Quels sont les niveaux de risque de l'AI Act ?

L'AI Act classe les systèmes d'IA en quatre niveaux : inacceptable (interdit), haut risque (Annexe III), risque limité (transparence), risque minimal (libre).

Un développeur solo est-il concerné ?

Oui, toute app utilisant une IA (même via une API tierce) doit vérifier sa catégorie de risque et appliquer les obligations correspondantes.

Quelles sanctions en cas de non-conformité ?

Jusqu'à 35M€ ou 7% du CA mondial pour les systèmes interdits, 15M€ ou 3% pour non-conformité haut risque, 7,5M€ ou 1,5% pour défaut de transparence.

AI Act25 mars 2026

AI Act 2026 : ce que les développeurs d'apps français doivent faire maintenant

Q: Comment vérifier la catégorie de risque de mon app ?

Utilisez la nomenclature officielle (Annexe III, Art. 50) ou un outil automatisé comme ReglAI.com pour classifier votre système IA.

Le Règlement UE 2024/1689, dit "AI Act", entre en application complète le 2 août 2026. Si vous développez une application intégrant de l'intelligence artificielle — même un simple chatbot ou un système de recommandation — vous êtes concerné. Voici ce que vous devez faire concrètement.

Les quatre catégories de risque

1. Risque inacceptable (interdit) : systèmes d’IA interdits (scoring social, manipulation subliminale, reconnaissance biométrique temps réel).
Aucune tolérance, interdiction totale.
2. Haut risque : IA dans des domaines critiques (santé, éducation, recrutement, infrastructures, justice, sécurité, etc. — voir Annexe III).
Obligations strictes : documentation, gestion des risques, supervision humaine, transparence, logs, conformité technique et juridique.
3. Risque limité : IA générative, chatbots, assistants, outils SaaS IA, scoring non-critique.
Obligation principale : transparence (informer l’utilisateur qu’il interagit avec une IA).
4. Risque minimal : IA sans impact significatif (filtres anti-spam, recommandations, IA embarquée dans des apps sans prise de décision critique).
Aucune obligation spécifique.

Ce qui s’applique concrètement à votre app

Vérifiez la catégorie de risque :
Utilisez l’Annexe III et les outils officiels (ou ReglAI.com) pour classifier votre app.
Si haut risque :
Préparez une documentation technique, un système de gestion des risques, des logs, une supervision humaine, et assurez la conformité RGPD (données, sécurité, droits utilisateurs).
Si risque limité :
Ajoutez un message clair pour informer l’utilisateur qu’il interagit avec une IA (ex : “Réponse générée par IA”).
Si risque minimal :
Aucune démarche supplémentaire, mais conservez une trace de votre analyse de risque.

Les amendes — ce qu’on risque vraiment

Systèmes interdits : jusqu’à 35M€ ou 7% du CA mondial.
Non-conformité haut risque : jusqu’à 15M€ ou 3% du CA mondial.
Défaut de transparence : jusqu’à 7,5M€ ou 1,5% du CA mondial.
Pour les PME et indépendants, des plafonds réduits sont prévus, mais la CNIL et la Commission européenne insistent sur la pédagogie et l’accompagnement en 2026-2027.

Le calendrier à retenir

1er août 2024 : entrée en vigueur du règlement.
2 février 2025 : interdiction des IA à risque inacceptable (scoring social, manipulation, biométrie temps réel).
2 août 2025 : obligations pour les GPAI (modèles de fondation type GPT-4, Gemini, Claude, Mistral).
2 août 2026 : application complète : obligations haut risque, transparence, documentation, sanctions.

FAQ

Un développeur solo est-il vraiment concerné ?

Oui, même si vous utilisez une API tierce (OpenAI, Google, AWS, etc.), vous devez vérifier la catégorie de risque et appliquer les obligations correspondantes.

Comment classifier mon app rapidement ?

Utilisez la grille officielle (Annexe III, Art. 50) ou un outil automatisé comme ReglAI.com pour obtenir une classification fiable.

Dois-je faire une DPIA (analyse d’impact) ?

Oui, si votre app est classée haut risque ou traite des données sensibles. Voir notre guide DPIA RGPD.

Que risque-t-on en cas de contrôle ?

La CNIL privilégie l’accompagnement, mais peut sanctionner en cas de mauvaise foi ou de manquement grave. Documentez vos démarches et conservez vos analyses de risque.