L'AI Act entre dans sa phase opérationnelle : le 2 août 2026 devient la vraie date à préparer

Ce qui est déjà en vigueur

L'erreur la plus fréquente consiste encore à parler de l'AI Act comme d'un texte lointain. Or la chronologie officielle de la Commission européenne raconte autre chose. Depuis le 2 février 2025, les dispositions générales, les exigences de littératie en IA et les interdictions de certaines pratiques s'appliquent déjà. Depuis le 2 août 2025, les règles pour les fournisseurs de modèles d'IA à usage général sont elles aussi activées, avec des exigences de gouvernance et un appareil institutionnel européen qui doit être en place.

Autrement dit, la conformité ne commence pas en 2026. Elle a déjà commencé par le cadrage des usages interdits, par l'identification des modèles amont et par la mise en place d'une chaîne de responsabilité. Pour une entreprise qui intègre des briques tierces, la question n'est plus seulement "quel modèle choisir ?" mais "quelles obligations montent avec lui ?". Cela change la lecture des contrats fournisseurs, des fiches produit et des promesses marketing faites aux clients.

Pourquoi août 2026 change l'équation

Le 2 août 2026 est la prochaine vraie marche. La frise officielle prévoit à cette date l'entrée en application de la majorité des règles du texte, l'activation des dispositions de transparence de l'article 50, l'application des règles pour de nombreux systèmes à haut risque de l'annexe III, ainsi que le démarrage de l'enforcement aux niveaux national et européen. Pour les équipes produit, cela signifie que les documents internes deviennent des pièces de conformité, pas de simples notes opérationnelles.

Ce point est crucial pour les entreprises françaises qui ont industrialisé des usages de scoring, d'assistance documentaire, de recrutement, de support client ou d'aide à la décision. Le cadre européen ne sanctionne pas l'usage d'IA en soi ; il sanctionne l'absence de classification correcte, de supervision humaine, de documentation et de transparence lorsqu'elles sont requises. Le coût du retard n'est donc pas seulement réglementaire. Il devient aussi organisationnel, parce qu'une remise à plat tardive d'un workflow IA touche les équipes data, produit, sécurité, juridique et achats en même temps.

Le rôle concret de la CNIL pour les acteurs français

Côté français, la CNIL a donné une traduction très pratique de ces obligations en publiant en 2025 de nouvelles recommandations sur les systèmes d'IA et sur l'IA générative. Son angle est clair : impossible de traiter la conformité IA sans traiter la conformité RGPD. Cela implique d'examiner la provenance des données, les bases légales, l'information des personnes, l'exercice des droits, la minimisation, la sécurité et la conservation. Pour les organisations qui bricolent encore des copilotes internes à partir de documents métiers, cette doctrine est une alerte utile.

La CNIL déplace aussi le débat loin des slogans sur l'innovation. Elle rappelle qu'un système d'IA se gère sur tout son cycle de vie : collecte, entraînement éventuel, paramétrage, déploiement, suivi et correction. Cette logique rejoint l'AI Act : la conformité se construit comme une capacité de preuve. Une entreprise devra montrer ce qu'elle a cartographié, testé, limité et arbitré, pas simplement affirmer qu'un fournisseur cloud ou un grand laboratoire s'en est chargé à sa place.

Ce que cela implique pour les équipes produit

Concrètement, il faut dès maintenant cartographier les cas d'usage, identifier les briques GPAI en amont, documenter les entrées et sorties sensibles, formaliser la supervision humaine et préparer les mentions de transparence destinées aux utilisateurs. Les entreprises les plus avancées traitent déjà cela comme un chantier produit et gouvernance, avec inventaire des systèmes, revue fournisseur, règles d'escalade et journalisation. Celles qui attendront l'été 2026 pour démarrer risquent de transformer une obligation pilotable en chantier de crise.

Limites et zones d'incertitude

Il reste des inconnues. La Commission a elle-même indiqué, via son service desk et sa FAQ Digital Omnibus, que certains volets liés aux systèmes à haut risque devront aussi s'articuler avec des standards harmonisés et des outils d'appui encore en cours de finalisation. Cela ne change pas le message de fond : l'incertitude porte sur le calibrage fin de certaines obligations, pas sur la nécessité d'organiser dès maintenant la gouvernance IA.