AI Act européen : ce que les DSI doivent faire en 2026

Le 2 août 2026, les obligations « haut risque » du règlement européen sur l'IA deviennent contraignantes. Pour la plupart des grandes entreprises françaises, ça veut dire trois mois pour finaliser une cartographie qu'on n'a pas encore commencée. Sur les chantiers que nous voyons passer, le retard de démarrage n'est pas dû à un manque d'intérêt — il vient du fait que beaucoup de DSI attendaient que les contours du règlement se précisent. Ils le sont désormais.

L'erreur la plus fréquente consiste à se dire : « on ne développe pas de modèle d'IA, donc on n'est pas concerné ». Le règlement (UE) 2024/1689 parle de déployeurs — toute organisation qui utilise un système IA dans un contexte régulé. Une fonction RH qui passe ses CV dans un outil de pré-tri, une banque qui s'appuie sur un score de crédit automatisé, un industriel qui pilote une chaîne via maintenance prédictive : tous tombent sous le règlement, indépendamment de qui a construit l'algorithme.

Le piège : être déployeur sans le savoir

Le règlement ne fait pas la distinction entre celui qui développe le modèle et celui qui l'utilise. Une grande entreprise qui intègre Claude, GPT-4 ou Mistral dans ses processus internes devient déployeur. Si l'usage entre dans une catégorie à haut risque, les obligations s'enchaînent : registre, information des personnes concernées, supervision humaine, audit régulier.

Les cas d'usage qu'on retrouve presque systématiquement dans les organisations de plus de 500 personnes :

• RH — tri automatisé de CV, scoring de candidats, évaluation de performance assistée
• Crédit — scoring crédit consommation, octroi de prêts (la détection de fraude, elle, est explicitement exclue du périmètre haut risque par le considérant 58)
• Sécurité — identification biométrique pour contrôle d'accès, vidéosurveillance « intelligente »
• Relation client — agents conversationnels qui rendent des décisions affectant les droits des clients (refus, allocation, tarification)
• Industrie — maintenance prédictive sur des installations critiques (SEVESO, énergie, santé)

Les quatre paliers de risque

Le règlement organise les systèmes IA en quatre niveaux, du laisser-faire à l'interdiction. Le découpage est moins propre qu'il en a l'air : un même cas d'usage peut basculer d'un palier à l'autre selon la finalité, le contexte ou la population concernée.

Classification AI Act — règlement (UE) 2024/1689

Quatre échéances qui structurent la mise en conformité

Le règlement s'applique par paliers étalés sur trois ans. Quatre dates comptent réellement pour les déployeurs en grande entreprise — les autres concernent les fournisseurs de modèles.

Obligations par cas d'usage : quelques exemples concrets

Pour donner une lecture moins abstraite, voici comment cinq cas d'usage que nous rencontrons fréquemment chez nos clients sont traités par le règlement :

Sept chantiers à mener avant août 2026

L'ordre compte. Sans cartographie initiale (chantier 1), les six autres tournent à vide ou se font sur des périmètres incomplets — c'est le piège classique des projets de mise en conformité menés en parallèle d'une transformation IA en cours.

Le sujet tombe entre les chaises — et c'est là que ça déraille

L'AI Act n'est pas un sujet 100% technique ni 100% juridique. Trois rôles doivent travailler ensemble, et chez les clients où ça coince, c'est généralement parce que l'un des trois pense que c'est l'affaire de l'autre :

• La DSI pilote l'inventaire des systèmes IA, leur classification, et l'implémentation des contrôles techniques (logging, monitoring, supervision humaine).
• Le DPO évalue les impacts sur les droits des personnes, fait le pont avec les exigences RGPD existantes, et coordonne avec la CNIL si nécessaire.
• La direction juridique sécurise les clauses fournisseurs, les conditions d'utilisation et la procédure de recours pour les personnes affectées.

Le format qui fonctionne le mieux que nous ayons vu : un comité IA trimestriel qui réunit ces trois fonctions avec un sponsor au COMEX. Sans sponsor exécutif, les arbitrages restent en attente et le sujet glisse.

Comment nous intervenons sur ce sujet

Nous accompagnons des banques, des assureurs et des industriels sur leurs premiers audits AI Act depuis fin 2024. Trois formats reviennent régulièrement :

• Audit flash, 2 semaines — cartographie des systèmes IA, classification par niveau de risque, identification des écarts par rapport aux obligations applicables.
• Plan de mise en conformité, 4 semaines — construction du registre, gouvernance (référent, comité), documentation technique des systèmes haut risque, formation des équipes concernées.
• Accompagnement opérationnel — intégration des contrôles directement dans vos systèmes IA en production : logging structuré, supervision humaine, monitoring de drift.

Le sujet recoupe nos expertises GenAI, cybersécurité et data engineering — d'où l'intérêt d'avoir une équipe qui couvre les trois angles plutôt qu'un cabinet juridique qui découvre la partie technique en cours de mission.

Ce qui change vraiment la donne

Le piège n'est pas le règlement lui-même : il est désormais bien documenté, et la Commission a publié des lignes directrices solides. Le piège, c'est de découvrir au moment d'un contrôle ou d'un incident qu'on ne sait pas combien de systèmes IA tournent dans l'organisation, ni qui en est responsable. Cartographier, désigner un référent, ouvrir un registre — c'est l'investissement minimum, et c'est ce qui transforme une menace réglementaire en avantage opérationnel sur ses concurrents.