Le 2 août 2026 est le prochain cap réglementaire majeur de l’AI Act. À partir de cette date, les systèmes d’IA classés à haut risque devront satisfaire à un ensemble d’obligations documentaires et techniques pour rester légalement déployés sur le marché européen. Il reste moins de trois mois. Voici ce que les organisations concernées doivent avoir préparé, et ce que le débat sur un possible report change (ou ne change pas) à l’urgence de se mettre en ordre.
Quelles organisations sont concernées par les obligations de l’AI Act en août 2026 ?
L’AI Act classe les systèmes IA en quatre catégories de risque. Les systèmes à risque inacceptable sont interdits depuis février 2025. Les systèmes à haut risque entrent dans leur phase de conformité obligatoire le 2 août 2026. Ce thème est détaillé dans les obligations de l'AI Act pour les organisations.
Sont considérés à haut risque les systèmes IA utilisés dans des domaines précis :
- biométrie et identification des personnes,
- gestion des infrastructures critiques,
- éducation et formation professionnelle,
- emploi et ressources humaines (tri de CV, évaluation de performance),
- accès aux services essentiels (crédit, assurance, aides sociales),
- application de la loi,
- justice et gestion des frontières.
L’étendue est plus large qu’il n’y paraît. Une PME qui utilise un outil de scoring automatique pour ses recrutements, un organisme de formation qui emploie un système d’évaluation automatisé, ou une mutuelle qui intègre une IA dans son processus d’octroi de garantie sont potentiellement dans le périmètre. Et cela s’applique même si l’organisation n’a pas développé le système elle-même.
Les 6 obligations AI Act pour les systèmes IA à haut risque à satisfaire au 2 août 2026
Obligation 1 : système de gestion des risques documenté.
L’organisation doit disposer d’un processus continu d’identification, d’analyse et de traitement des risques liés au système IA, tout au long de son cycle de vie. Ce n’est pas un document statique : il doit être mis à jour à chaque modification significative du système.
Obligation 2 : gouvernance des données d’entraînement.
Les données utilisées pour entraîner le modèle doivent être documentées : origine, pertinence, biais potentiels, mesures de correction appliquées. Les déployeurs doivent s’assurer que cette documentation existe et leur a été transmise par le fournisseur.
Obligation 3 : documentation technique.
Chaque système IA à haut risque doit être accompagné d’une documentation technique décrivant ses capacités, ses limites, les cas d’usage prévus, les performances attendues et mesurées, et les conditions dans lesquelles il ne doit pas être utilisé.
Obligation 4 : journalisation automatique (logs).
Le système doit être capable de générer automatiquement des journaux d’événements permettant de retracer son fonctionnement, notamment en cas d’incident ou de contrôle. Ces logs doivent être conservés sur une durée minimale définie selon les secteurs.
Obligation 5 : transparence et notice d’utilisation.
Les personnes qui interagissent avec le système doivent être informées de manière claire. Cela inclut une notice d’utilisation à destination des opérateurs humains : quelles décisions le système peut prendre, dans quels cas l’intervention humaine est requise, comment interpréter les sorties.
Obligation 6 : supervision humaine effective.
C’est l’obligation la plus structurante. Le système doit être conçu et déployé de façon à ce qu’un humain puisse surveiller son fonctionnement, intervenir en temps réel si nécessaire, et désactiver le système en cas de problème. La supervision humaine ne peut pas être purement formelle.
Le débat sur le report : ce que ça change, et ce que ça ne change pas
Une proposition de report figure dans l’Omnibus Numérique en discussion au niveau européen. Elle décalerait l’entrée en vigueur au 2 décembre 2027. Ce report est discuté, pas acté. Aucun texte officiel n’a été adopté à ce jour.
Même si le report était confirmé demain, les obligations liées aux modèles d’IA à usage général (GPAI) sont en vigueur depuis août 2025 et ne sont pas concernées. Par ailleurs, les grandes entreprises et leurs sous-traitants qui travaillent avec des secteurs régulés intègrent déjà des exigences AI Act dans leurs contrats. Attendre, c’est risquer d’être exclu de certains marchés.
Quelles actions les DPO et RSSI doivent-ils mettre en place ?
Cartographier les systèmes IA en production, identifier lesquels sont à haut risque, et distinguer fournisseur et déployeur. Contacter les fournisseurs pour obtenir documentation technique et déclaration de conformité. Ouvrir une AIPD si ce n’est pas fait. Former les opérateurs à interpréter les sorties du système et à prendre la main en cas d’anomalie.
Ce qui se joue au-delà de la conformité
L’AI Act à haut risque force les organisations à formaliser ce qui reste souvent implicite : qui a la responsabilité des décisions assistées par IA, comment les erreurs sont détectées et traitées, qui peut décider d’arrêter le système. Ces questions ont une valeur opérationnelle bien au-delà de la conformité réglementaire.
Vous souhaitez évaluer l’exposition de votre organisation à l’échéance AI Act du 2 août 2026 ? Prenez rendez-vous avec MDP-Data pour un diagnostic rapide : https://mdp-data.com/contact/
FAQ – AI Act et obligations en août 2026
Qu’est-ce qu’un système IA à haut risque selon l’AI Act ?
Un système IA à haut risque est une intelligence artificielle utilisée dans des domaines sensibles comme les ressources humaines, l’éducation, la biométrie, la santé ou l’accès aux services essentiels. Ces systèmes sont soumis à des obligations renforcées.
L’AI Act concerne-t-il uniquement les développeurs d’IA ?
Non. Les organisations qui utilisent ou déploient des systèmes IA peuvent également être concernées, même si elles n’ont pas développé elles-mêmes la technologie.
Les systèmes IA à haut risque nécessitent-ils une documentation technique ?
Oui. L’AI Act impose une documentation détaillée sur les capacités du système, ses limites, les risques identifiés et les mesures de supervision humaine mises en place.
Une supervision humaine est-elle obligatoire ?
Oui. Les systèmes IA à haut risque doivent pouvoir être surveillés, corrigés ou arrêtés par un humain en cas d’erreur ou de comportement anormal.
Les logs et journaux d’événements sont-ils obligatoires ?
Oui. Les systèmes concernés doivent générer des logs permettant de retracer leur fonctionnement et d’analyser les incidents éventuels.
🔎 Vous avez une question plus générale sur la conformité RGPD ou la cybersécurité ? Consultez notre FAQ générale.
En résumé :
Les systèmes IA à haut risque devront respecter de nouvelles obligations à partir du 2 août 2026 dans le cadre de l’AI Act. Cet article explique les principales exigences à anticiper, notamment la gestion des risques, la documentation technique, la gouvernance des données, la journalisation et la supervision humaine. Les organisations utilisant des outils IA dans les RH, l’éducation, la biométrie ou les services essentiels sont particulièrement concernées. La conformité AI Act devient un enjeu opérationnel, juridique et stratégique pour sécuriser les usages de l’intelligence artificielle et éviter les risques réglementaires.
Pour aller plus loin
- CNIL – Nouvelle édition : Guide 2024 de la sécurité des données personnelles
- MDP Data Protection – Logiciel RGPD : comment choisir la solution idéale pour votre entreprise
- AIACTO.EU – AI Act : ce qui change vraiment au 2 août 2026
Notre Livre Blanc RGPD
Besoin d’un support clair pour comprendre et appliquer le RGPD au quotidien ?
À propos de l’auteur
Christophe SAINT-PIERRE – Fort de plus de 20 ans d’expérience, Christophe accompagne les organisations dans leur mise en conformité réglementaire (RGPD, NIS2, AI Act) en combinant expertise juridique, vision stratégique et approche opérationnelle. Au sein de MDP Data Protection, il pilote une démarche axée sur l’excellence, l’innovation et la valorisation réglementaire. Son objectif : transformer les contraintes légales en opportunités business pour ses clients.
