L’AI Act instaure un cadre juridique destiné à réguler l’usage des systèmes d’IA au sein de l’Union européenne. Depuis son adoption, le texte fait l’objet d’évolutions, notamment par le biais de lignes directrices, de normes harmonisées et d’ajustements du calendrier, afin de faciliter sa mise en œuvre opérationnelle par les entreprises.
Entre exigences déjà applicables et clarifications en cours, les acteurs de l’IA doivent composer avec un cadre réglementaire dynamique, parfois complexe, mais structurant pour l’avenir de l’innovation responsable.
1. Éléments officiels et déjà en vigueur
Le périmètre du règlement et les définitions clés
La Commission européenne a publié plusieurs lignes directrices officielles visant à sécuriser l’interprétation juridique de l’AI Act. Ces documents apportent des clarifications essentielles sur :
- La définition d’un système d’IA, fondée sur la capacité du système à inférer, générer des sorties ou prendre des décisions influençant des environnements physiques ou numériques ;
- Les pratiques d’IA interdites, telles que définies par le règlement (UE) 2024/1689, notamment celles portant atteinte aux droits fondamentaux (manipulation cognitive, scoring social, exploitation de vulnérabilités).
Ces textes constituent aujourd’hui des références juridiques stables pour l’interprétation du règlement par les entreprises et les autorités nationales de contrôle.
La gouvernance nationale et rôle des autorités compétentes
L’AI Act impose à chaque État membre de désigner au moins une autorité notifiante et au moins une autorité de surveillance du marché chargées de contrôler son application et sa mise en œuvre. En revanche, le règlement laisse aux États membres une large liberté dans l’organisation de ces autorités : les missions peuvent être confiées à une autorité unique ou réparties entre plusieurs autorités, avec ou sans point de contact unique.
Leurs rôles sont les suivants :
- Autorités de surveillance du marché :
Elles assurent le contrôle des systèmes d’IA mis sur le marché ou utilisés sur le territoire national, en particulier ceux classés à haut risque.
- Autorités notifiantes :
Elles configurent l’écosystème de certification nationale en désignant les organismes notifiés.
L’outil européen de lanceur d’alerte
Afin de renforcer la surveillance post-mise sur le marché, la Commission européenne a mis en place une plateforme sécurisée de signalement accessible à toute personne concernée (salarié, utilisateur, prestataire, tiers).
Les signalements peuvent porter sur :
- Des violations des obligations prévues par l’AI Act (y compris de risques, etc) ;
- Des incidents graves présentant un risque pour la santé, la sécurité, les droits fondamentaux ou l’environnement.
La plateforme garantit un traitement anonyme et sécurisé, et s’inscrit dans une logique de prévention et de correction rapide des risques.
La position de la Commission sur les agents IA
Les agents IA, capables d’agir de manière autonome sans nécessaire supervision humaine continue, entrent pleinement dans le champ d’application de l’AI Act. (à retravailler la definition en fociton de vos echanges avec les garçons)
La Commission confirme que :
- Un agent IA peut être qualifié de système d’IA à haut risque s’il remplit les critères de l’article 6 ;
- Les obligations applicables dépendent du contexte d’usage, notamment dans des secteurs sensibles tels que la sécurité publique, les services financiers ou la gestion des ressources humaines.
L’autonomie du système ne constitue donc pas une exemption, mais au contraire un facteur aggravant potentiel en matière de risques.
Les lignes directrices relatives aux modèles d’IA à usage général (GPAI)
Les fournisseurs de modèles d’IA à usage général (GPAI) doivent également se conformer à des exigences renforcées depuis août 2025. Les lignes directrices relatives aux modèles GPAI clarifient :
- Les critères de qualification des modèles GPAI et modèles GPAI présentant des risques systémiques.
- Les obligations des fournisseurs : gestion des risques, documentation technique complète, surveillance des risques.
- Les exemptions et obligations pour les fournisseurs de modèles open-source
Les exemptions pour les modèles open source
Les modèles d’IA open source bénéficient d’exemptions ciblées, notamment concernant la documentation technique, la mise à disposition d’informations pour les intégrateurs des modèles en question et la désignation d’un mandataire pour les fournisseurs établis hors UE.
Ces exemptions s’appliquent sous réserve que le modèle soit diffusé sous licence libre et open source, sans monétisation directe, et que ses paramètres soient rendus publics.
Certaines obligations demeurent toutefois, en particulier en matière de droit d’auteur et de transparence sur les données d’entraînement.
Le code de bonne pratique pour les modèles d’IA à usage général (GPAI)
Validé par la Commission européenne en juillet 2025, le Code de pratique GPAI constitue un outil volontaire d’alignement destiné à aider les fournisseurs à se conformer à la législation de l’AI Act.
Il se divise en trois chapitres :
- Transparence : structuration des informations à fournir ;
- Droit d’auteur : conformité avec la législation européenne en matière de droit d’auteur ;
- Sûreté et sécurité : exigences renforcées pour les modèles à fort impact ou à risque systémique.
Bien que non contraignant juridiquement, ce Code constitue un référentiel stratégique pour démontrer une démarche de conformité proactive.
2. Éléments en cours de clarification ou de consultation
La proposition de Code pratique sur le marquage et l’étiquetage des contenus générés par IA publié par la Commission
Le 17 décembre 2025, la Commission européenne a publié un premier projet de Code de pratique sur le marquage et l’étiquetage des contenus générés ou manipulés par l’IA, dans le cadre de la mise en œuvre de l’article 50 de l’AI Act.
Ce Code volontaire vise à accompagner les fournisseurs d’IA générative et les déployeurs professionnels dans l’anticipation des futures obligations de transparence, notamment en matière de marquage lisible par machine et d’étiquetage des deepfakes.
Une consultation est ouverte jusqu’au 23 janvier 2026, en vue d’une adoption finale du Code d’ici juin 2026, avant l’entrée en application des obligations légales en août 2026.
Les lignes directrices actuellement en cours
Plusieurs lignes directrices sont encore en phase d’élaboration, notamment :
- Les lignes directrices sur la transparence des systèmes d’IA soumis à des obligations spécifiques sont attendues pour milieu 2026 ;
- Des consultations progressives et thématiques concernant les systèmes d’IA à haut risque, susceptibles de s’étendre jusqu’en août 2026.
Les lignes directrices annoncées mais pas encore publiées
La Commission européenne a également annoncé des lignes directrices à venir, parmi lesquelles :
- La mise en œuvre pratique de la classification des systèmes à haut risque ;
- Les modalités précises de signalement des incidents par les fournisseurs de systèmes d’IA.
- La mise en œuvre pratique des obligations concernant les fournisseurs et déployer de systèmes à haut-risque (not. Sur la notion de modification substantielle, etc)
- Lignes directrices relatives aux exigences de transparence
Ces textes sont attendus mais leur contenu définitif n’est pas encore connu.
Les normes harmonisées et enjeux techniques
Les normes harmonisées visent à traduire juridiquement les exigences du règlement en spécifications techniques.
Certaines sont en cours de consultation, comme celles sur :
- La cybersécurité : la Commission a indiqué, le 7 novembre 2025, que le projet de norme présenté en l’état ne fournissait pas encore des spécifications techniques suffisamment claires et opérationnelles pour répondre aux exigences de l’article 15(5) de l’AI Act. Une révision du brouillon de la norme est en cours de préparation.
- La gestion de la qualité des systèmes (QMS) est en phase d’enquête publique depuis octobre 2025.
3. Points encore incertains : le calendrier et les reports envisagés
Le calendrier de l’AI Act et les potentiels changements
Le calendrier initial prévoit une application des obligations de conformité pour les systèmes à haut risque à partir de 2026. Toutefois, la Commission européenne a récemment proposé un report ciblé, prévoyant :
- 2026 : Entrée en vigueur des obligations pour les systèmes listés à l’annexe III ;
- 2027 : Entrée en vigueur des obligations pour les systèmes relevant de l’annexe I.
[!] Cette proposition est actuellement en attente d’approbation par le Parlement européen et le Conseil de l’UE.
En route vers la conformité : les prochaines étapes clés
Malgré ces évolutions et ajustements, une chose est claire : la conformité à l’AI Act ne se traitera pas comme un exercice ponctuel, mais comme un processus continu.
Les acteurs de l’IA doivent non seulement surveiller les évolutions du règlement mais aussi prendre les mesures nécessaires pour anticiper l’application de l’AI Act, tout en optimisant la sécurité, la gestion des risques et la transparence de leurs systèmes.
Les mécanismes de signalement, les normes harmonisées et les codes de bonnes pratiques joueront un rôle central dans cette dynamique.
Anticiper aujourd’hui pour sécuriser demain
Chez Naaia, nous vous accompagnons dès maintenant pour garantir votre conformité. Grâce à notre expertise technique et réglementaire, nous vous accompagnons dans l’implémentation des exigences du règlement, de la gestion des risques à la mise en conformité des systèmes d’IA.