Skip to main content

Échéances EU AI Act 2025–2027 : qui est concerné et quand

L'EU AI Act entre en vigueur de façon échelonnée — quatre échéances, quatre paquets d'actions. Ce guide montre aux PME ce qui devient obligatoire et à quelle date : interdictions, règles GPAI, obligations relatives au haut risque et sanctions.

Réserver un audit de conformité EU AI ActDémarrer le Wito Digital Audit (WDA) gratuit

Qu'est-ce que l'EU AI Act et comment entre-t-il en vigueur ?

L'EU AI Act (règlement (UE) 2024/1689) est la première réglementation complète au monde encadrant l'intelligence artificielle. Il est entré en vigueur le 1er août 2024 et déploie sa pleine portée sur une période échelonnée de 36 mois — avec quatre échéances clairement définies jusqu'en août 2027.

Le règlement s'applique à toutes les entreprises qui utilisent, développent ou commercialisent des systèmes d'IA dans l'UE — indépendamment de leur taille et de leur lieu d'établissement. Autrement dit : même une PME de 15 salariés qui se contente d'utiliser des outils d'IA prêts à l'emploi est concernée en tant que déployeur (deployer) au sens de l'art. 3, point 4, de l'EU AI Act.

Vue d'ensemble des 4 échéances de l'EU AI Act

L'EU AI Act structure ses exigences en quatre étapes échelonnées dans le temps. La logique sous-jacente est fondée sur le risque : d'abord entrent en vigueur les interdictions visant les systèmes d'IA les plus dangereux, puis les obligations de transparence pour les modèles d'IA à usage général, ensuite les vastes obligations relatives au haut risque et, enfin, les dérogations pour certaines catégories de produits réglementés.

Selon le bureau de l'IA de la Commission européenne (2025), les exigences relatives au haut risque concernent directement, selon les estimations, quelque 15 000 PME pour la seule Allemagne. Dans le même temps, une étude Bitkom 2025 montre que 64 % des PME allemandes ignorent encore qu'elles sont concernées par l'EU AI Act.

Les quatre échéances peuvent se comprendre comme des vagues de conformité successives : chaque vague apporte de nouvelles obligations — et, à compter de l'échéance du 2 août 2026, les dispositions du règlement s'appliquent intégralement en vertu de l'art. 113 de l'EU AI Act, sauf disposition expresse contraire. Le BMWK recommande expressément aux entreprises de se préparer progressivement et suffisamment tôt à chacune des échéances, plutôt que de tout reporter au dernier moment.

1août 2024

Entrée en vigueur — Commission européenne

Quelle: Commission européenne, 2024
2févr. 2025

Interdictions (risque inacceptable) — art. 5

Quelle: EU AI Act art. 5, 2025
2août 2025

Règles GPAI + autorités — art. 51-56

Quelle: EU AI Act art. 51-56, 2025
2août 2026

Obligations IA à haut risque — art. 6-49

Quelle: EU AI Act art. 6-49, 2026

2 février 2025 : pratiques d'IA interdites (art. 5 EU AI Act)

Six mois après l'entrée en vigueur — le 2 février 2025 — sont entrées en application les interdictions visant les systèmes d'IA présentant un risque inacceptable. Ces pratiques d'IA sont depuis lors totalement interdites dans l'UE. Toute entreprise qui exploite encore de tels systèmes agit, depuis cette date, de manière illégale et s'expose à des amendes pouvant atteindre 35 M EUR ou 7 % du chiffre d'affaires annuel mondial.

En vertu de l'art. 5 de l'EU AI Act, les systèmes et pratiques d'IA suivants sont interdits :

  • Notation sociale : systèmes d'IA qui évaluent des personnes sur la base de leur comportement social ou de caractéristiques personnelles et en déduisent des désavantages sociaux (à l'image d'un système de points étatique).
  • Pratiques d'IA manipulatrices : systèmes recourant à des techniques en deçà du seuil de perception pour influencer le comportement humain en causant un préjudice.
  • Exploitation des vulnérabilités : IA exploitant les vulnérabilités spécifiques de certaines personnes (âge, handicap) pour influencer leur comportement.
  • Surveillance biométrique en temps réel dans les espaces publics par les autorités répressives — avec des exceptions strictes définies par la loi.
  • Reconnaissance des émotions sur le lieu de travail et dans les établissements d'enseignement — avec des exceptions pour les usages médicaux ou liés à la sécurité.
  • Catégorisation biométrique selon des caractéristiques sensibles (origine ethnique, opinions politiques, appartenance syndicale, convictions religieuses, orientation sexuelle).
  • Police prédictive fondée sur l'IA reposant sur des profils, sans élément factuel concret.

Particulièrement pertinent en pratique pour les PME : toute entreprise utilisant une analyse de l'humeur ou des émotions des salariés assistée par IA (par ex. dans des outils RH, des logiciels de visioconférence ou le monitoring de productivité) devait désactiver ces fonctions au plus tard le 2 février 2025, ou démontrer qu'elles relèvent de l'exception médicale. Selon le guide Bitkom EU AI Act 2024, de nombreuses PME ont activé ces fonctions à leur insu dans des logiciels standard.

2 août 2025 : règles GPAI, AI Office et autorités nationales

Douze mois après l'entrée en vigueur — le 2 août 2025 — sont entrées en application les règles relatives aux modèles d'IA à usage général (General Purpose AI, GPAI) ainsi que les structures institutionnelles. Cette échéance concerne surtout les PME de manière indirecte : les fournisseurs des modèles d'IA que les PME utilisent au quotidien doivent désormais être en conformité de façon démontrable.

GPAI : que sont les modèles d'IA à usage général ?

Les modèles GPAI sont de grands modèles d'IA qui peuvent être entraînés et déployés pour une multitude de tâches — sans finalité spécifique. Parmi les exemples les plus connus figurent GPT-4 et GPT-5 (OpenAI), Claude (Anthropic), Gemini (Google DeepMind) et LLaMA (Meta). En vertu des art. 51 à 56 de l'EU AI Act, les fournisseurs de ces modèles doivent remplir, à compter du 2 août 2025, les obligations suivantes :

  • Mettre à disposition une documentation technique et des évaluations des modèles.
  • Publier et respecter une politique en matière de droit d'auteur (politique relative aux données d'entraînement).
  • Fournir à tous les fournisseurs en aval (qui développent à partir du modèle) l'ensemble des informations pertinentes.
  • En cas de risques systémiques (modèles particulièrement performants, état 2025 : effort d'entraînement supérieur à 10^25 FLOP), prendre des mesures de sécurité supplémentaires.

Qu'est-ce que cela implique pour les PME en tant qu'utilisatrices ?

Pour les PME en tant que déployeurs : elles ne peuvent plus utiliser que des modèles GPAI de fournisseurs qui respectent de façon démontrable les exigences de l'EU AI Act. En pratique, cela signifie vérifier et archiver la documentation de conformité des fournisseurs (par ex. Microsoft, OpenAI, Google, Anthropic). Les principaux fournisseurs ont désormais rendu cette documentation accessible au public.

AI Office et autorités nationales

Également à compter du 2 août 2025, l'EU AI Office est pleinement opérationnel. Il s'agit de l'autorité centrale de l'UE chargée de surveiller le respect des règles GPAI. En parallèle, les États membres de l'UE doivent désigner leurs autorités nationales de surveillance du marché pour l'IA — en Allemagne, c'est vraisemblablement la Bundesnetzagentur qui assumera ce rôle, la décision finale du BMDV (ministère fédéral du Numérique et des Transports) restant en attente (état T2 2026).

Selon l'analyse de l'EU AI Act de la Heinrich-Böll-Stiftung 2024, la structure institutionnelle est un élément central de la loi : sans autorités nationales fonctionnelles, les menaces d'amende restent certes formellement valides, mais sont en pratique difficilement applicables. À partir d'août 2025, la donne change — les autorités obtiennent de vastes pouvoirs d'enquête et de mise en œuvre, y compris des audits inopinés.

2 août 2026 : obligations IA à haut risque et plein effet des sanctions

Le 2 août 2026 est l'échéance centrale de l'EU AI Act pour la majorité des PME concernées. À compter de cette date — 24 mois après l'entrée en vigueur — toutes les exigences relatives aux systèmes d'IA à haut risque au titre des art. 6 à 49 de l'EU AI Act s'appliquent intégralement. Dans le même temps, le plein effet des amendes au titre de l'art. 99 de l'EU AI Act s'applique à partir de cette échéance.

Quels systèmes relèvent du haut risque ?

Les systèmes d'IA à haut risque sont énumérés à l'annexe III du règlement. Domaines particulièrement pertinents pour les PME :

  • RH et gestion du personnel : IA de présélection des candidats, d'évaluation des performances, de recommandation salariale ou de licenciement. Concerne toute PME dotée d'un logiciel RH assisté par IA.
  • Octroi de crédit : évaluation automatisée de la solvabilité et credit scoring. Pertinent pour les entreprises dotées d'outils financiers assistés par IA.
  • Éducation et formation professionnelle : décisions d'accès ou évaluation des apprenants au moyen de l'IA.
  • Infrastructures critiques : IA dans l'approvisionnement en eau, l'énergie, les transports.
  • Produits liés à la sécurité : IA dans les machines, les véhicules, les dispositifs médicaux.

Obligations des déployeurs de systèmes à haut risque

Les PME qui déploient des systèmes d'IA à haut risque doivent, d'ici au 2 août 2026, satisfaire aux exigences suivantes issues des art. 9 à 15 de l'EU AI Act :

  • Système de gestion des risques au titre de l'art. 9 : système documenté d'identification, d'analyse et de réduction des risques tout au long du cycle de vie du système d'IA.
  • Garantie de la qualité des données au titre de l'art. 10 : s'assurer que les données d'entraînement et d'exploitation répondent aux exigences de qualité, de représentativité et d'absence d'erreurs.
  • Documentation technique au titre de l'art. 11 : documentation complète du système d'IA, de ses finalités, de ses limites et de ses paramètres de performance.
  • Journalisation et enregistrement au titre de l'art. 12 : journalisation automatique des événements survenant pendant l'exploitation d'un système à haut risque.
  • Transparence et information des utilisateurs au titre de l'art. 13 : informations claires destinées aux déployeurs et aux utilisateurs sur les capacités, les limites et les obligations de contrôle.
  • Contrôle humain au titre de l'art. 14 : contrôle institutionnellement ancré exercé par des personnes physiques — des mesures techniques et organisationnelles doivent le rendre possible.
  • Évaluation de la conformité au titre de l'art. 43 : soit en auto-évaluation, soit par un tiers, selon le type de système.

Amendes à compter du 2 août 2026

Le régime d'amende au titre de l'art. 99 de l'EU AI Act est lourd pour les PME : les infractions aux exigences relatives au haut risque peuvent être sanctionnées jusqu'à 15 M EUR ou 3 % du chiffre d'affaires annuel mondial (le montant le plus élevé étant retenu). Pour une PME réalisant 10 M EUR de chiffre d'affaires, cela représente des amendes pouvant atteindre 300 000 EUR — pour la seule absence de documentation de conformité. Pour les pratiques d'IA interdites au titre de l'art. 5, c'est le cadre encore plus élevé de 35 M EUR ou 7 % du chiffre d'affaires annuel qui s'applique.

Selon le ZEW Mannheim 2024, les coûts uniques de mise en conformité pour une PME peuvent, selon la complexité, se situer entre 50 000 et 400 000 EUR lorsque tout est réalisé en interne. Avec un accompagnement externe et une méthode structurée, cet effort se réduit considérablement — et reste largement moins coûteux qu'une seule amende.

Le présent règlement s'applique à partir du 2 août 2026, sauf disposition contraire. Les titres I et II s'appliquent à partir du 2 février 2025. Les dispositions relatives aux modèles d'IA à usage général figurant au chapitre V du titre VIII, ainsi que les dispositions des chapitres I, II et VI du titre VIII et du chapitre III du titre IX, s'appliquent à partir du 2 août 2025.
Parlement européen et Conseil de l'Union européenne, Règlement (UE) 2024/1689 — EU Artificial Intelligence Act, art. 113, Journal officiel de l'Union européenne, 2024

2 août 2027 : dernier délai transitoire pour les catégories spéciales

Pour certains systèmes d'IA à haut risque intégrés dans des cadres européens préexistants de sécurité et de conformité des produits, un délai transitoire prolongé jusqu'au 2 août 2027 s'applique. Cette dérogation, prévue à l'art. 113, par. 2, de l'EU AI Act, concerne les systèmes soumis à une procédure de marquage CE au titre d'autres directives d'harmonisation de l'UE.

Sont concrètement concernés les systèmes d'IA à haut risque relevant des catégories de produits réglementés suivantes :

  • Dispositifs médicaux au titre du règlement (UE) 2017/745 (MDR) : logiciels de diagnostic assistés par IA, IA d'imagerie en radiologie, systèmes de recommandation thérapeutique fondés sur l'IA.
  • Dispositifs de diagnostic in vitro au titre du règlement (UE) 2017/746 (IVDR) : IA dans le diagnostic de laboratoire et l'interprétation des tests génétiques.
  • Jouets au titre de la directive 2009/48/CE : fonctions d'IA dans les jouets éducatifs interactifs.
  • Machines et ascenseurs : IA dans les commandes de machines critiques pour la sécurité, dès lors qu'elles relèvent de la directive Machines.
  • Aéronautique et navigation maritime : systèmes d'IA déjà soumis à d'autres régimes de sécurité de l'UE.

Pour les PME des secteurs de la fabrication, des technologies médicales et du jouet, cela signifie : l'échéance pertinente n'est pas août 2026, mais août 2027. Les préparatifs fondamentaux (inventaire IA, classification des risques, analyse des écarts) devraient néanmoins être achevés d'ici fin 2025, afin de disposer d'un délai suffisant pour l'évaluation de la conformité. Le guide Bitkom EU AI Act 2024 recommande aux entreprises de ces secteurs de s'appuyer sur leurs procédures CE existantes et de les compléter par les exigences propres à l'AI Act.

Checklist d'actions : quoi faire et pour quand ?

La checklist suivante résume les principales étapes à entreprendre par échéance. Elle ne remplace pas un conseil juridique, mais offre un aperçu pratique des mesures essentielles pour les PME.

Dès maintenant (à rattraper pour le 2 février 2025)

  • Inventorier les outils d'IA de l'entreprise — de façon exhaustive, y compris les fonctions d'IA intégrées aux logiciels standard (CRM, ERP, outils RH, suites bureautiques).
  • Vérifier si des fonctions de reconnaissance des émotions ou de notation sont actives — elles doivent être désactivées ou juridiquement examinées.
  • Établir une AI Policy (charte interne d'utilisation de l'IA) — encadrant les usages de l'IA autorisés et interdits par les salariés.
  • Doter les chatbots et assistants IA d'une mention de transparence (« Vous échangez avec un assistant IA »).

D'ici au 2 août 2025 (échéance GPAI)

  • Demander et archiver la documentation de conformité des fournisseurs GPAI utilisés (OpenAI, Google, Microsoft, Anthropic).
  • S'assurer que seuls des modèles conformes à l'EU AI Act sont utilisés — le cas échéant, envisager un changement de fournisseur.
  • Identifier le point de contact de l'autorité nationale (actuellement : Bundesnetzagentur) et définir en interne un processus d'escalade.

D'ici au 2 août 2026 (échéance principale haut risque)

  • Finaliser la classification des risques de tous les systèmes d'IA utilisés au regard de l'annexe III de l'EU AI Act.
  • Pour les systèmes à haut risque : mettre en place une documentation technique, un système de gestion des risques et des mécanismes de journalisation.
  • Réaliser l'évaluation de la conformité des systèmes à haut risque développés en propre ou significativement modifiés.
  • Ancrer institutionnellement les processus de contrôle humain — désigner les responsables, définir les règles d'escalade.
  • Former les salariés qui utilisent ou supervisent des systèmes d'IA.
  • Préparer un processus de notification des incidents auprès de l'autorité nationale.

D'ici au 2 août 2027 (catégories spéciales uniquement)

  • Pour les dispositifs médicaux, les jouets et les autres domaines réglementés par le marquage CE : achever l'évaluation de la conformité complétée par l'AI Act.
  • Compléter la documentation CE existante par les justificatifs propres à l'AI Act.
  • Mettre en place un monitoring continu et une revue annuelle de l'inventaire IA.

Questions fréquentes sur les échéances de l'EU AI Act

À compter de l'échéance concernée, vous agissez formellement de manière illégale et vous vous exposez à des amendes infligées par l'autorité nationale de surveillance du marché. En pratique, on peut s'attendre à ce que les autorités se concentrent d'abord sur les infractions graves (pratiques interdites, systèmes à haut risque dépourvus de toute documentation). Cela ne protège toutefois pas durablement : même l'absence de mention de transparence sur un simple chatbot est passible d'amende après les échéances correspondantes. Un effort de conformité démontrable — même si certains points sont encore en cours de mise en œuvre — constitue la meilleure protection lors d'un contrôle des autorités.
Oui. L'EU AI Act s'applique, selon le principe du lieu du marché, à toutes les entreprises dont les systèmes d'IA sont utilisés dans l'UE — indépendamment de leur lieu d'établissement. Une entreprise SaaS américaine qui vend un système d'IA à haut risque à des PME allemandes doit remplir les obligations de fournisseur de l'EU AI Act. En tant que PME déployeur en Allemagne, vous pouvez vous attendre à ce qu'un fournisseur conforme présente une déclaration de conformité UE — exigez-la activement.
GPAI signifie General Purpose AI — les modèles d'IA à usage général tels que GPT-4/5, Claude, Gemini ou LLaMA. Ces modèles ne sont pas conçus pour une finalité spécifique, mais peuvent être utilisés pour une multitude de tâches. À compter du 2 août 2025, les fournisseurs de ces modèles doivent remplir de vastes obligations de transparence et de sécurité. Pour les PME en tant qu'utilisatrices, cela signifie : vérifiez si vos fournisseurs d'IA peuvent démontrer leur conformité GPAI. Les modèles GPAI non conformes ne peuvent plus être utilisés dans l'UE.
L'EU AI Act n'impose pas de rôle formel d'« AI Officer », à l'image de ce que le DSGVO prévoit pour le délégué à la protection des données. Les déployeurs de systèmes à haut risque doivent toutefois ancrer institutionnellement le contrôle humain et pouvoir justifier de responsabilités désignées en matière de conformité IA. En pratique, il est recommandé de désigner une personne en interne ou un prestataire externe comme responsable de la conformité IA — afin de réussir les audits et de satisfaire aux exigences relatives au contrôle humain documenté.
L'évaluation de la conformité au titre de l'art. 43 de l'EU AI Act varie selon le type de système. Pour la plupart des systèmes à haut risque, une auto-évaluation par le fournisseur est possible — sur la base de normes harmonisées. Seuls certains systèmes biométriques et critiques pour la sécurité requièrent une évaluation par un tiers. En tant que PME déployeur, vous vérifiez en premier lieu la déclaration de conformité du fournisseur. Si vous développez vous-même un système à haut risque ou le modifiez significativement, vous réalisez l'évaluation de la conformité par vous-même et établissez la déclaration de conformité UE.
Par principe : chaque échéance apporte de nouvelles obligations, qui s'appliquent à toutes les entreprises concernées. Les interdictions de l'art. 5 (février 2025) s'appliquent à tous — indépendamment de la classe de risque des systèmes utilisés. Les obligations GPAI (août 2025) vous concernent en tant qu'utilisateur de modèles à usage général. Les obligations relatives au haut risque (août 2026) ne vous concernent que si vous utilisez effectivement des systèmes à haut risque. Le délai prolongé jusqu'en août 2027 s'applique exclusivement aux catégories de produits réglementés par le marquage CE.
Les systèmes d'IA existants, mis en service avant l'entrée en vigueur de l'EU AI Act le 1er août 2024, sont eux aussi soumis aux exigences — mais avec les mêmes délais transitoires échelonnés. Il n'existe pas de clause de maintien des droits acquis pour les systèmes déjà utilisés. Pour les systèmes à haut risque déjà en exploitation avant le 2 août 2026, les exigences de conformité doivent être satisfaites au plus tard à cette échéance. Seule exception : les systèmes relevant des catégories de produits réglementés par le marquage CE disposent d'un délai jusqu'en août 2027.
L'Allemagne n'a pas encore arrêté de décision définitive sur l'autorité nationale de surveillance du marché pour l'IA (état T2 2026). Le candidat le plus probable est la Bundesnetzagentur (BNetzA), qui dispose déjà de compétences en matière de régulation numérique. La décision relève du ministère fédéral du Numérique et des Transports (BMDV). Jusqu'à la désignation définitive, les entreprises peuvent adresser leurs demandes au BMDV ou à l'AI Office de la Commission européenne. La Bundesnetzagentur a déjà commencé à constituer des capacités pour la surveillance de l'IA.

Réserver un audit de conformité EU AI Act

Nous analysons votre usage de l'IA, classons vos systèmes selon l'EU AI Act et établissons une feuille de route de conformité calée sur chaque échéance pour votre PME — de façon pragmatique, sans jargon juridique.

Réserver un entretien-conseilDémarrer le Wito Digital Audit (WDA) gratuit
  • Feuille de route de conformité calée sur chaque échéance
  • Classification des risques selon l'annexe III de l'EU AI Act
  • Paquets de mesures concrets par échéance

Échéances EU AI Act 2025-2027 : qui est concerné et quand — guide PME

Ressource

KI-Tools Vergleich

→ Jetzt lesen
Ressource

Fördermittel-Kompass

→ Jetzt lesen
Ressource

ROI-Calculator

→ Jetzt lesen
Assessment

KI-Reifegrad-Check

→ Jetzt lesen