AI Act : ce que le règlement européen change vraiment pour votre entreprise en 2026

Entré en vigueur en 2024, le règlement européen sur l'intelligence artificielle déploie ses obligations par vagues successives. 2026 marque une année charnière : les systèmes à haut risque, les modèles à usage général et les obligations de transparence trouvent leur plein effet. Pour les dirigeants, l'AI Act ne se lit pas comme un texte technique, il se lit comme un test de maturité de leur organisation face à l'intelligence artificielle.

Pendant les deux années qui ont suivi l'adoption de l'AI Act, une grande partie des dirigeants ont réagi en confiant le dossier aux équipes juridiques, en attendant les décrets d'application, en suivant de loin les analyses des cabinets spécialisés. Cette posture a peut-être suffi tant que l'IA restait, dans la pratique, confinée à quelques projets expérimentaux. Elle ne tient plus en 2026, alors que l'IA générative et l'IA agentique s'infiltrent dans l'ensemble des fonctions de l'entreprise.

Le règlement européen ne se contente pas d'imposer des règles nouvelles. Il révèle, par effet miroir, l'état de maîtrise d'une organisation sur les usages de l'IA qu'elle a déployés. Les entreprises qui vivront bien l'AI Act ne seront pas celles qui auront produit les dossiers de conformité les plus volumineux, mais celles qui auront su transformer cette obligation en occasion de clarifier, consolider et piloter leurs usages de l'intelligence artificielle.

Comprendre la logique du texte : une pyramide de risques, pas une liste de cas

L'AI Act n'est pas une réglementation sectorielle. Il ne traite pas l'IA comme un objet technique, mais comme un usage. Sa logique est celle d'une pyramide de risques : plus un système d'IA peut affecter les droits fondamentaux, la sécurité ou le bien-être des personnes, plus les obligations sont fortes, allant même jusqu'à l'interdiction pure et simple pour certaines pratiques.

Il est nécessaire de distinguer quatre catégories qui structurent l'AI Act :

• Les systèmes interditsNotation sociale généralisée, manipulation subliminale, exploitation de la vulnérabilité, et, sous conditions strictes, certaines utilisations d'identification biométrique à distance.
• Les systèmes à haut risqueCeux utilisés dans le recrutement, l'évaluation des salariés, l'accès à l'éducation, au crédit, aux services publics, à la santé, à la justice, ainsi que les systèmes intégrés à des infrastructures critiques.
• Les systèmes à risque limitéPrincipalement ceux qui interagissent directement avec des personnes (chatbots, systèmes générant du contenu), soumis à des obligations de transparence.
• Les systèmes à risque minimalIls restent libres d'usage.

À côté de cette catégorisation, le règlement introduit un régime spécifique pour les modèles d'IA à usage général (GPAI, General Purpose AI models) et plus particulièrement pour les modèles de fondation dits systémiques. Ce régime s'applique d'abord aux fournisseurs de ces modèles, mais il a un effet direct sur les entreprises qui les déploient : ce qui est exigé des fournisseurs finit par redescendre en exigences contractuelles chez les clients.

2026 : les jalons d'application qui comptent pour un dirigeant

Le calendrier de l'AI Act ne se lit pas en une seule date, mais en plusieurs phases. Les pratiques interdites sont applicables depuis début 2025. Les obligations relatives aux modèles à usage général ont commencé à s'appliquer mi-2025, avec une exigence de transparence et de documentation technique qui remonte désormais le long de la chaîne de valeur. Les systèmes à haut risque rattrapent le régime général en 2026 pour l'essentiel, avec des règles de transition spécifiques selon leur date de mise sur le marché. Les autorités nationales compétentes ont été désignées, les sanctions sont calibrées et peuvent aller jusqu'à 7 % du chiffre d'affaires mondial pour les manquements les plus graves.

Pour un dirigeant, en 2026, il ne suffit plus de dire « nous allons nous conformer ». Il faut pouvoir démontrer, document à l'appui, que l'organisation sait ce qu'elle fait avec l'IA, qu'elle l'a classée selon le niveau de risque adéquat, qu'elle a mis en place les contrôles proportionnés. Cette démonstration ne relève ni du juridique seul, ni de la DSI seule, ni de la direction métier seule. Elle suppose une gouvernance transverse que la plupart des entreprises n'ont pas encore structurée.

L'obligation la plus sous-estimée : savoir ce qu'on fait de l'IA

Avant toute mise en conformité, une obligation implicite traverse le règlement : celle de disposer d'un inventaire réel et à jour des systèmes d'IA utilisés dans l'entreprise. Dans la plupart des organisations, les usages de l'IA se sont multipliés de façon diffuse : copilotes achetés par les équipes métiers, modèles embarqués dans des SaaS tiers, développements internes portés par des data teams, agents conversationnels déployés côté relation client, systèmes de scoring historiques, automatisations RPA augmentées. Aucun périmètre unique ne les tient tous.

EY, dans son rapport AI Pulse Survey 2025, mesure l'ampleur du phénomène : une majorité des dirigeants reconnaissent ne pas disposer d'une vue consolidée des systèmes d'IA déployés dans leur propre organisation. EY qualifie cette situation d'oversight gap et y voit l'un des freins majeurs à la création de valeur par l'IA. L'AI Act rend cette situation intenable : on ne peut pas qualifier le niveau de risque, ni documenter une traçabilité, ni organiser une supervision humaine, sur un parc dont on ignore la cartographie.

Cette cartographie est aussi la première étape d'un pilotage stratégique de l'IA. Les entreprises qui la construisent découvrent souvent trois choses en même temps : elles utilisent plus d'IA qu'elles ne le pensaient, certains de leurs usages ne relèvent plus d'un pilote mais d'une dépendance opérationnelle, et plusieurs initiatives parallèles recouvrent les mêmes besoins.

Les obligations opérationnelles : transparence, supervision humaine et gestion des risques

Au-delà de l'inventaire, trois exigences structurent les obligations applicables aux systèmes à haut risque et, par ricochet, aux systèmes à usage général.

• TransparenceLes utilisateurs doivent être informés qu'ils interagissent avec un système d'IA, et, dans certaines situations, recevoir des explications sur les décisions qui les concernent.
• Supervision humaineLes systèmes à haut risque doivent être conçus pour permettre une intervention humaine effective et non pas simulée.
• Gestion des risquesL'organisation doit documenter l'analyse des risques, les mesures de mitigation, les dispositifs de contrôle, la qualité des jeux de données d'entraînement et la robustesse du système.

Ces exigences ne peuvent pas être traitées à la dernière minute par un prestataire extérieur. Elles supposent que les équipes métiers qui utilisent l'IA, les équipes DSI qui la déploient, les équipes juridiques qui la documentent et les équipes risques qui la supervisent travaillent sur un langage commun. C'est souvent à ce stade que les entreprises découvrent que leur gouvernance IA est sous-dimensionnée : un comité existe peut-être, mais il ne tranche pas ; des procédures existent, mais elles ne sont pas opposables ; une charte existe, mais elle ne s'applique pas aux outils achetés par les équipes métiers en dehors de la DSI.

Modèles à usage général : l'effet de cascade sur les entreprises utilisatrices

Les fournisseurs de modèles d'IA à usage général sont soumis à un régime d'obligations spécifiques : documentation technique, politique de respect du droit d'auteur, résumé des contenus d'entraînement, exigences renforcées pour les modèles à risque systémique. Ces obligations ne s'adressent pas directement aux entreprises utilisatrices.

Mais elles ont un effet de cascade qui les concerne directement. Pour pouvoir se conformer eux-mêmes et pour limiter leur propre exposition, les fournisseurs répercutent une partie de ces exigences à leurs clients. Concrètement, cela se traduit par des évolutions contractuelles : nouvelles clauses de responsabilité, obligations déclaratives sur les usages, contraintes sur les données d'entrée, limitation de certains cas d'usage.

Ce que les dirigeants doivent engager dès 2026

Face à cette échéance, les entreprises les mieux préparées ne sont pas celles qui ont le plus dépensé en conformité. Ce sont celles qui ont engagé quatre mouvements, dans un ordre précis.

D'abord, bâtir ou consolider un inventaire exhaustif des systèmes d'IA utilisés dans l'organisation, avec leur finalité, leurs données, leurs fournisseurs et leur rattachement métier.

Ensuite, qualifier chaque usage selon la grille de risque du règlement et assumer, le cas échéant, l'arrêt ou la refonte d'usages que le texte rend intenables.

Puis, structurer une gouvernance IA effective au niveau du comité exécutif : un sponsor clairement identifié, une instance qui tranche réellement, un reporting trimestriel qui rend visible la trajectoire.

Enfin, intégrer l'AI Act à la politique contractuelle : revoir les clauses avec les fournisseurs de modèles, les intégrateurs, les éditeurs SaaS, pour que la conformité technique du fournisseur se traduise par des engagements opposables.

Ces quatre mouvements ont un point commun : ils ne sont pas des chantiers de conformité. Ce sont des chantiers de pilotage. Les dirigeants qui les mèneront sérieusement sortiront de 2026 avec une entreprise capable de démontrer sa maîtrise de l'IA non seulement à un régulateur, mais aussi à ses clients, ses salariés, ses partenaires et ses investisseurs. C'est ce surplus de crédibilité, plus que le respect formel du texte, qui fera la différence.

La position d'Hymeria

Nous sommes convaincus que l'AI Act n'est pas un sujet juridique. C'est un sujet stratégique qui oblige les directions générales à clarifier ce qu'elles font réellement de l'intelligence artificielle et à le piloter. Les entreprises qui le traiteront comme une charge subie perdront du temps et de l'argent. Celles qui s'en saisissent comme d'un révélateur gagneront une longueur d'avance, notamment sur la question de la confiance, qui restera, pour les années à venir, le premier facteur de différenciation dans les usages IA.

C'est l'approche que nous portons chez Hymeria : accompagner les dirigeants dans une lecture stratégique de l'AI Act, avec des livrables concis, validés par un senior, et utilisables dans une salle de comité exécutif. Notre conviction est simple : sur ces sujets, un document court, précis et actionnable vaut plus que mille pages de conformité empilées — et c'est précisément ce que nos équipes, augmentées par l'IA, sont capables de produire.