux et le comportement du modèle. Traçabilité, supervision, gouvernance des données, maîtrise du système : tout devient plus simple à documenter et à auditer qu'avec un service cloud opaque dont vous ne maîtrisez ni les données ni les évolutions. La souveraineté technique n'est pas qu'une posture — c'est un accélérateur de conformité. C'est le prolongement direct de notre analyse sur le RGPD et l'IA générative.
Vous voulez faire le point sur vos usages d'IA et votre exposition à l'AI Act ? Parlons-en : un diagnostic cadre vos risques et la trajectoire la plus simple vers la conformité.
FAQ
Mon entreprise est-elle concernée par l'AI Act ?
Quelles sont les principales échéances ?
En quoi l'IA locale facilite-t-elle la conformité ?
Voir la page d'expertise Sextant sur ce sujet
Notre méthode complète, nos cas d'usage, nos partenariats outils, nos références.
Voir la page d'expertiseAutres articles Sextant
RGPD et IA générative : pourquoi le local devient la seule option recevable
Données personnelles dans ChatGPT, transferts hors UE, doctrines CNIL : le point sur la conformité RGPD de l'IA générative — et la...
Lire IA localeHallucinations LLM en entreprise : comment les détecter et les limiter
Hallucinations IA : sources, fréquence, conséquences en entreprise, méthodes de détection (RAG citations, garde-fous, observabilit...
Lire