Conformité AI Act : guide opérationnel pour entreprises françaises

Mis à jour avril 2026 · AI Compliance · Auteur Matteo Mirabelli

L'AI Act (Règlement UE 2024/1689) est entré progressivement en application depuis 2024. Les obligations sur les pratiques interdites s'appliquent depuis février 2025 ; les obligations sur les modèles d'IA à usage général depuis août 2025 ; le gros des obligations sur les systèmes à haut risque s'applique en août 2026 ; certaines dispositions s'étalent jusqu'en 2027. Pour les entreprises françaises, le cadre articule trois régimes : AI Act lui-même, ISO/IEC 42001 (norme de management de l'IA reconnue par AFNOR), et la doctrine CNIL sur le RGPD appliquée à l'IA. Ce guide propose le cadre opérationnel pour s'y conformer sans s'épuiser. Disclaimer : informatif, pas conseil juridique. Consultez votre DPO et votre conseil juridique.

L'architecture du règlement

L'AI Act classifie les systèmes IA en quatre niveaux de risque : pratiques interdites (Article 5), risque élevé (Annexe III + secteurs réglementés), risque limité (obligations de transparence), risque minimal (libre). Voir classification des risques AI Act.

Il distingue par ailleurs les systèmes IA des modèles d'IA à usage général (GPAI) — Mistral, Llama, GPT, Claude — soumis à des obligations spécifiques pour les fournisseurs de ces modèles, plus lourdes pour les modèles à risque systémique.

Calendrier d'application

Février 2025 — Pratiques interdites (Article 5) : notation sociale, manipulation subliminale, exploitation de vulnérabilités, identification biométrique en temps réel dans les espaces publics avec exceptions strictes.

Août 2025 — Obligations GPAI pour les fournisseurs de modèles à usage général.

Août 2026 — Gros des obligations sur les systèmes à haut risque, gouvernance, sanctions.

Août 2027 — Obligations restantes (notamment systèmes à haut risque réglementés sectoriellement).

Obligations selon classification

Pratiques interdites : ne pas déployer, point.

Risque élevé (Annexe III) : système de management qualité, gouvernance données, documentation technique, journaux automatiques, transparence et information utilisateurs, supervision humaine, exactitude / robustesse / cybersécurité, déclaration au registre EU, évaluation conformité (auto-évaluation ou tierce partie selon cas).

Risque limité : transparence (article 50) — informer quand l'utilisateur interagit avec une IA, marquer les contenus générés par IA quand pertinent.

Risque minimal : bonne foi, pas d'obligation spécifique.

Articulation avec ISO 42001

ISO/IEC 42001:2023 est la norme internationale de système de management de l'IA. Elle ne se substitue pas à l'AI Act mais en facilite considérablement la mise en œuvre opérationnelle. Une entreprise certifiée ISO 42001 dispose : d'une politique IA, d'un registre des systèmes, d'une évaluation des risques par cas d'usage, de mécanismes de contrôle humain, de procédures d'audit. Ce qui couvre l'essentiel des obligations AI Act risque élevé. Voir ISO 42001 France mise en œuvre.

Articulation avec la CNIL

La CNIL applique le RGPD aux systèmes IA traitant des données personnelles, avec doctrine spécifique sur certains sujets (décision automatisée, profilage, biométrie). L'AI Act ne se substitue pas au RGPD ; les deux régimes s'appliquent simultanément. Voir CNIL et AI Act articulation.

Plan d'action en huit étapes

1. Inventorier les systèmes IA déployés ou en projet.

2. Classifier chacun selon AI Act.

3. Identifier les systèmes risque élevé prioritaires.

4. Construire le système de management (ISO 42001 comme cadre).

5. Documenter chaque système (technique, gouvernance, données, journaux).

6. Mettre en place les mécanismes de contrôle humain et transparence.

7. Audit interne, puis audit externe si pertinent.

8. Surveillance continue et revue annuelle.

Voir checklist conformité IA 2026.

Sanctions

L'AI Act prévoit des sanctions : 35M EUR ou 7 % du CA mondial pour violation des pratiques interdites ; 15M EUR ou 3 % du CA pour autres infractions ; 7.5M EUR ou 1 % du CA pour fourniture d'informations incorrectes. Sanctions cumulatives possibles avec RGPD. Voir registre systèmes IA haut risque.

AI Act + ISO 42001 en pratique

Pour une entreprise française en avril 2026, la combinaison gagnante est : (1) ISO 42001 comme système de management mutualisé, (2) classification AI Act par cas d'usage avec documentation associée, (3) registre central, (4) supervision humaine effective et configurée par classe de risque, (5) articulation explicite avec RGPD et doctrine CNIL.

L'AI Act Service Desk (portail européen artificialintelligenceact.eu en français) fournit ressources et FAQ. AFNOR accompagne les démarches ISO 42001 en France. Naaia, Bureau Veritas, DNV, Socotec, LNE proposent audit et certification.

Knowlee est conçue avec ces obligations comme contraintes de design : registre, journaux, classification par tâche, contrôle humain configurable. Informatif, pas conseil juridique.

FAQ

Quand l'AI Act s'applique-t-il pleinement ? Aoû 2026 pour le gros des obligations risque élevé.

Toutes les entreprises sont-elles concernées ? Toutes celles qui déploient ou fournissent des systèmes IA dans l'UE, oui.

Faut-il être certifié ISO 42001 ? Pas obligatoire ; fortement recommandé.

Mistral simplifie-t-il la conformité ? Pas en soi ; mais souveraineté + gouvernance documentée facilitent l'audit.

Sanction maximale ? 35M EUR ou 7 % du CA mondial pour pratiques interdites.

Articulation avec RGPD ? Cumul ; les deux s'appliquent. Voir CNIL et AI Act.

Conclusion

La conformité AI Act se construit méthodiquement, pas dans la panique. Knowlee — plateforme souveraine européenne conforme by-design AI Act + ISO 42001, compatible Mistral, alignée CNIL — porte le cadre par construction. Démarrez votre conformité avec une plateforme qui l'incarne.