Le 2 août 2026, le règlement européen sur l'intelligence artificielle — l'AI Act — entre en application complète pour les systèmes classés à haut risque. En France, à quatre mois de l'échéance, le paysage réglementaire ressemble à un chantier inachevé : quinze autorités désignées, une loi qui n'a pas fini son parcours parlementaire, et des normes techniques qui n'existent pas encore. Le pays qui compte 1 114 startups IA et ambitionne d'investir 10 milliards d'euros dans le secteur avance vers une échéance majeure sans boussole claire.
Ce qui s'applique le 2 août 2026
L'AI Act classe les systèmes d'intelligence artificielle par niveau de risque. Le 2 août 2026 marque l'entrée en vigueur des obligations les plus lourdes : celles qui concernent les systèmes à haut risque. Huit catégories sont visées, définies à l'annexe III du règlement.
Parmi elles : la biométrie (identification à distance, reconnaissance des émotions), l'emploi (recrutement, évaluation de performances, décisions de licenciement), l'éducation (admission, surveillance d'examens), les services essentiels (scoring de crédit, assurance vie), les forces de l'ordre (évaluation de risque de récidive, profilage), la migration (vérification de documents aux frontières) et la justice (recherche juridique, application de la loi).
Les entreprises qui développent ou déploient ces systèmes devront respecter un ensemble d'obligations : système de gestion des risques documenté, gouvernance des données d'entraînement, documentation technique complète, contrôle humain, évaluation de conformité et marquage CE avant commercialisation.
En parallèle, des obligations de transparence s'appliquent à toutes les IA : les chatbots devront informer l'utilisateur qu'il interagit avec une machine, les deepfakes et synthèses vocales devront être étiquetés, et les systèmes de reconnaissance des émotions devront en informer les personnes concernées.
La France face au puzzle réglementaire
Qui surveille quoi ? En France, la réponse tient en un organigramme de quinze autorités. Le Sénat a voté le 17 février 2026, dans le cadre de la loi DDADUE (droit de l'Union européenne), la répartition des compétences. La CNIL occupe le rôle pivot : pratiques interdites, biométrie, emploi, forces de l'ordre, migration, justice. Elle dispose de pouvoirs d'injonction, d'astreintes jusqu'à 100 000 euros par jour et d'amendes pouvant atteindre 35 millions d'euros.
Autour d'elle gravitent la DGCCRF (coordination opérationnelle, produits de consommation), l'Arcom (contenus audiovisuels, deepfakes), l'ACPR (systèmes financiers), la HAS et l'ANSM (dispositifs médicaux), l'ANSSI (cybersécurité), le ministère du Travail et le PEReN (expertise technique). Au total, une quinzaine d'autorités sectorielles.
Le sénateur Thomas Dossus a qualifié cette architecture d'« illisible », plaidant pour une autorité unique, selon la Banque des Territoires. La sénatrice Catherine Morin-Desailly a déploré l'insuffisance du débat parlementaire. Et le texte n'est pas terminé : il doit encore être discuté à l'Assemblée nationale.
Le contraste avec le RGPD est frappant. En 2018, la France avait confié la régulation des données personnelles à une seule autorité — la CNIL. Pour l'IA, le choix d'une gouvernance éclatée entre quinze organismes pose un risque de coordination que le RGPD n'avait pas eu à affronter, comme le relève un working paper de Stanford Law.
Les entreprises françaises en retard
La France abrite un écosystème IA dynamique : 1 114 startups (doublement depuis 2021), 45 000 emplois directs, 1,9 milliard d'euros de levées de fonds en 2024 et 16 licornes, selon France Digitale. Mais l'adoption de l'IA dans le tissu économique reste modeste.
Selon l'INSEE (enquête 2024), seules 10 % des entreprises françaises de plus de dix salariés utilisent l'IA — sous la moyenne européenne de 13 %, et loin du Danemark (28 %) ou de la Belgique (25 %). Le secteur le plus avancé est l'information et la communication (42 %). Dans 69 % des cas, les entreprises achètent des logiciels commerciaux sur étagère.
Le point crucial : l'AI Act ne concerne pas seulement les développeurs d'IA. Les « déployeurs » — toute entreprise qui utilise un système d'IA dans un des huit domaines à haut risque — ont aussi des obligations. Une PME qui utilise un outil de recrutement par IA ou un scoring de crédit automatisé est concernée, même si elle n'a pas conçu l'outil. Le coût de mise en conformité pour une PME est estimé entre 2 000 et 8 000 euros par an, selon la Direction générale des entreprises.
Le joker qui brouille les cartes : le Digital Omnibus
L'échéance du 2 août 2026 pourrait ne pas être aussi ferme qu'annoncée. Le 19 novembre 2025, la Commission européenne a publié une proposition législative — le « Digital Omnibus » — qui modifierait le calendrier de l'AI Act.
Le principe : l'application des obligations pour les systèmes à haut risque (annexe III) serait conditionnée à la disponibilité de normes harmonisées. Une fois ces normes publiées par la Commission, les entreprises auraient six mois pour se conformer. La date butoir absolue passerait au 2 décembre 2027, selon l'analyse du cabinet Bird & Bird.
Ce texte est une proposition, pas une loi. Il doit encore être adopté par le Parlement européen et le Conseil. En attendant, les entreprises font face à une double incertitude : se préparer pour le 2 août 2026 au cas où le calendrier initial tient, tout en sachant qu'un report est possible.
Ce qui attend les entreprises
Les sanctions prévues sont graduées : 35 millions d'euros ou 7 % du chiffre d'affaires mondial pour les pratiques interdites, 15 millions ou 3 % pour les violations des obligations sur les systèmes à haut risque, 7,5 millions ou 1 % pour la fourniture d'informations inexactes. Pour les PME et startups, le montant est plafonné au plus bas entre le pourcentage et le montant fixe — une disposition protectrice.
La France dispose d'atouts pour absorber cette transition. Le plan national IA de 10 milliards d'euros, l'objectif de 500 000 GPU d'ici fin 2026, et une énergie nucléaire compétitive offrent un socle. Mais la fragmentation réglementaire et l'absence de normes techniques finalisées pourraient transformer une régulation vertueuse en casse-tête administratif — le même reproche qui avait été fait au RGPD dans ses premières années d'application.
Chaque État membre doit par ailleurs établir au moins un bac à sable réglementaire d'ici le 2 août 2026, selon l'article 57 du règlement. La CNIL en pilote un depuis juillet 2023, dédié aux projets IA pour les services publics. Pour les entreprises, ces espaces d'expérimentation seront le premier test concret de la nouvelle architecture de surveillance.
