Conformité de l’UE à la date limite d’août 2026 pour les IA à haut risque
Les entreprises américaines qui exploitent des systèmes d’intelligence artificielle (IA) à haut risque doivent se préparer à la date limite du 2 août 2026 imposée par le Règlement européen sur l’IA (EU AI Act). Ce texte législatif, entré en vigueur progressivement depuis février 2025, impose des obligations de conformité strictes aux fournisseurs et déployeurs d’IA, même lorsqu’ils sont situés hors de l’Union européenne.
Champ d’application et critères de haut risque
Le règlement s’applique aux systèmes d’IA à haut risque qui:
- sont destinés à la sécurité des produits (Annexe I).
- entrent dans les catégories d’usage listées à l’Annexe III, notamment l’identification biométrique, les infrastructures critiques, l’éducation, l’emploi, les services essentiels (crédit, assurance), la police, la migration et la justice.
Définitions de fournisseur et déployeur
Un fournisseur développe ou fait développer le système d’IA, tandis qu’un déployeur l’utilise dans un contexte professionnel. Les deux catégories doivent respecter des exigences différentes :
- Les fournisseurs doivent réaliser une évaluation de conformité, produire une déclaration de conformité et tenir une documentation technique détaillée (Article 11).
- Les déployeurs doivent suivre les instructions du fournisseur, mettre en place une surveillance humaine, conserver les journaux d’activité pendant six mois et informer les personnes affectées (Article 26).
Processus d’évaluation de conformité
Selon l’Article 43, les fournisseurs doivent choisir entre deux voies :
- Auto‑certification pour les IA utilisées dans les secteurs critiques (infrastructures, éducation, etc.).
- Évaluation par un organisme notifié pour les systèmes d’identification biométrique.
Après succès, une déclaration de conformité doit être émise et conservée.
Enregistrement dans la base de données de l’UE
Tous les systèmes d’IA à haut risque, y compris ceux fournis par des entités hors UE, doivent être enregistrés dans la base de données européenne avant leur mise sur le marché. Cette base est accessible au public via le AI Act Service Desk.
Représentant autorisé dans l’UE
Les fournisseurs non‑européens doivent désigner un représentant autorisé dans l’UE, mandaté par écrit, qui sera le point de contact réglementaire. Le représentant doit :
- Vérifier la conformité du système et la documentation.
- Conserver les dossiers pendant 10 ans.
- Coopérer avec les autorités et, le cas échéant, retirer le mandat en cas de non‑conformité.
Sanctions et risques financiers
Le non‑respect du règlement entraîne des sanctions sévères :
- Amendes pouvant atteindre 15 millons d’euros ou 3 % du chiffre d’affaires mondial de l’entreprise (Article 99).
- Amendes de 7,5 millions d’euros ou 1 % du chiffre d’affaires mondial pour fausses déclarations.
- Possibilité de retrait du système non conforme du marché de l’UE.
Incertitude sur la date limite
Le Parlement européen a récemment voté un report des échéances clés, repoussant certaines obligations à décembre 2027 et d’autres à août 2028. Cependant, pour que ce report s’applique, un accord politique doit être conclu au Conseil de l’UE avant juin 2026. D’où l’importance pour les entreprises d’anticiper la conformité ou d’attendre une clarification officielle.
Recommandations pour les entreprises américaines
Face à cette incertitude, il est conseillé aux sociétés américaines :
- Évaluer rapidement si leurs IA entrent dans la catégorie haut risque.
- Mettre en place une équipe de conformité pour préparer les évaluations de conformité et la documentation technique.
- Désigner un représentant autorisé dans l’UE dès que possible.
- Surveiller les évolutions législatives afin d’adapter les calendriers internes.
Conclusion
Le EU AI Act impose une portée extraterritoriale forte : toute IA dont la sortie affecte l’UE est potentiellement soumise. Les entreprises américaines doivent donc préparer dès maintenant les processus de conformité, d’enregistrement et de représentation afin de respecter la date limite du 2 août 2026 ou d’anticiper les éventuels reports jusqu’à 2027‑2028.