AI Act : ce que chaque DSI doit préparer avant fin 2027

Mis à jour : juin 2026 · Temps de lecture : 6 min

Le calendrier a bougé, pas le problème. Le 7 mai 2026, le Conseil et le Parlement européen ont conclu un accord provisoire (Digital Omnibus) qui reporte au 2 décembre 2027 les obligations relatives aux systèmes d'IA à haut risque de l'AI Act européen (Règlement UE 2024/1689). Pour les DSI et CTO d'ETI, ce n'est pas un sursis pour ne rien faire : une mise en conformité prend 12 à 18 mois, et les sanctions peuvent atteindre 35 millions d'euros ou 7 % du chiffre d'affaires mondial.

Voici ce que vous devez savoir, et surtout ce que vous devez faire.

Un calendrier déjà bien entamé

L'AI Act ne tombe pas du ciel fin 2027. Son déploiement est progressif depuis août 2024 :

Février 2025 : les interdictions sont en vigueur (scoring social, manipulation subliminale, reconnaissance biométrique en temps réel dans les espaces publics, sauf exceptions), ainsi que les obligations de littératie IA. Si vos agents IA touchent à ces cas d'usage, vous êtes déjà en infraction.

Août 2025 : les obligations pour les fournisseurs de modèles d'IA à usage général (GPAI) s'appliquent, avec la gouvernance institutionnelle associée.

2 août 2026 : règles de transparence (article 50) : informer les utilisateurs qu'ils interagissent avec une IA, étiqueter les deepfakes.

2 décembre 2026 : marquage technique des contenus générés par IA (article 50(2)), reporté de quatre mois par le Digital Omnibus. C'est l'échéance opérationnelle la plus proche pour quiconque exploite de l'IA générative.

2 décembre 2027 : obligations pour les systèmes d'IA à haut risque de l'annexe III (gestion des risques, gouvernance des données, documentation technique, journalisation automatique, supervision humaine, robustesse et cybersécurité), reportées depuis le 2 août 2026 (Source : timeline officielle de la Commission européenne).

2 août 2028 : systèmes à haut risque intégrés à des produits réglementés (annexe I) : dispositifs médicaux, machines, véhicules.

Statut du texte : l'accord du 7 mai 2026 est provisoire, l'adoption formelle étant attendue avant le 2 août 2026. Tant qu'il n'est pas publié au Journal officiel, l'ancien calendrier reste juridiquement applicable. Et les nouvelles dates s'appliqueront même si les normes harmonisées ne sont pas prêtes : compter sur un nouveau report serait une stratégie risquée (Source : Conseil de l'UE, 7 mai 2026).

Ce que l'AI Act exige concrètement

Pour les ETI qui déploient des agents IA dans des contextes réglementés (finance, santé, RH, industrie), voici les obligations clés de l'Article 16 et suivants :

Inventaire exhaustif de vos systèmes IA. Vous ne pouvez pas classer ce que vous ne connaissez pas. Or, selon les analyses sectorielles, plus de la moitié des organisations n'ont pas d'inventaire systématique de leurs IA en production. C'est la première étape non négociable.

Classification par niveau de risque. Chaque système doit être évalué : risque inacceptable (interdit), haut risque (annexe III, obligations complètes), risque limité (transparence), ou risque minimal (libre). Les agents IA décisionnels en finance, RH ou santé tombent quasi systématiquement dans la catégorie "haut risque". À noter : si vous classez vous-même un système de l'annexe III comme non à haut risque, cette décision devra être enregistrée dans la base de données européenne. L'auto-classification devient un acte public.

Système de gestion des risques documenté. L'Article 9 impose un processus continu d'identification, d'évaluation et d'atténuation des risques, mis à jour tout au long du cycle de vie du système.

Journalisation automatique (Article 12). Vos systèmes doivent enregistrer automatiquement les événements pertinents : période d'utilisation, données d'entrée, résultats, et intervention humaine. Ces logs doivent être conservés, interprétables et exportables.

Supervision humaine (Article 14). L'Article 14 exige que les systèmes à haut risque soient conçus pour permettre une supervision humaine effective, ce qui implique des interfaces de monitoring, des mécanismes d'alerte et la capacité d'interrompre le système.

Évaluation de conformité et marquage CE. Avant mise en service, chaque système à haut risque doit passer une évaluation de conformité et être enregistré dans la base de données européenne.

Le problème : vos agents IA échappent au radar

Le vrai défi pour les DSI n'est pas de comprendre l'AI Act, c'est de savoir combien d'agents IA tournent réellement dans leur SI.

Les chiffres sont parlants. Selon le rapport Gravitee 2026 sur la sécurité des agents IA, 80,9 % des équipes techniques ont dépassé le stade de la planification pour entrer en phase de test ou de production. Mais seuls 14,4 % de ces agents ont été mis en production avec l'approbation complète de la sécurité et de l'IT (Source : Gravitee State of AI Agent Security 2026).

Pire : seulement 47,1 % des agents IA des organisations sont activement monitorés ou sécurisés. Plus de la moitié fonctionnent sans supervision ni journalisation cohérente, exactement ce que l'AI Act interdit pour les systèmes à haut risque.

Un plan d'action en 5 étapes pour les DSI

1. Cartographier : recensez tous les agents IA en production et en test. Incluez les shadow AI : selon les analyses du secteur, l'entreprise moyenne compte environ 1 200 applications IA non officielles en usage (Source : Help Net Security).

2. Classifier : pour chaque système, déterminez son niveau de risque au sens de l'AI Act. Documentez la classification et sa justification.

3. Instrumenter : mettez en place la journalisation automatique, les traces distribuées et l'audit trail exigés par les Articles 12 et 14. Sans observabilité centralisée, pas de conformité possible.

4. Gouverner : définissez les politiques de supervision humaine, les workflows de remédiation et les niveaux d'alerte. Désignez les responsables.

5. Documenter : préparez la documentation technique, les évaluations de conformité et les déclarations UE. Ce dossier sera votre preuve en cas de contrôle.

Ne pas attendre : le coût de l'inaction

Les amendes de l'AI Act montent jusqu'à 35 M€ ou 7 % du CA mondial pour les infractions les plus graves. Mais le vrai risque est opérationnel : une ETI qui découvre fin 2027 que 30 de ses agents IA sont non conformes devra choisir entre les couper (paralysie) ou continuer à les opérer (infraction). La mise en conformité prend 12 à 18 mois : la fenêtre pour commencer, c'est maintenant.

Le marché de l'IA agentique est projeté à 52,62 milliards de dollars d'ici 2030, soit une multiplication par 7 en 5 ans (Source : MarketsandMarkets). La question n'est plus de savoir si vous déploierez des agents IA, mais si vous serez capables de les superviser conformément au cadre réglementaire européen.

Prêt à savoir où vous en êtes ? L'audit Tour de Contrôle Ascenzia cartographie tous vos agents IA en 5 jours, identifie les risques de non-conformité et livre 3+ cas d'usage à fort ROI. Garanti ou l'audit est offert.

Réservez votre audit →

Sources : Conseil de l'UE, accord du 7 mai 2026 · AI Act Service Desk, Timeline · Article 14, Human Oversight · Article 16, Obligations of Providers · MarketsandMarkets, AI Agents Market · Gravitee, AI Agent Security 2026 · Help Net Security, Enterprise AI Agent Security