AI Act européen : obligations et impacts pour vos logiciels et applications
Obtenez un résumé intelligent et des insights personnalisés
L’AI Act européen (obligations logiciels) est le règlement européen sur l’intelligence artificielle. Il classe chaque système d’IA selon quatre niveaux de risque. En plus, il impose des obligations proportionnées à ce niveau. Cette loi est entrée en vigueur le 1er août 2024. D’ailleurs, elle s’applique progressivement jusqu’en 2028. Elle concerne, notamment, toute entreprise qui développe, intègre ou déploie de l’IA dans un logiciel destiné au marché européen. C’est le cas même si son siège est situé hors de l’Union.
Un premier cadre mondial qui concerne déjà vos projets logiciels
L’intelligence artificielle s’invite dans la plupart des applications métier : scoring, recommandation, automatisation, ou même agents conversationnels. Jusqu’ici, aucun texte ne fixait de règles spécifiques à ces usages. Certes, le RGPD encadre les données personnelles. Cependant, il ne dit rien sur le fonctionnement d’un algorithme.
L’AI Act européen (obligations logiciels) comble ce vide juridique. En effet, il complète le RGPD sans le remplacer. D’ailleurs, les deux règlements s’appliquent en parallèle dès qu’une IA traite des données personnelles.
Chez AquilApp, nous intégrons cette dimension réglementaire dès le cadrage des projets logiciels. Un projet mal qualifié en amont coûte plus cher à corriger une fois développé.
Quels sont les 4 niveaux de risque et la classification cités dans l’AI Act européen (obligations logiciels) ?

Le risque est le critère central de l’AI Act européen (obligations logiciels). Un système d’IA est classé selon son usage, pas selon la technologie qu’il utilise.
Une IA à risque inacceptable est un système jugé contraire aux droits fondamentaux. Ces pratiques sont interdites depuis le 2 février 2025. À savoir :
- La notation sociale généralisée
- La manipulation subliminale
- Et certains usages de reconnaissance biométrique en temps réel dans l’espace public.
Une IA à haut risque est un système utilisé dans un domaine sensible listé à l’annexe III du règlement. Huit domaines sont notamment concernés :
- La biométrie
- Les infrastructures critiques
- L’éducation
- L’emploi et les ressources humaines
- L’accès aux services essentiels (crédit, assurance)
- L’application de la loi
- La migration et gestion des frontières
- Ainsi que la justice et les processus démocratiques.
Un logiciel de tri de CV ou un outil de scoring crédit entre typiquement dans cette catégorie.
De son côté, une IA à risque limité est un système soumis à une obligation de transparence. Par exemple, un chatbot doit signaler qu’il s’agit d’une machine.
Enfin, une IA à risque minimal regroupe la majorité des usages actuels. Tel est le cas, par exemple, des filtres anti-spam, correcteurs orthographiques, recommandations de contenu simples. Aucune obligation spécifique ne s’applique à ce niveau.
| Niveau de risque | Exemples d’usage | Obligation principale |
|---|---|---|
| Inacceptable | Notation sociale, manipulation subliminale, biométrie temps réel non encadrée | Interdiction totale depuis le 2 février 2025 |
| Haut risque | Recrutement, crédit, éducation, santé, justice, infrastructures critiques | Documentation, marquage CE, supervision humaine, enregistrement UE |
| Limité | Chatbots, IA générative, deepfakes | Information de l’utilisateur, étiquetage du contenu |
| Minimal | Filtres anti-spam, correcteurs, recommandations simples | Aucune obligation spécifique |
Source : Règlement (UE) 2024/1689, synthèse Commission européenne, digital-strategy.ec.europa.eu (2026).
Quelles sont les obligations pour les développeurs et éditeurs face à l’AI Act européen (obligations logiciels) ?
L’AI Act distingue deux rôles. Le fournisseur conçoit ou fait développer le système d’IA avant de le mettre sur le marché. Le déployeur utilise ce système dans son activité professionnelle. D’ailleurs, une même entreprise peut cumuler les deux rôles selon ses projets.
Pour un système à haut risque, le fournisseur doit remplir plusieurs obligations avant la mise en service :
- Enregistrer le système dans la base de données publique de l’Union européenne.
- Obtenir un marquage CE qui atteste la conformité au règlement.
- Mettre en place un système de gestion des risques, documenté et révisé régulièrement.
- Produire une documentation technique complète, conforme à l’annexe IV du règlement.
- Garantir une supervision humaine effective avant la mise en service.
Le déployeur, de son côté, doit assurer un contrôle humain du système en usage. À cela s’ajoute la conservation les journaux d’activité (logs). Enfin, il doit informer les personnes concernées lorsque la décision les affecte directement. Dans le secteur public, une évaluation d’impact sur les droits fondamentaux est également requise.
À savoir : ces obligations pèsent d’abord sur les éditeurs qui commercialisent une solution. Toutefois, une entreprise qui fait développer un outil interne sur mesure reste responsable de sa conformité. C’est notamment le cas si elle en modifie significativement le comportement.
Lisez notre autre article pour connaître les autres règlementations cyber.
Quelles sont les règles spécifiques liées à l’IA générative ?

Un modèle d’IA à usage général (GPAI, pour General Purpose AI) est un modèle entraîné sur de larges volumes de données. En plus, il est capable d’exécuter des tâches variées, comme les grands modèles de langage. Ces modèles sont soumis à des obligations propres depuis le 2 août 2025. Exemple :
- La documentation technique
- Le respect du droit d’auteur sur les données d’entraînement
- Le résumé public du contenu utilisé pour l’entraînement.
Attention cependant, certains modèles peuvent présenter un risque systémique. C’est le cas à cause de leur puissance de calcul ou de leur diffusion. Ces derniers doivent ainsi passer par une évaluation de risques. En plus, vous devez sécuriser leur infrastructure et signaler les incidents graves à la Commission européenne.
L’article 50 du règlement impose une obligation de transparence à toute IA générative. C’est le cas, quel que soit son niveau de risque. Notamment, un contenu généré par IA doit être identifiable. De plus, les deepfakes et les textes destinés à informer le public sur des sujets d’intérêt général doivent être étiquetés clairement.
Un accord politique conclu en mai 2026 entre le Parlement européen et le Conseil a été confirmé le 16 juin, puis le 29 juin 2026. Il ajoute une interdiction explicite. À savoir : la génération d’images ou de vidéos à caractère sexuel non consenties, ainsi que la production de contenus pédopornographiques par IA. Cette interdiction entre en application le 2 décembre 2026.
Quel est le calendrier d’application et des sanctions de l’AI Act européen (obligations logiciels ) ?
Le calendrier de l’AI Act se déploie par étapes depuis 2024. Un paquet législatif de simplification, appelé Digital Omnibus, a reporté certaines échéances à haut risque. Le Parlement l’a approuvé le 16 juin 2026 et le Conseil a donné son accord final le 29 juin 2026. Sa publication au Journal officiel de l’Union européenne est attendue avant le 2 août 2026.
| Date | Événement |
|---|---|
| 1er août 2024 | Entrée en vigueur du règlement (UE) 2024/1689 |
| 2 février 2025 | Interdictions des pratiques à risque inacceptable, obligation de littératie IA |
| 2 août 2025 | Obligations pour les modèles d’IA à usage général (GPAI) |
| 2 août 2026 | Obligations de transparence (article 50), pouvoirs de sanction de la Commission |
| 2 décembre 2026 | Interdiction des contenus sexuels non consentis générés par IA, échéance de marquage (watermarking) pour les systèmes existants |
| 2 décembre 2027 | Obligations haut risque pour les systèmes autonomes de l’annexe III (report Digital Omnibus) |
| 2 août 2028 | Obligations haut risque pour l’IA intégrée à des produits réglementés (annexe I) |
| 31 décembre 2030 | Mise en conformité des systèmes d’IA intégrés aux grands systèmes d’information européens (annexe X) |
Source : Commission européenne (digital-strategy.ec.europa.eu), Conseil de l’Union européenne, Gibson Dunn, IAPP (juin-juillet 2026). Le report à 2027-2028 dépend de la publication formelle du Digital Omnibus au Journal officiel, attendue en juillet 2026.
Néanmoins, les sanctions restent dissuasives. Le non-respect des pratiques interdites expose à une amende pouvant atteindre 35 millions d’euros ou 7 % du chiffre d’affaires mondial annuel. Les autres manquements sont sanctionnés jusqu’à 15 millions d’euros ou 3 % du chiffre d’affaires mondial. C’est le cas notamment sur les systèmes à haut risque. Le montant le plus élevé entre les deux est retenu.
Comment préparer vos applications pour être conforme à l’AI Act européen ?

Le report de certaines échéances haut risque ne dispense pas d’agir. En outre, les obligations de transparence et les interdictions restent, elles, applicables dès 2026. Nous recommandons une démarche en quatre étapes, proche de celle suivie pour la mise en conformité RGPD.
- Cartographier tous les systèmes d’IA utilisés ou en projet, y compris les outils adoptés sans validation formelle par les équipes.
- Qualifier le niveau de risque de chaque usage, au regard de l’annexe III et des critères du règlement.
- Documenter les systèmes à haut risque : gestion des risques, supervision humaine, traçabilité des décisions.
- Intégrer la conformité dès la conception de tout nouveau projet, plutôt que de la traiter après coup.
Cette dernière étape est celle où intervient une agence de développement sur mesure. On vous conseille notamment un cadrage technique qui anticipe la classification du risque. De quoi éviter des refontes coûteuses après la mise en production. Chez AquilApp, nous accompagnons nos clients sur ce point dès les premiers ateliers de cadrage, en particulier lorsque le projet intègre un agent IA ou un module génératif.
Contactez-nous
FAQ sur l’AI Act européen et les obligations logicielles
Conclusion
L’AI Act Europen (obligations logiciels) redessine les obligations de tout éditeur logiciel qui intègre de l’intelligence artificielle. Le calendrier évolue. Cependant, l’architecture du règlement reste stable :
- La classification par risque
- La transparence pour l’IA générative
- Et, les sanctions pour les manquements.
Notre conseil : anticiper cette conformité dès le cadrage d’un projet. De quoi vous éviter des refontes coûteuses.
AquilApp accompagne les porteurs de projet dans le développement d’une application conforme, de la qualification du risque jusqu’à la mise en production. Demandez un devis gratuit pour évaluer la conformité de votre projet.



