L'EU AI Act s'applique-t-il aux entreprises hors Union européenne ?

Oui. L'EU AI Act a une portée extraterritoriale : il s'applique à tout système d'IA déployé dans l'UE ou affectant des résidents de l'UE, peu importe où se trouve le fournisseur. Une entreprise au Pakistan, aux États-Unis ou ailleurs qui opère des systèmes IA touchant des utilisateurs européens doit s'y conformer.

Qu'est-ce que la norme ISO 42001 et quel rapport avec l'EU AI Act ?

ISO 42001 est la norme internationale de système de management de l'IA publiée en 2023. Elle apporte le cadre documentaire et les processus exigés par la conformité EU AI Act. Une organisation certifiée ISO 42001 dispose déjà de l'infrastructure de gouvernance — registres de risques, journaux d'incidents, procédures de supervision humaine — que les audits EU AI Act recherchent.

Quelles sanctions en cas de non-conformité à l'EU AI Act ?

Jusqu'à 35 millions d'euros ou 7 pour cent du chiffre d'affaires annuel mondial pour les pratiques d'IA prohibées ou les obligations GPAI. Jusqu'à 15 millions d'euros ou 3 pour cent pour les autres infractions. Jusqu'à 7,5 millions d'euros ou 1,5 pour cent pour information incorrecte fournie aux autorités de surveillance.

AI SystemsAI Engineering

Checklist de gouvernance IA pour les systèmes LLM en production en 2026

L'application complète de l'EU AI Act commence en août 2026. Cette checklist pratique couvre les cinq couches de gouvernance que tout système LLM en production doit avoir, avec correspondances ISO 42001 et EU AI Act.

2026-05-039 min read

À retenir

Les dispositions à haut risque de l'EU AI Act prennent pleinement effet en août 2026. Les sanctions pour non-conformité atteignent 35 millions d'euros ou 7 % du chiffre d'affaires annuel mondial.
ISO 42001 est la norme de système de management de l'IA qui fournit le cadre documentaire pour la conformité à l'EU AI Act. Considérez-la comme l'ISO 27001 de la sécurité de l'information, mais pour l'IA.
La plupart des LLM en entreprise relèvent de la catégorie de risque limité au titre de l'EU AI Act, mais les systèmes utilisés dans le recrutement, le crédit, la santé, l'éducation ou les forces de l'ordre sont classés à haut risque et font face à des exigences nettement plus strictes.
Les cinq couches de gouvernance dont tout système LLM en production a besoin : une politique d'usage acceptable, une architecture de confinement des données, des points de contrôle de revue humaine, la journalisation des incidents et une piste d'audit pour les actions de l'IA.
Vous n'avez pas besoin de tout mettre en place d'un coup. Commencez par la documentation d'usage acceptable et un journal d'incidents. Les deux sont exigés d'ici août 2026 et se mettent en place en jours, pas en mois.

Section 01 · Pourquoi maintenant

Ce qui change en août 2026 et pourquoi cela compte

L'EU AI Act est en phase de mise en œuvre depuis août 2024. Août 2026 est le moment où les exigences restantes — y compris l'ensemble des obligations pour les systèmes d'IA à haut risque — deviennent pleinement opposables.

Réponse rapide

La réponse courte : Août 2026 est l'échéance pour la pleine conformité à l'EU AI Act. Les systèmes d'IA à haut risque font face à des exigences strictes de documentation, de supervision humaine et d'audit. La plupart des LLM en entreprise sont à risque limité, mais tout système utilisé dans le recrutement, le crédit, la santé ou les décisions juridiques est à haut risque.

Le déploiement par étapes de l'EU AI Act a donné aux organisations le temps de se préparer, mais l'échéance d'août 2026 est bien réelle. L'application est assurée par les autorités nationales de surveillance du marché des États membres de l'UE et par le Bureau européen de l'IA pour les modèles d'IA à usage général. Les sanctions sont substantielles : jusqu'à 35 millions d'euros ou 7 % du chiffre d'affaires annuel mondial pour les violations les plus graves, jusqu'à 15 millions d'euros ou 3 % pour les autres violations.

Le règlement a aussi une portée extraterritoriale. Si votre système d'IA est déployé dans l'UE — s'il affecte des résidents de l'UE, peu importe où votre entreprise est basée — il tombe sous le coup du règlement. Cela signifie que les systèmes d'IA construits par des entreprises au Pakistan, aux États-Unis ou ailleurs, qui traitent ou affectent des utilisateurs européens, sont soumis à la conformité.

Section 02 · Classification des risques

De quelle catégorie relève votre système ?

Classification des risques de l'EU AI Act pour les cas d'usage LLM courants
Niveau de risque	Exemples	Obligations clés
Inacceptable (interdit)	Notation sociale, surveillance biométrique en temps réel, manipulation subliminale	Interdit — déploiement impossible dans l'UE
Haut risque	Outils de recrutement, scoring de crédit, diagnostic médical, évaluation pédagogique, forces de l'ordre	Documentation complète, supervision humaine, exigences de précision, piste d'audit, évaluation de conformité
Risque limité (GPAI)	Chatbots à usage général, assistants de code, résumé de documents	Obligations de transparence, déclaration des droits d'auteur, étiquetage des contenus générés par IA
Risque minimal	Filtres anti-spam, systèmes de recommandation simples, IA dans les jeux	Aucune exigence obligatoire

Les modèles d'IA à usage général — y compris GPT-5.4, Claude Sonnet 4.6 et Gemini 2.5 — relèvent des dispositions GPAI (General Purpose AI), qui exigent transparence et déclaration des droits d'auteur, mais sont moins lourdes que les exigences à haut risque. Si vous construisez une application au-dessus d'un modèle GPAI et que cette application est utilisée à des fins à haut risque, les obligations à haut risque s'appliquent à votre application.

Section 03 · La checklist de gouvernance

Cinq couches de gouvernance pour tout système LLM en production

Politique d'usage acceptable

Une politique écrite qui définit ce que le système d'IA est autorisé à faire, quels cas d'usage sont interdits et quelles données il est autorisé à traiter. C'est la fondation. Sans elle, vous ne pouvez démontrer à un régulateur ou un auditeur que vous avez réfléchi à la surface de risque du système. Documentez-la avant août 2026.

Architecture de confinement des données

Les systèmes LLM en production ne devraient pas faire passer de données personnelles ou d'informations sensibles dans le contexte du modèle sauf nécessité. Mettez en place une détection de PII avant la construction du contexte, des contrôles de résidence des données pour les données de résidents de l'UE et une documentation claire de ce que le modèle voit et pourquoi. Les architectures RAG, où les documents sont récupérés sélectivement, sont plus auditables que les systèmes qui transmettent des bases entières.

Points de contrôle de revue humaine pour les décisions à enjeux élevés

Pour toute décision assistée par IA qui affecte la vie d'une personne — recrutement, crédit, santé, éducation — mettez en place une étape de revue humaine avant l'exécution de la décision. La revue humaine n'a pas besoin d'être exhaustive. Elle doit être documentée, journalisée et capable, de manière effective, d'outrepasser la recommandation de l'IA.

Journalisation des incidents

Tout incident où le système d'IA produit une sortie incorrecte, dommageable ou inattendue doit être journalisé avec la date, l'entrée, la sortie, le contexte et la résolution. Ce journal est exigé par ISO 42001 et constitue la principale base de preuves pour les audits de conformité à l'EU AI Act. Commencez à journaliser dès maintenant, avant août.

Piste d'audit pour les actions de l'IA

Pour les systèmes agentiques qui prennent des actions — envoi de messages, mise à jour d'enregistrements, déclenchement de workflows — chaque action doit être journalisée avec la trace de raisonnement de l'agent, l'outil appelé, les paramètres passés et les approbations humaines (si requises). C'est le contrôle qui sépare un agent gouvernable d'un agent ingouvernable.

Section 04 · ISO 42001

ISO 42001 : le système de management qui rend la gouvernance auditable

ISO 42001, publiée fin 2023, est la première norme internationale spécifiquement dédiée aux systèmes de management de l'IA. Elle fournit un cadre structuré pour la manière dont les organisations construisent, déploient et gouvernent les systèmes d'IA de façon responsable. Les principaux auditeurs — BSI, DNV, TÜV — délivrent désormais des certifications selon cette norme.

La relation pratique entre ISO 42001 et l'EU AI Act : ISO 42001 vous donne le cadre documentaire et de processus que les exigences de conformité de l'EU AI Act supposent existant. Une organisation certifiée ISO 42001 est bien positionnée pour les audits de l'EU AI Act car l'infrastructure de gouvernance sous-jacente est déjà en place.

Obligation EU AI Act mise en correspondance avec la clause ISO 42001 et la priorité de mise en œuvre
Obligation EU AI Act	Clause ISO 42001	Priorité
Système de gestion des risques	6.1 — Évaluation des risques	Élevée
Documentation technique	9.1 — Surveillance, mesure, analyse	Élevée
Mécanisme de supervision humaine	8.4 — Contrôles de conception du système d'IA	Élevée
Tests de précision et de robustesse	9.1 — Évaluation des performances	Moyenne
Gouvernance des données	8.2 — Gestion des données du système d'IA	Élevée
Journalisation des incidents	10.1 — Non-conformité et action corrective	Élevée

FAQ

Questions fréquentes

Quand commence l'application complète de l'EU AI Act ?

Le 2 août 2026. C'est à cette date que les exigences restantes prennent effet, y compris l'ensemble des obligations pour les systèmes d'IA à haut risque. Le règlement est en phase de mise en œuvre depuis août 2024 : les systèmes d'IA interdits ont été bannis dès février 2025, les obligations sur les modèles GPAI s'appliquent depuis août 2025, et le régime complet à haut risque s'applique à partir d'août 2026.

L'EU AI Act s'applique-t-il aux entreprises hors de l'UE ?

Oui. L'EU AI Act a une portée extraterritoriale : il s'applique à tout système d'IA déployé dans l'UE ou affectant des résidents de l'UE, peu importe où le fournisseur est basé. Une entreprise au Pakistan, aux États-Unis ou ailleurs qui exploite des systèmes d'IA touchant des utilisateurs européens doit s'y conformer.

Qu'est-ce qu'ISO 42001 et quel est son lien avec l'EU AI Act ?

ISO 42001 est la norme internationale de système de management de l'IA publiée en 2023. Elle fournit le cadre documentaire et de processus que la conformité à l'EU AI Act exige. Une organisation certifiée ISO 42001 dispose de l'infrastructure de gouvernance — registres de risques, journaux d'incidents, procédures de supervision humaine — que les audits EU AI Act recherchent.

Quel est le minimum à mettre en place avant août 2026 ?

Une politique d'usage acceptable, un journal d'incidents et la documentation des responsabilités en matière de décisions de gouvernance de l'IA. Ces trois éléments sont requis pour tous les systèmes au-dessus du risque minimal, se mettent en place en jours et sont les premières choses qu'un régulateur demande. Commencez par là, puis ajoutez les contrôles techniques.

Quelles sont les sanctions en cas de non-conformité à l'EU AI Act ?

Jusqu'à 35 millions d'euros ou 7 % du chiffre d'affaires annuel mondial pour les violations impliquant des pratiques d'IA interdites ou des obligations sur les modèles GPAI. Jusqu'à 15 millions d'euros ou 3 % du chiffre d'affaires pour les autres violations. Jusqu'à 7,5 millions d'euros ou 1,5 % du chiffre d'affaires pour la fourniture d'informations incorrectes aux autorités de surveillance.

Questions fréquentes

Quand commence l'application complète de l'EU AI Act ?: Le 2 août 2026. Les obligations restantes prennent alors effet, dont l'ensemble du régime des systèmes IA à haut risque. Le règlement s'applique par étapes depuis août 2024 : interdiction des systèmes prohibés depuis février 2025, obligations GPAI depuis août 2025, et régime complet à haut risque à partir d'août 2026.
L'EU AI Act s'applique-t-il aux entreprises hors Union européenne ?: Oui. L'EU AI Act a une portée extraterritoriale : il s'applique à tout système d'IA déployé dans l'UE ou affectant des résidents de l'UE, peu importe où se trouve le fournisseur. Une entreprise au Pakistan, aux États-Unis ou ailleurs qui opère des systèmes IA touchant des utilisateurs européens doit s'y conformer.
Qu'est-ce que la norme ISO 42001 et quel rapport avec l'EU AI Act ?: ISO 42001 est la norme internationale de système de management de l'IA publiée en 2023. Elle apporte le cadre documentaire et les processus exigés par la conformité EU AI Act. Une organisation certifiée ISO 42001 dispose déjà de l'infrastructure de gouvernance — registres de risques, journaux d'incidents, procédures de supervision humaine — que les audits EU AI Act recherchent.
Quel est le minimum à mettre en place avant août 2026 ?: Une politique d'usage acceptable, un registre d'incidents et la documentation des responsabilités en matière de gouvernance IA. Ces trois éléments sont obligatoires pour tous les systèmes au-delà du risque minimal, prennent quelques jours à instaurer et constituent la première chose qu'un régulateur demandera.
Quelles sanctions en cas de non-conformité à l'EU AI Act ?: Jusqu'à 35 millions d'euros ou 7 pour cent du chiffre d'affaires annuel mondial pour les pratiques d'IA prohibées ou les obligations GPAI. Jusqu'à 15 millions d'euros ou 3 pour cent pour les autres infractions. Jusqu'à 7,5 millions d'euros ou 1,5 pour cent pour information incorrecte fournie aux autorités de surveillance.