BEACON Guide

Le règlement européen sur l’IA (AI Act), expliqué.

L’EU AI Act (règlement (UE) 2024/1689) est la première loi complète au monde sur l’IA. Il est entré en vigueur le 1er août 2024 et s’applique par étapes : certaines pratiques d’IA sont purement interdites, les systèmes « à haut risque » sont soumis à des obligations strictes, et la transparence est exigée dès que des personnes interagissent avec une IA ou voient des contenus générés par IA. En 2026, le « Digital Omnibus sur l’IA » a décalé plusieurs échéances — voici donc le tableau à jour : ce que couvre le règlement, qui doit se conformer et pour quand, les sanctions, et ce que cela signifie pour un site web ordinaire.

Commencer gratuitement Lancer une analyse gratuite
Fondé sur le risque, pas généraliséQuatre niveaux : pratiques interdites, systèmes à haut risque, risque limité (obligations de transparence) et risque minimal — la plupart des IA relèvent du dernier niveau, sans aucune nouvelle obligation.
Un calendrier par étapesInterdictions et obligations de maîtrise de l’IA depuis février 2025 ; règles pour l’IA à usage général (GPAI) depuis août 2025 ; obligations de transparence à partir d’août 2026 ; obligations haut risque désormais reportées à décembre 2027 / août 2028.
Portée extraterritorialeIl s’applique aux fournisseurs et déployeurs hors UE dès que la sortie du système d’IA est utilisée dans l’UE — comme le RGPD, pas besoin d’un bureau européen pour être concerné.
Des interdictions fermesNotation sociale, techniques manipulatrices, extraction non ciblée d’images faciales, reconnaissance des émotions au travail et à l’école (avec de rares exceptions) — interdites depuis février 2025.
Transparence pour les sites webLes chatbots doivent indiquer qu’ils sont des IA ; les contenus générés ou manipulés par IA (deepfakes) doivent être étiquetés, avec un marquage lisible par machine pour les médias synthétiques.
Des amendes à l’échelle du RGPDJusqu’à 35 M€ ou 7 % du chiffre d’affaires mondial pour les pratiques interdites ; jusqu’à 15 M€ ou 3 % pour la plupart des autres infractions ; jusqu’à 7,5 M€ ou 1 % pour la fourniture d’informations trompeuses.
Les quatre niveaux de risque en un coup d’œil
Risque inacceptable
Interdit
Haut risque
Obligations strictes + enregistrement
Risque limité
Obligations de transparence
Risque minimal
Aucune nouvelle obligation
Amendes maximales
Pratiques interdites€35M / 7%
La plupart des autres violations€15M / 3%
Informations trompeuses aux autorités€7.5M / 1%
du chiffre d’affaires annuel mondial (le montant le plus élevé)
Le calendrier — mis à jour après l’Omnibus numérique 2026
1.8.2024Entrée en vigueur
2.2.2025Interdictions + maîtrise de l’IA
2.8.2025Règles des modèles GPAI
2.8.2026Transparence + sanctionsAujourd’hui
2.12.2026Nouvelles interdictions de contenu
2.12.2027Haut risque — annexe III
2.8.2028Haut risque — annexe I

Ce qu’est l’AI Act (et ce qu’il n’est pas)

L’AI Act est un règlement de type sécurité des produits pour les systèmes d’IA mis sur le marché de l’UE ou dont la sortie est utilisée dans l’UE. Il ne réglemente pas « l’IA » en tant que technologie — il réglemente des usages précis selon le risque. Plus le risque pour la santé, la sécurité ou les droits fondamentaux est élevé, plus les obligations sont lourdes. La plupart des IA du quotidien (filtres anti-spam, widgets de recommandation, correcteurs orthographiques, fonctions d’IA des outils de productivité) relèvent du risque minimal et ne reçoivent aucune nouvelle obligation.

Les quatre niveaux de risque

Tout le règlement repose sur cette classification :

  • Risque inacceptable — interdit purement et simplement depuis le 2 février 2025 : notation sociale, techniques d’exploitation ou de manipulation, extraction non ciblée d’images faciales, reconnaissance des émotions au travail et à l’école (rares exceptions de sécurité), catégorisation biométrique visant à déduire des attributs sensibles, et identification biométrique à distance en temps réel dans les espaces publics à des fins répressives (exceptions limitées). À partir du 2 décembre 2026, l’amendement de 2026 interdit aussi explicitement les systèmes d’IA générant des images intimes non consenties ou du contenu pédopornographique (CSAM).
  • Haut risque — autorisé mais strictement encadré : l’IA utilisée comme composant de sécurité de produits réglementés (annexe I — machines, dispositifs médicaux, ascenseurs…) ou dans des cas d’usage sensibles (annexe III — recrutement et gestion des travailleurs, notation dans l’éducation, scoring de crédit, services essentiels, forces de l’ordre, migration, justice). Les obligations incluent la gestion des risques, la gouvernance des données, la documentation technique, la journalisation, le contrôle humain, des tests d’exactitude et de robustesse et l’enregistrement dans une base de données de l’UE.
  • Risque limité — obligations de transparence (article 50) : informer les personnes lorsqu’elles interagissent avec un système d’IA (chatbots), étiqueter les contenus image/audio/vidéo générés ou manipulés par IA (deepfakes), marquer les contenus synthétiques de manière lisible par machine, et signaler les textes générés par IA publiés pour informer le public sur des questions d’intérêt public.
  • Risque minimal — tout le reste : aucune nouvelle obligation, codes de conduite volontaires encouragés.

Le calendrier en 2026 — mis à jour après le Digital Omnibus

Le règlement est entré en vigueur le 1er août 2024 et devait s’appliquer presque intégralement le 2 août 2026. En novembre 2025, la Commission a proposé le « Digital Omnibus sur l’IA » pour simplifier et échelonner tout cela ; le Parlement l’a approuvé le 16 juin 2026 et le Conseil a donné son accord final le 29 juin 2026. Les dates clés désormais :

  • 2 février 2025 — application des interdictions des pratiques à risque inacceptable et des obligations de maîtrise de l’IA.
  • 2 août 2025 — obligations pour les fournisseurs de modèles d’IA à usage général (GPAI) (documentation technique, politique de droit d’auteur, résumés des données d’entraînement ; obligations supplémentaires pour les modèles à risque systémique), plus le Bureau européen de l’IA (EU AI Office) et les structures de gouvernance.
  • 2 août 2026 — le règlement devient applicable de manière générale : obligations de transparence (article 50), sanctions et la plupart des dispositions restantes. Le marquage lisible par machine des contenus synthétiques bénéficie d’un délai de grâce jusqu’au 2 décembre 2026 pour les systèmes déjà sur le marché avant le 2 août 2026.
  • 2 décembre 2026 — application des nouvelles interdictions visant l’IA générant des images intimes non consenties et du CSAM.
  • 2 décembre 2027 — obligations haut risque pour les cas d’usage de l’annexe III (recrutement, scoring de crédit, éducation…) — reportées de 16 mois par rapport à la date initiale d’août 2026.
  • 2 août 2028 — obligations haut risque pour l’IA intégrée aux produits de l’annexe I (dispositifs médicaux, machines…) — reportées d’un an par rapport à août 2027. Les bacs à sable réglementaires nationaux sont attendus pour le 2 août 2027.

Qui doit se conformer

Les obligations s’attachent aux rôles dans la chaîne de valeur : les fournisseurs (qui développent un système d’IA ou le mettent sur le marché de l’UE sous leur propre nom), les déployeurs (qui utilisent un système d’IA à titre professionnel), plus les importateurs et distributeurs. La portée est extraterritoriale — un SaaS américain ou britannique dont la sortie d’IA est utilisée dans l’UE est concerné. Les PME bénéficient d’allègements : documentation simplifiée, accès prioritaire aux bacs à sable, et amendes plafonnées au plus bas des deux montants plutôt qu’au plus élevé.

Ce que l’AI Act signifie pour votre site web

Pour la plupart des entreprises, les premiers vrais points de contact sont les règles de transparence applicables à partir d’août 2026 — elles concernent ce que les visiteurs voient sur votre site :

  • Les chatbots et assistants IA de votre site doivent indiquer clairement que le visiteur parle à une machine (sauf si c’est évident d’après le contexte).
  • Les images, sons et vidéos générés ou manipulés par IA (deepfakes) que vous publiez doivent être visiblement étiquetés comme générés ou manipulés artificiellement.
  • Les médias synthétiques devraient porter un marquage lisible par machine (p. ex. métadonnées/filigrane) — l’obligation de marquage pour les systèmes antérieurs à août 2026 s’applique à partir du 2 décembre 2026.
  • Les textes rédigés par IA publiés pour informer le public sur des questions d’intérêt public doivent être signalés comme générés par IA, sauf s’ils sont passés par une relecture éditoriale humaine avec prise de responsabilité.
  • Si vous utilisez l’IA pour le recrutement, le crédit ou d’autres cas d’usage de l’annexe III, préparez-vous au régime haut risque applicable à partir du 2 décembre 2027.
  • Maîtrise de l’IA : les organisations utilisant l’IA à titre professionnel doivent prendre des mesures pour que le personnel comprenne les systèmes qu’il exploite.

Les sanctions

La structure des amendes est délibérément calquée sur le RGPD : jusqu’à 35 millions d’euros ou 7 % du chiffre d’affaires annuel mondial (le montant le plus élevé étant retenu) pour les pratiques interdites ; jusqu’à 15 millions d’euros ou 3 % pour la plupart des autres infractions, y compris les obligations haut risque et GPAI ; jusqu’à 7,5 millions d’euros ou 1 % pour la fourniture d’informations inexactes ou trompeuses aux autorités. Pour les PME, chaque plafond correspond au plus bas des deux montants. L’application est partagée entre les autorités nationales de surveillance du marché et, pour les modèles GPAI, le Bureau européen de l’IA.

Comment Beacon s’inscrit dans tout cela

Beacon analyse déjà ce que les moteurs de recherche et les robots d’IA voient réellement sur votre site — politiques robots.txt, contenu rendu, données structurées et mentions de transparence. Nous bâtissons sur cette base un scan de préparation à l’AI Act : une vérification automatisée des signaux de transparence visibles par vos visiteurs (divulgation des chatbots, étiquetage des contenus IA, marquage lisible par machine et métadonnées associées) avec une liste de correctifs priorisée. Ce ne sera pas un conseil juridique — mais cela vous montrera, concrètement, ce que votre site expose aujourd’hui et ce qu’il faut corriger en premier.

FAQ

L’EU AI Act s’applique-t-il aux entreprises hors UE ?

Oui. Comme le RGPD, il a une portée extraterritoriale : si vous mettez un système d’IA sur le marché de l’UE ou si la sortie du système est utilisée dans l’UE, vous êtes concerné, quel que soit le lieu d’établissement de votre entreprise.

Quand les principales obligations s’appliquent-elles réellement ?

Interdictions et maîtrise de l’IA depuis le 2 février 2025 ; obligations des modèles GPAI depuis le 2 août 2025 ; obligations de transparence et sanctions à partir du 2 août 2026. Après le Digital Omnibus de 2026, les obligations haut risque ont été reportées au 2 décembre 2027 (cas d’usage de l’annexe III) et au 2 août 2028 (IA intégrée aux produits de l’annexe I).

Dois-je étiqueter les contenus générés par IA sur mon site ?

Si vous publiez des images, des sons ou des vidéos générés ou manipulés par IA (deepfakes), oui — ils doivent être étiquetés, et les médias synthétiques devraient porter un marquage lisible par machine. Les chatbots IA doivent indiquer qu’ils sont des IA. Les textes rédigés par IA sur des questions d’intérêt public doivent être signalés, sauf si un éditeur humain en assume la responsabilité.

ChatGPT ou mon fournisseur d’IA est-il responsable à ma place ?

Les responsabilités sont réparties par rôle. Le fournisseur du modèle (p. ex. OpenAI) porte les obligations de fournisseur GPAI ; vous, en tant que déployeur qui met un chatbot sur son site ou publie des contenus IA, portez les obligations de transparence côté déployeur envers vos visiteurs.

Utiliser l’IA pour le SEO ou le marketing de contenu est-il interdit ?

Non. Générer des textes marketing avec l’IA relève du risque minimal/limité — parfaitement légal. Le règlement n’exige la transparence que dans des cas précis (deepfakes, textes d’intérêt public, chatbots) et interdit une courte liste de pratiques nuisibles sans rapport avec le marketing normal.

Que devrait faire un propriétaire de site web dès maintenant ?

Inventoriez les points où l’IA touche votre site (chatbot, images/textes générés), ajoutez des mentions et étiquettes IA claires, vérifiez votre marquage des médias synthétiques et informez votre équipe. Gardez ensuite un œil sur le 2 décembre 2027 si vous utilisez l’IA pour le recrutement ou d’autres domaines de l’annexe III.

Auto-évaluation rapide : où en êtes-vous ?

Six affirmations — répondez honnêtement. Vos réponses restent dans votre navigateur.

Les visiteurs sont informés lorsqu’ils discutent avec une IA (ou nous n’avons pas de chat IA).
Les images, audios ou vidéos générés par IA sont visiblement étiquetés (ou nous n’en publions pas).
Les articles écrits par IA sur des sujets d’intérêt public sont signalés ou relus par un humain.
Nous avons vérifié qu’aucun de nos usages IA n’est une pratique interdite (art. 5).
Nous savons si un de nos usages IA relève du haut risque (annexe III).
Notre équipe a reçu une formation de base à l’IA.
0/6 réponduesObtenir mon scan de conformité gratuitLe compte Beacon gratuit inclut le scan des signaux du site et la checklist interactive — sans carte bancaire.

Vérifiez gratuitement ce que votre site expose aujourd’hui

Lancez dès maintenant le scan de visibilité gratuit de Beacon. Les vérifications de préparation à l’AI Act arrivent bientôt dans Beacon.

Commencer gratuitement Lancer une analyse gratuite