L’EU AI Act (règlement (UE) 2024/1689) est la première loi complète au monde sur l’IA. Il est entré en vigueur le 1er août 2024 et s’applique par étapes : certaines pratiques d’IA sont purement interdites, les systèmes « à haut risque » sont soumis à des obligations strictes, et la transparence est exigée dès que des personnes interagissent avec une IA ou voient des contenus générés par IA. En 2026, le « Digital Omnibus sur l’IA » a décalé plusieurs échéances — voici donc le tableau à jour : ce que couvre le règlement, qui doit se conformer et pour quand, les sanctions, et ce que cela signifie pour un site web ordinaire.
L’AI Act est un règlement de type sécurité des produits pour les systèmes d’IA mis sur le marché de l’UE ou dont la sortie est utilisée dans l’UE. Il ne réglemente pas « l’IA » en tant que technologie — il réglemente des usages précis selon le risque. Plus le risque pour la santé, la sécurité ou les droits fondamentaux est élevé, plus les obligations sont lourdes. La plupart des IA du quotidien (filtres anti-spam, widgets de recommandation, correcteurs orthographiques, fonctions d’IA des outils de productivité) relèvent du risque minimal et ne reçoivent aucune nouvelle obligation.
Tout le règlement repose sur cette classification :
Le règlement est entré en vigueur le 1er août 2024 et devait s’appliquer presque intégralement le 2 août 2026. En novembre 2025, la Commission a proposé le « Digital Omnibus sur l’IA » pour simplifier et échelonner tout cela ; le Parlement l’a approuvé le 16 juin 2026 et le Conseil a donné son accord final le 29 juin 2026. Les dates clés désormais :
Les obligations s’attachent aux rôles dans la chaîne de valeur : les fournisseurs (qui développent un système d’IA ou le mettent sur le marché de l’UE sous leur propre nom), les déployeurs (qui utilisent un système d’IA à titre professionnel), plus les importateurs et distributeurs. La portée est extraterritoriale — un SaaS américain ou britannique dont la sortie d’IA est utilisée dans l’UE est concerné. Les PME bénéficient d’allègements : documentation simplifiée, accès prioritaire aux bacs à sable, et amendes plafonnées au plus bas des deux montants plutôt qu’au plus élevé.
Pour la plupart des entreprises, les premiers vrais points de contact sont les règles de transparence applicables à partir d’août 2026 — elles concernent ce que les visiteurs voient sur votre site :
La structure des amendes est délibérément calquée sur le RGPD : jusqu’à 35 millions d’euros ou 7 % du chiffre d’affaires annuel mondial (le montant le plus élevé étant retenu) pour les pratiques interdites ; jusqu’à 15 millions d’euros ou 3 % pour la plupart des autres infractions, y compris les obligations haut risque et GPAI ; jusqu’à 7,5 millions d’euros ou 1 % pour la fourniture d’informations inexactes ou trompeuses aux autorités. Pour les PME, chaque plafond correspond au plus bas des deux montants. L’application est partagée entre les autorités nationales de surveillance du marché et, pour les modèles GPAI, le Bureau européen de l’IA.
Beacon analyse déjà ce que les moteurs de recherche et les robots d’IA voient réellement sur votre site — politiques robots.txt, contenu rendu, données structurées et mentions de transparence. Nous bâtissons sur cette base un scan de préparation à l’AI Act : une vérification automatisée des signaux de transparence visibles par vos visiteurs (divulgation des chatbots, étiquetage des contenus IA, marquage lisible par machine et métadonnées associées) avec une liste de correctifs priorisée. Ce ne sera pas un conseil juridique — mais cela vous montrera, concrètement, ce que votre site expose aujourd’hui et ce qu’il faut corriger en premier.
Oui. Comme le RGPD, il a une portée extraterritoriale : si vous mettez un système d’IA sur le marché de l’UE ou si la sortie du système est utilisée dans l’UE, vous êtes concerné, quel que soit le lieu d’établissement de votre entreprise.
Interdictions et maîtrise de l’IA depuis le 2 février 2025 ; obligations des modèles GPAI depuis le 2 août 2025 ; obligations de transparence et sanctions à partir du 2 août 2026. Après le Digital Omnibus de 2026, les obligations haut risque ont été reportées au 2 décembre 2027 (cas d’usage de l’annexe III) et au 2 août 2028 (IA intégrée aux produits de l’annexe I).
Si vous publiez des images, des sons ou des vidéos générés ou manipulés par IA (deepfakes), oui — ils doivent être étiquetés, et les médias synthétiques devraient porter un marquage lisible par machine. Les chatbots IA doivent indiquer qu’ils sont des IA. Les textes rédigés par IA sur des questions d’intérêt public doivent être signalés, sauf si un éditeur humain en assume la responsabilité.
Les responsabilités sont réparties par rôle. Le fournisseur du modèle (p. ex. OpenAI) porte les obligations de fournisseur GPAI ; vous, en tant que déployeur qui met un chatbot sur son site ou publie des contenus IA, portez les obligations de transparence côté déployeur envers vos visiteurs.
Non. Générer des textes marketing avec l’IA relève du risque minimal/limité — parfaitement légal. Le règlement n’exige la transparence que dans des cas précis (deepfakes, textes d’intérêt public, chatbots) et interdit une courte liste de pratiques nuisibles sans rapport avec le marketing normal.
Inventoriez les points où l’IA touche votre site (chatbot, images/textes générés), ajoutez des mentions et étiquettes IA claires, vérifiez votre marquage des médias synthétiques et informez votre équipe. Gardez ensuite un œil sur le 2 décembre 2027 si vous utilisez l’IA pour le recrutement ou d’autres domaines de l’annexe III.
Six affirmations — répondez honnêtement. Vos réponses restent dans votre navigateur.
Lancez dès maintenant le scan de visibilité gratuit de Beacon. Les vérifications de préparation à l’AI Act arrivent bientôt dans Beacon.