Aller au contenu principal
Regards ActuelsL'essentiel, en profondeur.
Newsletter
Tech & Sciences

AI Act en France :
quinze autorités, quatre mois, zéro norme prête

Le règlement européen sur l'intelligence artificielle entre en application complète le 2 août 2026. En France, quinze autorités se partagent la surveillance, le Parlement n'a pas finalisé la loi d'adaptation et les normes techniques ne sont pas prêtes.

Mis à jour le mardi 31 mars 2026 — 12h52
6 min
Julie Marchand
Illustration du règlement européen AI Act avec un processeur IA et le logo TikTok sur fond de drapeau européen
Le règlement européen sur l'intelligence artificielle (AI Act) sera pleinement applicable le 2 août 2026.© Jonathan Raa / NurPhoto via AFP

Le 2 août 2026, le règlement européen sur l'intelligence artificielle — l'AI Act — entre en application complète pour les systèmes classés à haut risque. En France, à quatre mois de l'échéance, le paysage réglementaire ressemble à un chantier inachevé : quinze autorités désignées, une loi qui n'a pas fini son parcours parlementaire, et des normes techniques qui n'existent pas encore. Le pays qui compte 1 114 startups IA et ambitionne d'investir 10 milliards d'euros dans le secteur avance vers une échéance majeure sans boussole claire.

Ce qui s'applique le 2 août 2026

L'AI Act classe les systèmes d'intelligence artificielle par niveau de risque. Le 2 août 2026 marque l'entrée en vigueur des obligations les plus lourdes : celles qui concernent les systèmes à haut risque. Huit catégories sont visées, définies à l'annexe III du règlement.

Parmi elles : la biométrie (identification à distance, reconnaissance des émotions), l'emploi (recrutement, évaluation de performances, décisions de licenciement), l'éducation (admission, surveillance d'examens), les services essentiels (scoring de crédit, assurance vie), les forces de l'ordre (évaluation de risque de récidive, profilage), la migration (vérification de documents aux frontières) et la justice (recherche juridique, application de la loi).

Les entreprises qui développent ou déploient ces systèmes devront respecter un ensemble d'obligations : système de gestion des risques documenté, gouvernance des données d'entraînement, documentation technique complète, contrôle humain, évaluation de conformité et marquage CE avant commercialisation.

En parallèle, des obligations de transparence s'appliquent à toutes les IA : les chatbots devront informer l'utilisateur qu'il interagit avec une machine, les deepfakes et synthèses vocales devront être étiquetés, et les systèmes de reconnaissance des émotions devront en informer les personnes concernées.

La France face au puzzle réglementaire

Qui surveille quoi ? En France, la réponse tient en un organigramme de quinze autorités. Le Sénat a voté le 17 février 2026, dans le cadre de la loi DDADUE (droit de l'Union européenne), la répartition des compétences. La CNIL occupe le rôle pivot : pratiques interdites, biométrie, emploi, forces de l'ordre, migration, justice. Elle dispose de pouvoirs d'injonction, d'astreintes jusqu'à 100 000 euros par jour et d'amendes pouvant atteindre 35 millions d'euros.

Autour d'elle gravitent la DGCCRF (coordination opérationnelle, produits de consommation), l'Arcom (contenus audiovisuels, deepfakes), l'ACPR (systèmes financiers), la HAS et l'ANSM (dispositifs médicaux), l'ANSSI (cybersécurité), le ministère du Travail et le PEReN (expertise technique). Au total, une quinzaine d'autorités sectorielles.

Le sénateur Thomas Dossus a qualifié cette architecture d'« illisible », plaidant pour une autorité unique, selon la Banque des Territoires. La sénatrice Catherine Morin-Desailly a déploré l'insuffisance du débat parlementaire. Et le texte n'est pas terminé : il doit encore être discuté à l'Assemblée nationale.

Le contraste avec le RGPD est frappant. En 2018, la France avait confié la régulation des données personnelles à une seule autorité — la CNIL. Pour l'IA, le choix d'une gouvernance éclatée entre quinze organismes pose un risque de coordination que le RGPD n'avait pas eu à affronter, comme le relève un working paper de Stanford Law.

Les entreprises françaises en retard

La France abrite un écosystème IA dynamique : 1 114 startups (doublement depuis 2021), 45 000 emplois directs, 1,9 milliard d'euros de levées de fonds en 2024 et 16 licornes, selon France Digitale. Mais l'adoption de l'IA dans le tissu économique reste modeste.

Selon l'INSEE (enquête 2024), seules 10 % des entreprises françaises de plus de dix salariés utilisent l'IA — sous la moyenne européenne de 13 %, et loin du Danemark (28 %) ou de la Belgique (25 %). Le secteur le plus avancé est l'information et la communication (42 %). Dans 69 % des cas, les entreprises achètent des logiciels commerciaux sur étagère.

Le point crucial : l'AI Act ne concerne pas seulement les développeurs d'IA. Les « déployeurs » — toute entreprise qui utilise un système d'IA dans un des huit domaines à haut risque — ont aussi des obligations. Une PME qui utilise un outil de recrutement par IA ou un scoring de crédit automatisé est concernée, même si elle n'a pas conçu l'outil. Le coût de mise en conformité pour une PME est estimé entre 2 000 et 8 000 euros par an, selon la Direction générale des entreprises.

Le joker qui brouille les cartes : le Digital Omnibus

L'échéance du 2 août 2026 pourrait ne pas être aussi ferme qu'annoncée. Le 19 novembre 2025, la Commission européenne a publié une proposition législative — le « Digital Omnibus » — qui modifierait le calendrier de l'AI Act.

Le principe : l'application des obligations pour les systèmes à haut risque (annexe III) serait conditionnée à la disponibilité de normes harmonisées. Une fois ces normes publiées par la Commission, les entreprises auraient six mois pour se conformer. La date butoir absolue passerait au 2 décembre 2027, selon l'analyse du cabinet Bird & Bird.

Ce texte est une proposition, pas une loi. Il doit encore être adopté par le Parlement européen et le Conseil. En attendant, les entreprises font face à une double incertitude : se préparer pour le 2 août 2026 au cas où le calendrier initial tient, tout en sachant qu'un report est possible.

Ce qui attend les entreprises

Les sanctions prévues sont graduées : 35 millions d'euros ou 7 % du chiffre d'affaires mondial pour les pratiques interdites, 15 millions ou 3 % pour les violations des obligations sur les systèmes à haut risque, 7,5 millions ou 1 % pour la fourniture d'informations inexactes. Pour les PME et startups, le montant est plafonné au plus bas entre le pourcentage et le montant fixe — une disposition protectrice.

La France dispose d'atouts pour absorber cette transition. Le plan national IA de 10 milliards d'euros, l'objectif de 500 000 GPU d'ici fin 2026, et une énergie nucléaire compétitive offrent un socle. Mais la fragmentation réglementaire et l'absence de normes techniques finalisées pourraient transformer une régulation vertueuse en casse-tête administratif — le même reproche qui avait été fait au RGPD dans ses premières années d'application.

Chaque État membre doit par ailleurs établir au moins un bac à sable réglementaire d'ici le 2 août 2026, selon l'article 57 du règlement. La CNIL en pilote un depuis juillet 2023, dédié aux projets IA pour les services publics. Pour les entreprises, ces espaces d'expérimentation seront le premier test concret de la nouvelle architecture de surveillance.

A lire aussi : IA et emploi : 5 millions de Francais menaces Source : impots.gouv.fr. Source : ANSSI.

L'essentiel

  • Le règlement européen sur l'IA s'applique intégralement le 2 août 2026 pour les systèmes à haut risque
  • Huit catégories concernées : biométrie, emploi, éducation, crédit, forces de l'ordre, migration, justice
  • En France, quinze autorités se partagent la surveillance, avec la CNIL en pivot central
  • Seules 10 % des entreprises françaises de plus de dix salariés utilisent l'IA, sous la moyenne européenne
  • Les amendes peuvent atteindre 35 millions d'euros ou 7 % du chiffre d'affaires mondial

Questions fréquentes

Quelles entreprises sont concrètement concernées par l'AI Act en France ?
Toute entreprise qui développe ou utilise un système d'IA dans les huit catégories à haut risque est concernée : recrutement automatisé, scoring de crédit, chatbots de service client, outils d'évaluation des performances, systèmes biométriques, dispositifs médicaux intégrant de l'IA. Les utilisateurs (déployeurs) ont des obligations au même titre que les développeurs.
Combien coûte la mise en conformité pour une PME ?
La Direction générale des entreprises estime le coût entre 2 000 et 8 000 euros par an, incluant audits et formation. Les sanctions en cas de non-conformité peuvent atteindre 15 millions d'euros ou 3 % du chiffre d'affaires mondial, mais un plafond protecteur existe pour les PME.
Le Digital Omnibus va-t-il repousser l'échéance du 2 août 2026 ?
La proposition de la Commission du 19 novembre 2025 conditionne l'application à la disponibilité de normes harmonisées et repousse la date butoir absolue au 2 décembre 2027. Mais ce texte n'est pas encore adopté par le Parlement et le Conseil européens. Les entreprises doivent se préparer pour le 2 août 2026 tant que la modification n'est pas votée.

Partagez cet article

Sur le même sujet

Plus d'actualités Tech & Sciences

Voir tout
Logos des geants du numerique sur un ecran
Tech & Sciences

IA et emploi :
5 millions de Français menacés, pas ceux qu'on croit

Selon Coface, 16,3 % des emplois français sont exposés à l'IA d'ici cinq ans. Les premiers visés ne sont ni les ouvriers ni les caissières, mais les juristes, comptables et informaticiens.

GPS, deepfakes, cyber : le front invisible de la guerre en Iran
Tech & Sciences

GPS, deepfakes, cyber :
le front invisible de la guerre en Iran

Mille navires ont perdu leur GPS au Moyen-Orient. Des avions de ligne ont failli se poser sur la mauvaise piste. En deux semaines, 110 deepfakes pro-iraniens ont inondé les réseaux. La guerre en Iran se joue aussi sur un front que personne ne voit.

Centrale nucleaire francaise sous la neige
Tech & Sciences

Parc nucléaire français :
l'avantage stratégique que la crise révèle

L’Allemagne importe 26 TWh d’électricité nucléaire française, l’Italie paie son courant 40 €/MWh plus cher. En pleine crise d’Ormuz, le nucléaire offre à la France un bouclier que ses voisins ont perdu.

À ne pas manquer

Vue satellite de l'ile de Kharg dans le golfe Persique, montrant les réservoirs de stockage pétrolier et les jetées de chargement
Monde

Ile de Kharg :
le pari le plus risqué de Trump pour le pétrole iranien

L'ile de 20 km² concentre 90 % des exportations de brut iranien. Trump menace de la saisir, 6 500 soldats américains se rapprochent. Mais en 1988, c'est déjà la menace sur cette ile qui avait forcé l'Iran à accepter la paix — au prix d'un piège que l'histoire pourrait répéter.

Le logo OpenAI affiché sur un écran à côté d'une image générée par intelligence artificielle
Culture

IA et droit d'auteur :
la loi qui change tout pour les créateurs

Le Sénat examine le 8 avril une proposition de loi qui inverse la charge de la preuve face aux fournisseurs d'IA. Pour la première fois, ce sont les entreprises qui devront prouver qu'elles n'ont pas utilisé vos œuvres.

Une soignante en blouse blanche dans un couloir d'hôpital devant un laboratoire d'analyses
Santé

Forfait hospitalier à 32 € :
le transfert de charges que vous allez payer

Depuis le 1er mars, le forfait journalier hospitalier est passé à 23 euros. Au 1er avril, la participation aux actes lourds atteint 32 euros. Ce que la Sécurité sociale ne rembourse plus, votre mutuelle le prend en charge. Et votre cotisation suivra.

Un automobiliste verse du carburant depuis un jerrycan dans le reservoir de sa voiture en France
Économie

Gazole non conforme :
pourquoi l'État autorise un carburant dégradé

Newsletter Regards Actuels

L'essentiel, en profondeur. Chaque vendredi.

Gratuit · Désabonnement en un clic