Gestion de Projet

AI Act européen : obligations et impacts pour vos logiciels et applications

🤖 Analyser avec l'IA

Obtenez un résumé intelligent et des insights personnalisés

L’AI Act européen (obligations logiciels) est le règlement européen sur l’intelligence artificielle. Il classe chaque système d’IA selon quatre niveaux de risque. En plus, il impose des obligations proportionnées à ce niveau. Cette loi est entrée en vigueur le 1er août 2024. D’ailleurs, elle s’applique progressivement jusqu’en 2028. Elle concerne, notamment, toute entreprise qui développe, intègre ou déploie de l’IA dans un logiciel destiné au marché européen. C’est le cas même si son siège est situé hors de l’Union.

Un premier cadre mondial qui concerne déjà vos projets logiciels

L’intelligence artificielle s’invite dans la plupart des applications métier : scoring, recommandation, automatisation, ou même agents conversationnels. Jusqu’ici, aucun texte ne fixait de règles spécifiques à ces usages. Certes, le RGPD encadre les données personnelles. Cependant, il ne dit rien sur le fonctionnement d’un algorithme.

L’AI Act européen (obligations logiciels) comble ce vide juridique. En effet, il complète le RGPD sans le remplacer. D’ailleurs, les deux règlements s’appliquent en parallèle dès qu’une IA traite des données personnelles.

Chez AquilApp, nous intégrons cette dimension réglementaire dès le cadrage des projets logiciels. Un projet mal qualifié en amont coûte plus cher à corriger une fois développé.

Quels sont les 4 niveaux de risque et la classification cités dans l’AI Act européen (obligations logiciels) ? 

Règlement AI Act européen

Le risque est le critère central de l’AI Act européen (obligations logiciels). Un système d’IA est classé selon son usage, pas selon la technologie qu’il utilise.

Une IA à risque inacceptable est un système jugé contraire aux droits fondamentaux. Ces pratiques sont interdites depuis le 2 février 2025. À savoir : 

  • La notation sociale généralisée
  • La manipulation subliminale
  • Et certains usages de reconnaissance biométrique en temps réel dans l’espace public.

Une IA à haut risque est un système utilisé dans un domaine sensible listé à l’annexe III du règlement. Huit domaines sont notamment concernés : 

  1. La biométrie
  2. Les infrastructures critiques
  3. L’éducation
  4. L’emploi et les ressources humaines
  5. L’accès aux services essentiels (crédit, assurance)
  6. L’application de la loi
  7. La migration et gestion des frontières
  8. Ainsi que la justice et les processus démocratiques. 

Un logiciel de tri de CV ou un outil de scoring crédit entre typiquement dans cette catégorie.

De son côté, une IA à risque limité est un système soumis à une obligation de transparence. Par exemple, un chatbot doit signaler qu’il s’agit d’une machine.

Enfin, une IA à risque minimal regroupe la majorité des usages actuels. Tel est le cas, par exemple, des filtres anti-spam, correcteurs orthographiques, recommandations de contenu simples. Aucune obligation spécifique ne s’applique à ce niveau.

Niveau de risqueExemples d’usageObligation principale
InacceptableNotation sociale, manipulation subliminale, biométrie temps réel non encadréeInterdiction totale depuis le 2 février 2025
Haut risqueRecrutement, crédit, éducation, santé, justice, infrastructures critiquesDocumentation, marquage CE, supervision humaine, enregistrement UE
LimitéChatbots, IA générative, deepfakesInformation de l’utilisateur, étiquetage du contenu
MinimalFiltres anti-spam, correcteurs, recommandations simplesAucune obligation spécifique

Source : Règlement (UE) 2024/1689, synthèse Commission européenne, digital-strategy.ec.europa.eu (2026).

Quelles sont les obligations pour les développeurs et éditeurs face à l’AI Act européen (obligations logiciels) ? 

L’AI Act distingue deux rôles. Le fournisseur conçoit ou fait développer le système d’IA avant de le mettre sur le marché. Le déployeur utilise ce système dans son activité professionnelle. D’ailleurs, une même entreprise peut cumuler les deux rôles selon ses projets.

Pour un système à haut risque, le fournisseur doit remplir plusieurs obligations avant la mise en service :

  1. Enregistrer le système dans la base de données publique de l’Union européenne.
  2. Obtenir un marquage CE qui atteste la conformité au règlement.
  3. Mettre en place un système de gestion des risques, documenté et révisé régulièrement.
  4. Produire une documentation technique complète, conforme à l’annexe IV du règlement.
  5. Garantir une supervision humaine effective avant la mise en service.

Le déployeur, de son côté, doit assurer un contrôle humain du système en usage. À cela s’ajoute la conservation les journaux d’activité (logs). Enfin, il doit informer les personnes concernées lorsque la décision les affecte directement. Dans le secteur public, une évaluation d’impact sur les droits fondamentaux est également requise.

À savoir : ces obligations pèsent d’abord sur les éditeurs qui commercialisent une solution. Toutefois, une entreprise qui fait développer un outil interne sur mesure reste responsable de sa conformité. C’est notamment le cas si elle en modifie significativement le comportement.

Lisez notre autre article pour connaître les autres règlementations cyber

Quelles sont les règles spécifiques liées à l’IA générative ? 

IA générative et AI Act européen

Un modèle d’IA à usage général (GPAI, pour General Purpose AI) est un modèle entraîné sur de larges volumes de données. En plus, il est capable d’exécuter des tâches variées, comme les grands modèles de langage. Ces modèles sont soumis à des obligations propres depuis le 2 août 2025. Exemple : 

  • La documentation technique
  • Le respect du droit d’auteur sur les données d’entraînement
  • Le résumé public du contenu utilisé pour l’entraînement.

Attention cependant, certains modèles peuvent présenter un risque systémique. C’est le cas à cause de leur puissance de calcul ou de leur diffusion. Ces derniers doivent ainsi passer par une évaluation de risques. En plus, vous devez sécuriser leur infrastructure et signaler les incidents graves à la Commission européenne.

L’article 50 du règlement impose une obligation de transparence à toute IA générative. C’est le cas, quel que soit son niveau de risque. Notamment, un contenu généré par IA doit être identifiable. De plus, les deepfakes et les textes destinés à informer le public sur des sujets d’intérêt général doivent être étiquetés clairement.

Un accord politique conclu en mai 2026 entre le Parlement européen et le Conseil a été confirmé le 16 juin, puis le 29 juin 2026. Il ajoute une interdiction explicite. À savoir : la génération d’images ou de vidéos à caractère sexuel non consenties, ainsi que la production de contenus pédopornographiques par IA. Cette interdiction entre en application le 2 décembre 2026.

Quel est le calendrier d’application et des sanctions de l’AI Act européen (obligations logiciels ) ? 

Le calendrier de l’AI Act se déploie par étapes depuis 2024. Un paquet législatif de simplification, appelé Digital Omnibus, a reporté certaines échéances à haut risque. Le Parlement l’a approuvé le 16 juin 2026 et le Conseil a donné son accord final le 29 juin 2026. Sa publication au Journal officiel de l’Union européenne est attendue avant le 2 août 2026.

DateÉvénement
1er août 2024Entrée en vigueur du règlement (UE) 2024/1689
2 février 2025Interdictions des pratiques à risque inacceptable, obligation de littératie IA
2 août 2025Obligations pour les modèles d’IA à usage général (GPAI)
2 août 2026Obligations de transparence (article 50), pouvoirs de sanction de la Commission
2 décembre 2026Interdiction des contenus sexuels non consentis générés par IA, échéance de marquage (watermarking) pour les systèmes existants
2 décembre 2027Obligations haut risque pour les systèmes autonomes de l’annexe III (report Digital Omnibus)
2 août 2028Obligations haut risque pour l’IA intégrée à des produits réglementés (annexe I)
31 décembre 2030Mise en conformité des systèmes d’IA intégrés aux grands systèmes d’information européens (annexe X)

Source : Commission européenne (digital-strategy.ec.europa.eu), Conseil de l’Union européenne, Gibson Dunn, IAPP (juin-juillet 2026). Le report à 2027-2028 dépend de la publication formelle du Digital Omnibus au Journal officiel, attendue en juillet 2026.

Néanmoins, les sanctions restent dissuasives. Le non-respect des pratiques interdites expose à une amende pouvant atteindre 35 millions d’euros ou 7 % du chiffre d’affaires mondial annuel. Les autres manquements sont sanctionnés jusqu’à 15 millions d’euros ou 3 % du chiffre d’affaires mondial. C’est le cas notamment sur les systèmes à haut risque. Le montant le plus élevé entre les deux est retenu.

Comment préparer vos applications pour être conforme à l’AI Act européen ? 

Application conforme AI Act européen

Le report de certaines échéances haut risque ne dispense pas d’agir. En outre, les obligations de transparence et les interdictions restent, elles, applicables dès 2026. Nous recommandons une démarche en quatre étapes, proche de celle suivie pour la mise en conformité RGPD.

  1. Cartographier tous les systèmes d’IA utilisés ou en projet, y compris les outils adoptés sans validation formelle par les équipes.
  2. Qualifier le niveau de risque de chaque usage, au regard de l’annexe III et des critères du règlement.
  3. Documenter les systèmes à haut risque : gestion des risques, supervision humaine, traçabilité des décisions.
  4. Intégrer la conformité dès la conception de tout nouveau projet, plutôt que de la traiter après coup.

Cette dernière étape est celle où intervient une agence de développement sur mesure. On vous conseille notamment un cadrage technique qui anticipe la classification du risque. De quoi éviter des refontes coûteuses après la mise en production. Chez AquilApp, nous accompagnons nos clients sur ce point dès les premiers ateliers de cadrage, en particulier lorsque le projet intègre un agent IA ou un module génératif.

Contactez-nous

Vos coordonnées

Votre projet

Décrivez votre projet, vos objectifs et toute information utile pour mieux comprendre votre besoin.

Réponse sous 24h ouvrées — Vos données restent confidentielles.

FAQ sur l’AI Act européen et les obligations logicielles

Oui, le règlement européen possède une portée extraterritoriale stricte. L’AI Act s’applique de plein droit dès lors que le système d’intelligence artificielle est mis sur le marché européen, mis en service dans l’Union, ou que ses résultats (*outputs*) sont utilisés par des personnes situées sur le territoire de l’UE. Le pays d’origine de l’éditeur, du fournisseur ou du développeur tiers n’a aucune incidence sur cette obligation légale.

Les deux textes réglementaires ne s’excluent pas, ils se superposent de manière cumulative. Le **RGPD** encadre la licéité, la protection et le traitement des *données à caractère personnel* qui alimentent ou transitent par l’algorithme. L’**AI Act**, quant à lui, encadre la sécurité, la robustesse, la transparence et la gouvernance du *système d’IA lui-même*. Un logiciel d’IA peut tout à fait n’analyser que des données purement industrielles ou anonymes (échappant ainsi au RGPD), mais rester strictement soumis aux obligations de l’AI Act si sa logique algorithmique présente un risque pour la sécurité ou les droits fondamentaux.

Oui, mais il bénéficie d’un régime allégé. Dans la classification des risques de l’AI Act, un chatbot standard entre généralement dans la catégorie du **« risque limité »**. À ce titre, l’obligation principale est un devoir de transparence (Article 50).

Conclusion

L’AI Act Europen (obligations logiciels) redessine les obligations de tout éditeur logiciel qui intègre de l’intelligence artificielle. Le calendrier évolue. Cependant, l’architecture du règlement reste stable : 

  • La classification par risque
  • La transparence pour l’IA générative
  • Et, les sanctions pour les manquements. 

Notre conseil : anticiper cette conformité dès le cadrage d’un projet. De quoi vous éviter des refontes coûteuses.

AquilApp accompagne les porteurs de projet dans le développement d’une application conforme, de la qualification du risque jusqu’à la mise en production. Demandez un devis gratuit pour évaluer la conformité de votre projet.

Contactez-nous

Vos coordonnées

Votre projet

Décrivez votre projet, vos objectifs et toute information utile pour mieux comprendre votre besoin.

Réponse sous 24h ouvrées — Vos données restent confidentielles.
Partagez ce contenu
ando, Author at AquilApp
En savoir plus sur l'auteur

Retrouvez d'autres articles dans la même catégorie

Monitoring et observabilité : surveiller votre application en production

Le monitoring application (observabilité) regroupe les outils et méthodes permettant de mesurer la santé d’un système informatique en temps réel. Il s’appuie sur trois piliers fondamentaux : les métriques (états), les logs (événements) et les traces (parcours). En 2026, l’objectif consiste à détecter les anomalies avant qu’elles n’impactent l’utilisateur final. Une stratégie efficace combine surveillance proactive et… Poursuivre la lecture Monitoring et observabilité : surveiller votre application en production

Gestion de Projet
Hébergement souverain : OVHcloud, Scaleway ou AWS pour votre application ?

L’ hébergement souverain garantit que les données d’une application sont stockées et traitées sur le territoire national ou européen, sous une juridiction protectrice. OVHcloud et Scaleway offrent une souveraineté native via le droit européen et le label SecNumCloud. AWS propose désormais des solutions de « Cloud souverain » hybrides pour tenter de répondre aux exigences de protection contre le… Poursuivre la lecture Hébergement souverain : OVHcloud, Scaleway ou AWS pour votre application ?

Gestion de Projet
Tests automatisés et qualité logicielle : réduire bugs et coûts

Les tests automatisés (qualité logicielle) consistent à utiliser des scripts pour vérifier le bon fonctionnement d’un programme informatique de manière systématique. Cette approche remplace les contrôles manuels répétitifs, réduisant ainsi les erreurs humaines et les délais de livraison. En 2026, l’automatisation permet de détecter 90 % des régressions avant la mise en production. Elle assure une stabilité… Poursuivre la lecture Tests automatisés et qualité logicielle : réduire bugs et coûts

Gestion de Projet
Product discovery : cadrer un projet digital avant de coder

La product discovery est une phase de recherche et de validation visant à s’assurer qu’un produit numérique répond à un besoin réel avant d’engager le développement. Elle repose sur l’identification des problèmes utilisateurs, l’idéation de solutions et le prototypage rapide pour tester des hypothèses. En 2026, une démarche de discovery réduit le risque d’échec produit de 60… Poursuivre la lecture Product discovery : cadrer un projet digital avant de coder

Gestion de Projet
AquilAppAQUILAPP
275 boulevard Marcel Paul
44800 Saint Herblain
Du lundi au vendredi - 9h à 18h
Une idée de projet digital ?

AquilApp est une agence web spécialisée dans le développement d'applications web et mobiles sur-mesure. Basés à Nantes, nous intervenons dans toute la France pour accompagner les startups, PME et grands groupes dans leur transformation digitale.

Contactez-nous

Rejoignez notre newsletter

Inscrivez-vous pour recevoir nos dernières actualités et conseils en développement web et mobile.
Ce site a été créé avec <3 par AquilApp

Haut de page

Contactez-nous

Appelez-nous

WhatsApp

Prendre RDV