2 août 2026 : La date limite des systèmes d'IA à haut risque selon l'AI Act de l'UE que les entreprises ne peuvent pas ignorer
Les articles 9 à 17 sont applicables en semaines, pas en années. Voici ce que les obligations de documentation exigent réellement et pourquoi la proposition de report de la Commission ne change rien.
La Commission européenne a lancé une proposition en novembre 2025 visant à repousser certaines échéances de l'AI Act de l'UE vers la fin 2027. Cette proposition n'a pas été adoptée en tant que loi. Les entreprises qui l'avaient classée sous la mention « allègement possible » doivent la retrouver, la marquer « non adoptée » et se pencher sur le règlement à la place. Le 2 août 2026 demeure la date d'entrée en vigueur contraignante des obligations relatives aux systèmes d'IA à haut risque, et la fenêtre de conformité ne se réduit pas dans un sens abstrait et futur : elle se réduit dès maintenant.
Ce que couvre réellement l'échéance
La date du 2 août 2026 déclenche un ensemble d'obligations en couches, et non une simple case à cocher. Selon la note de recherche de mars 2026 de l'AI Safety Initiative de la Cloud Security Alliance, cette date active les articles 9 à 17 pour les fournisseurs et l'article 26 pour les déployeurs. L'article 9 exige un système de gestion des risques maintenu tout au long du cycle de vie complet du système d'IA. Les articles 10 à 17 couvrent ensuite, dans l'ordre : la gouvernance des données, la documentation technique, la tenue des registres, la transparence envers les déployeurs, les mécanismes de surveillance humaine, la précision, la robustesse et la cybersécurité. L'article 26 impose des obligations correspondantes aux organisations qui déploient ces systèmes plutôt qu'à celles qui les créent.
L'étendue de ces obligations est précisément le point central. Il ne s'agit pas d'une case de divulgation à cocher ou d'une bannière de cookies. C'est un régime documentaire qui touche à la manière dont les données d'entraînement ont été obtenues, filtrées et gouvernées avant même qu'une seule inférence ne soit produite.
La classification comme système à haut risque découle de l'article 6 et de l'annexe III de la loi, tels qu'énoncés dans le texte officiel de l'AI Act de l'UE. Les systèmes opérant dans les domaines de l'emploi, de la notation de crédit, de l'application de la loi, de la biométrie et des services privés essentiels sont énumérés comme catégories entrant dans le champ d'application, selon les recherches de la Cloud Security Alliance. Baker Botts a indiqué dans sa mise à jour client de mars 2026 que les sanctions pour non-conformité peuvent atteindre 15 millions d'euros ou jusqu'à 3 % du chiffre d'affaires annuel mondial, selon le montant le plus élevé. Ce calcul importe à toute entreprise exploitant l'IA dans un secteur réglementé, qu'elle ait ou non reçu un avis juridique formel.
Le problème du pipeline de données d'entraînement
De toutes les obligations énoncées aux articles 9 à 17, l'article 10 est celui qui prend les entreprises le plus régulièrement au dépourvu. Il exige que les jeux de données d'entraînement, de validation et de test répondent à des critères de qualité définis, soient examinés pour détecter d'éventuels biais, et soient pertinents, suffisamment représentatifs et exempts d'erreurs au regard de leur finalité prévue.
McKenna Consultants, s'exprimant spécifiquement sur la préparation technique en vue de l'échéance d'août 2026, formule cela comme exigeant des entreprises qu'elles auditent non seulement le modèle, mais aussi le pipeline de données en amont : l'origine des données, les contrôles qu'elles ont subis, et si cette gouvernance a été documentée de manière contemporaine ou reconstituée après coup. Une documentation reconstituée n'équivaut pas à une documentation tenue en continu, et les auditeurs savent faire la différence.
La difficulté pratique tient au fait que de nombreuses entreprises ont acquis des données d'entraînement auprès de fournisseurs tiers ou ont hérité de pipelines issus de versions antérieures de leurs produits. Aucune de ces circonstances n'exonère le fournisseur de ses obligations au titre de l'article 10. McKenna Consultants souligne que les fournisseurs doivent être en mesure de démontrer les décisions de gouvernance des données à chaque étape du pipeline, ce qui signifie que l'audit n'est pas un événement ponctuel mais un enregistrement continu qui devrait déjà exister. Pour les organisations qui n'ont pas encore commencé ce travail, le constat honnête est qu'elles sont en retard.
L'obligation du déployeur, souvent négligée
La plupart des commentaires sur la conformité se concentrent sur les fournisseurs : les organisations qui conçoivent et mettent sur le marché des systèmes d'IA à haut risque. Les obligations de l'article 26 pour les déployeurs reçoivent moins d'attention et sont systématiquement sous-estimées.
La note de recherche de la Cloud Security Alliance est explicite : l'article 26 lie les organisations qui utilisent ces systèmes, et pas seulement les fournisseurs qui les commercialisent. Les déployeurs doivent s'assurer que les systèmes sont utilisés conformément aux instructions du fournisseur, désigner une surveillance humaine, surveiller les risques non identifiés dans la documentation initiale, et conserver des journaux d'exploitation lorsque cela est techniquement faisable.
Une entreprise qui achète un système d'IA à haut risque auprès d'un fournisseur et se considère comme un consommateur passif de ce produit fait une mauvaise lecture du règlement. L'obligation du déployeur est substantielle et ne peut être transférée contractuellement au fournisseur par le biais d'un contrat logiciel standard.
C'est là que la révision des contrats fournisseurs devient urgente. Tout accord qui ne prévoit pas d'attribution explicite des responsabilités au titre de l'article 26, d'engagements en matière de journalisation et d'obligations de notification des incidents devra être renégocié ou complété avant le 2 août 2026. Les équipes juridiques qui attendaient des orientations supplémentaires de la part des autorités nationales compétentes avant d'agir attendent, à ce stade, quelque chose qui n'arrivera pas avant le début de l'application du règlement.
Que faire du temps qu'il reste
Les recherches de mars 2026 de l'AI Safety Initiative de la Cloud Security Alliance qualifient les programmes de conformité de nombreuses entreprises de « naissants », ce qui est une façon diplomatique de dire que la plupart des organisations ne sont pas prêtes. Les étapes qui restent sont concrètes plutôt que philosophiques.
Les fournisseurs ont besoin d'un système de gestion des risques finalisé au titre de l'article 9, d'une gouvernance documentée des données d'entraînement au titre de l'article 10, et d'une documentation technique satisfaisant aux articles 11 à 17. Les déployeurs doivent examiner chaque système entrant dans le champ d'application au regard de la liste de vérification de l'article 26, mettre à jour les contrats fournisseurs et désigner par écrit les responsabilités en matière de surveillance humaine.
Aucun de ces deux ensembles d'obligations n'est satisfait par un document de politique décrivant des intentions. La loi exige des preuves opérationnelles.
Pour quiconque développe ou déploie de l'IA dans des secteurs réglementés et lit ceci comme une invitation à commencer : la fenêtre est étroite, mais elle n'est pas fermée. La proposition de report de la Commission qui n'a pas été adoptée n'est pas totalement sans pertinence ; elle laisse entendre que la posture d'application dans les premiers mois pourrait accorder une certaine tolérance aux organisations en cours de mise en conformité, même si aucune orientation officielle en ce sens n'a été publiée. Planifier en vue du 2 août 2026 comme d'une date ferme et considérer toute flexibilité ultérieure comme un avantage est la seule posture défendable.
Suivez le Bureau européen de l'IA pour obtenir des orientations sur l'application à mesure que la date approche, et surveillez les autorités nationales compétentes pour les interprétations sectorielles, en particulier dans les domaines de l'emploi et des services financiers où les questions de périmètre au titre de l'annexe III restent ouvertes.
Sources
- EU AI Act High-Risk Deadline: Enterprise Readiness Gap - Lab Space(opens in new tab)
- Prepare for EU AI Act High-Risk Obligations in 2026(opens in new tab)
- EU Ai Act Compliance anyone? : r/SaaS(opens in new tab)
- Article 6: Classification Rules for High-Risk AI Systems | EU Artificial Intelligence Act(opens in new tab)
- The EU AI Act: What Energy Executives Should Know Before August ...(opens in new tab)
- EU AI Act High-Risk Deadline: Enterprise Readiness Gap - Lab Space(opens in new tab)
- Prepare for EU AI Act High-Risk Obligations in 2026(opens in new tab)
- Article 6: Classification Rules for High-Risk AI Systems | EU Artificial Intelligence Act(opens in new tab)
- High-level summary of the AI Act | EU Artificial Intelligence Act(opens in new tab)
- EU AI Act: obligations for high-risk AI systems - A&O Shearman(opens in new tab)
Sources
- EU AI Act High-Risk Deadline: Enterprise Readiness Gap - Lab Space(opens in new tab)
- Prepare for EU AI Act High-Risk Obligations in 2026(opens in new tab)
- EU Ai Act Compliance anyone? : r/SaaS(opens in new tab)
- Article 6: Classification Rules for High-Risk AI Systems | EU Artificial Intelligence Act(opens in new tab)
- The EU AI Act: What Energy Executives Should Know Before August ...(opens in new tab)
- EU AI Act High-Risk Deadline: Enterprise Readiness Gap - Lab Space(opens in new tab)
- Prepare for EU AI Act High-Risk Obligations in 2026(opens in new tab)
- Article 6: Classification Rules for High-Risk AI Systems | EU Artificial Intelligence Act(opens in new tab)
- High-level summary of the AI Act | EU Artificial Intelligence Act(opens in new tab)
- EU AI Act: obligations for high-risk AI systems - A&O Shearman(opens in new tab)