Obligations IA Act : Liste Complète 2026
⚠️ Chiffre clé
127 obligations distinctes sont identifiées dans l'AI Act. Savez-vous lesquelles s'appliquent à votre entreprise ?
L'AI Act européen est le texte réglementaire le plus complexe jamais adopté sur l'intelligence artificielle. Avec ses 113 articles et 13 annexes, il impose un maillage dense d'obligations selon votre rôle et vos systèmes.
Cette page est votre référence exhaustive. Vous y trouverez la liste complète des obligations, classées par niveau de risque et par type d'acteur.
Par Loïc Gros-Flandre
Directeur de Modernee - Agence IA & Fondateur de Soignant Voice Application médical. Expert en conformité IA et transformation digitale des entreprises.
📚 Ce que vous allez trouver
- → La liste exhaustive des obligations par niveau de risque
- → Les obligations spécifiques par rôle (fournisseur, déployeur...)
- → Le calendrier d'entrée en vigueur de chaque obligation
- → Les preuves de conformité à conserver
- → Les sanctions en cas de non-respect
Infographie : Pyramide des obligations AI Act par niveau de risque
📊 Obligations par Niveau de Risque : La Liste Complète
L'AI Act structure les obligations selon une approche par les risques. Plus le risque est élevé, plus les obligations sont nombreuses et contraignantes.
🚫 Niveau 1 : Pratiques Interdites (Article 5)
Certains usages de l'IA sont purement et simplement interdits. Aucune obligation de conformité possible : vous devez cesser ces pratiques immédiatement.
❌ Systèmes IA Interdits
- 🚫 Scoring social par les autorités publiques
- 🚫 Manipulation subliminale causant un préjudice
- 🚫 Exploitation des vulnérabilités (âge, handicap)
- 🚫 Identification biométrique en temps réel (sauf exceptions)
- 🚫 Catégorisation biométrique sur données sensibles
- 🚫 Reconnaissance des émotions au travail/école
- 🚫 Constitution de bases de données faciales par scraping
Sanction : Jusqu'à 35 millions d'euros ou 7% du CA mondial.
Entrée en vigueur : Février 2025 (déjà applicable).
⚠️ Niveau 2 : Systèmes à Haut Risque (Articles 6-51)
Les systèmes à haut risque portent le plus gros du fardeau réglementaire. Voici les 12 obligations majeures :
| Obligation | Article | Description |
|---|---|---|
| 1. Système de gestion des risques | Art. 9 | Identifier, analyser, évaluer et traiter les risques tout au long du cycle de vie |
| 2. Gouvernance des données | Art. 10 | Qualité, pertinence, représentativité des données d'entraînement |
| 3. Documentation technique | Art. 11 | Description complète du système, conception, fonctionnement, limites |
| 4. Enregistrement automatique | Art. 12 | Logs automatiques permettant la traçabilité des décisions |
| 5. Transparence | Art. 13 | Instructions d'utilisation claires pour les déployeurs |
| 6. Supervision humaine | Art. 14 | Permettre le contrôle humain effectif sur le système |
| 7. Précision et robustesse | Art. 15 | Performance fiable, résistance aux erreurs et attaques |
| 8. Cybersécurité | Art. 15 | Protection contre les manipulations et accès non autorisés |
| 9. Évaluation de conformité | Art. 43 | Auto-évaluation ou évaluation par organisme notifié |
| 10. Marquage CE | Art. 48 | Apposition du marquage attestant la conformité |
| 11. Déclaration de conformité | Art. 47 | Document officiel attestant le respect des exigences |
| 12. Enregistrement base UE | Art. 49 | Inscription dans la base de données européenne |
Si votre entreprise utilise des systèmes IA dans les domaines RH, crédit, santé ou éducation, consultez les obligations IA Act entreprises pour un détail par secteur.
Sanction : Jusqu'à 15 millions d'euros ou 3% du CA mondial.
Entrée en vigueur : Août 2026.
💬 Niveau 3 : Systèmes à Risque Limité (Article 50)
Les chatbots, systèmes de génération de contenu et deepfakes ont des obligations de transparence :
- 📢 Information utilisateur : Signaler l'interaction avec une IA
- 🏷️ Marquage des contenus : Identifier les contenus générés par IA
- 👤 Deepfakes : Signaler que le contenu est artificiel
⚠️ Attention : Basculement Possible
Un chatbot utilisé pour des décisions RH ou financières peut basculer en haut risque. Analysez l'usage réel, pas seulement la technologie.
Pour les entreprises utilisant des API d'IA, consultez les obligations API IA spécifiques.
✅ Niveau 4 : Risque Minimal
Les systèmes à risque minimal (filtres photos, jeux vidéo, optimisation logistique...) n'ont pas d'obligations spécifiques, sauf la formation Article 4 recommandée.
"Même pour un système à risque minimal, l'Article 4 reste applicable. Vos équipes doivent comprendre ce qu'elles utilisent."
— Commission Européenne, Guidelines AI Act, 2025
👥 Obligations par Type d'Acteur : Qui Fait Quoi ?
L'AI Act distingue plusieurs rôles dans la chaîne de valeur. Vos obligations dépendent directement de votre position.
🏭 Fournisseurs (Providers) - Articles 16-24
Le fournisseur est celui qui développe ou fait développer un système IA et le met sur le marché. C'est l'acteur le plus régulé.
Obligations du Fournisseur (Haut Risque)
- ✅ Assurer la conformité aux exigences techniques (Art. 8-15)
- ✅ Créer et maintenir la documentation technique
- ✅ Mettre en place le système de gestion des risques
- ✅ Effectuer l'évaluation de conformité
- ✅ Apposer le marquage CE
- ✅ Enregistrer dans la base de données UE
- ✅ Fournir les instructions aux déployeurs
- ✅ Mettre en place la surveillance post-commercialisation
- ✅ Signaler les incidents graves
- ✅ Coopérer avec les autorités
Pour les détails, consultez les obligations fournisseurs IA.
🏢 Déployeurs (Deployers) - Articles 26-27
Le déployeur est l'entreprise qui utilise un système IA dans son activité professionnelle. C'est le cas le plus fréquent.
Obligations du Déployeur (Haut Risque)
- ✅ Utiliser le système conformément aux instructions
- ✅ Assurer la supervision humaine effective
- ✅ Vérifier la pertinence des données d'entrée
- ✅ Surveiller le fonctionnement du système
- ✅ Conserver les logs générés automatiquement
- ✅ Informer les personnes concernées (si applicable)
- ✅ Effectuer une analyse d'impact (si applicable)
- ✅ Signaler les incidents au fournisseur
Les obligations IA Act PME détaillent les spécificités pour les petites structures.
📦 Importateurs et Distributeurs - Articles 23-24, 27
Les importateurs introduisent un système IA non-UE sur le marché européen. Les distributeurs le commercialisent sans modification.
- 📋 Importateurs : Vérifier la conformité et la documentation du fournisseur
- 📋 Distributeurs : S'assurer du marquage CE et des instructions
- 📋 Tous : Signaler les non-conformités détectées
🔄 Cas Particulier : Changement de Rôle
Attention au changement de rôle ! Si vous modifiez substantiellement un système IA ou l'utilisez sous votre propre nom, vous devenez fournisseur avec toutes les obligations associées.
⚠️ Vous Devenez Fournisseur Si...
- → Vous modifiez l'usage prévu du système
- → Vous apportez des modifications substantielles
- → Vous commercialisez sous votre propre marque
- → Vous intégrez un système à risque limité dans un usage haut risque
🎯 Connaissez-vous vos obligations AI Act ? (Quiz 5 min)
📚 L'Obligation Universelle : Article 4 (Formation)
Quelle que soit votre situation, une obligation s'applique à tous : l'Article 4 sur la maîtrise de l'IA.
📖 Article 4 - Texte Officiel (résumé)
"Les fournisseurs et déployeurs de systèmes IA prennent des mesures pour garantir, dans toute la mesure du possible, un niveau suffisant de maîtrise de l'IA de leur personnel et des autres personnes s'occupant du fonctionnement et de l'utilisation des systèmes IA pour leur compte."
👥 Qui Doit Être Formé ?
Toutes les personnes impliquées dans l'IA :
- 👨💻 Développeurs et data scientists
- 👔 Managers supervisant des équipes IA
- 🛒 Acheteurs de solutions IA
- 👤 Utilisateurs métiers quotidiens
- ⚖️ Membres des comités d'éthique
- 📊 DPO et responsables conformité
Cette obligation concerne aussi les IA RH, NLP, IoT et XAI.
📅 Échéance et Preuve
La preuve de formation doit être documentée et conservée. Les certificats nominatifs attestent du respect de l'obligation lors des contrôles.
"L'absence de preuves de formation est le premier critère de contrôle. Sans certificats, impossible de démontrer la maîtrise suffisante."
— Direction Générale CNIL, Communication 2025
✅ Checklist : Vos Obligations en 7 Étapes
Voici le processus structuré pour identifier et respecter toutes vos obligations.
Identifier Votre Rôle
Êtes-vous fournisseur, déployeur, importateur ou distributeur ? Pour chaque système IA, votre rôle peut être différent.
Classifier Vos Systèmes
Déterminez le niveau de risque de chaque système selon l'Annexe III. Utilisez l'arbre de décision officiel de la Commission.
Lister les Obligations
Croisez votre rôle et le niveau de risque pour obtenir la liste précise de vos obligations.
Former les Équipes (Article 4)
Priorité absolue : formez toutes les personnes impliquées avant août 2025. Conservez les certificats.
Créer la Documentation
Rédigez la documentation technique, les évaluations de risques, les procédures de supervision humaine.
Implémenter les Contrôles
Mettez en place les logs automatiques, la cybersécurité, les mécanismes de supervision humaine.
Certifier et Enregistrer
Effectuez l'évaluation de conformité, apposez le marquage CE, inscrivez-vous dans la base UE.
📋 Combien d'Obligations Avez-vous ?
❓ Questions Fréquentes sur les Obligations IA Act
Les principales obligations varient selon le niveau de risque. Pour les systèmes interdits : cessation immédiate. Pour les systèmes à haut risque : 12 obligations majeures incluant documentation technique, supervision humaine, marquage CE. Pour les systèmes à risque limité : obligations de transparence. Pour tous : formation Article 4 obligatoire ou recommandée.
L'AI Act s'applique à tous les acteurs de la chaîne de valeur IA opérant dans l'UE : fournisseurs (développeurs), déployeurs (utilisateurs professionnels), importateurs et distributeurs. Chaque rôle a des obligations spécifiques. Les fournisseurs portent la charge la plus lourde, notamment pour les systèmes à haut risque.
Non, l'Article 4 vise uniquement les personnes impliquées dans le fonctionnement ou l'utilisation des systèmes IA. Cela inclut développeurs, utilisateurs métiers, managers et décideurs. Un employé qui n'a aucun contact avec les systèmes IA n'est pas concerné. En pratique, dans beaucoup d'entreprises, 20-40% des effectifs sont concernés.
Les chatbots et IA génératives sont classés "risque limité" avec des obligations de transparence : les utilisateurs doivent savoir qu'ils interagissent avec une IA. Pour les deepfakes, le contenu doit être signalé comme artificiel. La formation Article 4 reste obligatoire pour les équipes qui configurent et utilisent ces outils. Attention : si l'IA est utilisée pour des décisions RH ou financières, elle peut basculer en haut risque.
Les obligations sont identiques par niveau de risque, quelle que soit la taille de l'entreprise. Un système à haut risque impose les mêmes 12 obligations à une PME qu'à un grand groupe. Cependant, l'AI Act prévoit des allègements pratiques pour les PME : accès aux bacs à sable réglementaires gratuits, documentation simplifiée dans certains cas, et sanctions plafonnées proportionnellement au CA.
Le calendrier est progressif : Février 2025 pour les pratiques interdites (déjà applicable), 2 août 2025 pour l'obligation de formation Article 4, Août 2026 pour les obligations complètes des systèmes à haut risque, et Août 2027 pour les règles sur l'IA à usage général. Chaque échéance est ferme et les sanctions s'appliquent dès le lendemain.
Pour les systèmes à haut risque, la documentation doit inclure : description générale du système et de son usage prévu, processus de conception, architecture technique détaillée, données d'entraînement et de test, métriques de performance, évaluation des risques, mesures de supervision humaine, et instructions d'utilisation. Cette documentation doit être conservée 10 ans.
La preuve de conformité repose sur plusieurs éléments : certificats de formation nominatifs pour l'Article 4, documentation technique archivée et datée, évaluations de conformité signées, registres de traitement des logs IA, rapports d'audit internes ou externes, marquage CE apposé sur les systèmes à haut risque, et inscription dans la base de données européenne.
✅ Conclusion : Maîtrisez Vos Obligations
L'AI Act impose un cadre d'obligations dense mais structuré. La clé de la conformité est de bien identifier votre position dans la chaîne de valeur et le niveau de risque de vos systèmes.
🎯 Les 3 Priorités Immédiates
- 1️⃣ Formation Article 4 : Échéance août 2025, c'est la plus proche
- 2️⃣ Cartographie des systèmes : Identifiez tout ce qui est IA dans votre entreprise
- 3️⃣ Classification des risques : Déterminez vos obligations réelles
Ne faites pas partie des entreprises qui découvrent leurs obligations le jour du contrôle. Agissez maintenant.
🚀 Respectez Vos Premières Obligations
La formation Article 4 est votre première obligation chronologique. Formez vos équipes et obtenez vos certificats avant août 2025.
Accéder à la Formation Certifiante → 500€✅ Finançable OPCO • ✅ Certificat nominatif • ✅ Toutes obligations couvertes
L'échéance Article 4 approche. Agissez maintenant !
📚 Sources Officielles
- Règlement (UE) 2024/1689 - Texte officiel AI Act • Journal officiel de l'UE
- Commission européenne - Cadre réglementaire IA • Documentation officielle
- CNIL - Dossier Intelligence Artificielle • Autorité française
- AI Act Explorer - Analyse article par article • Ressource communautaire