Règlement IA de l’UE à partir du 2 août : la faille à haut risque persiste également dans la surveillance
5 Min. de lecture
Le 2 août 2026 reste la date limite juridiquement contraignante pour les IA à haut risque de l’Annexe III selon le règlement européen sur l’IA (EU-AI-Act). Huit des 27 États membres ont officiellement désigné leurs points de contact nationaux, la Commission européenne a manqué son délai de février pour ses lignes directrices, et le Conseil a voté le 13 mars 2026 en faveur d’un report au 2 décembre 2027 (systèmes autonomes) et au 2 août 2028 (systèmes intégrés dans des produits). Quiconque exploite aujourd’hui un outil de screening RH ou un modèle de scoring crédit planifie face à une date limite incertaine avec une obligation de conformité totale.
Les points clés en bref
- La date limite du 2 août 2026 reste l’échéance d’application contraignante. Le Conseil de l’UE a voté le 13.03.2026 en faveur d’un report au 2 décembre 2027 (autonome) respectivement au 2 août 2028 (intégré), le Parlement européen ayant approuvé cette mesure par majorité le 18.03.2026. Le Digital Omnibus est en cours de trilogue, le texte final étant visé sous la présidence chypriote du Conseil en mai 2026. Jusqu’à l’adoption formelle, la date initiale s’applique.
- Le vide de supervision est principalement réglementaire. La Commission européenne a manqué son délai de février pour les lignes directrices, seuls huit des 27 États membres ont officiellement désigné des points de contact nationaux. L’Allemagne mise, après la loi sur la surveillance du marché de l’IA, sur un modèle de supervision hybride avec l’Office fédéral de régulation des réseaux comme instance centrale et des autorités sectorielles selon le contexte du système.
- Les obligations restent inchangées. Système de gestion des risques selon l’art. 9, Gouvernance des données selon l’art. 10, Système de management de la qualité selon l’art. 17 et Surveillance post-commercialisation selon l’art. 72. En cas de violation des obligations relatives aux systèmes à haut risque, des amendes allant jusqu’à 15 millions d’euros ou 3 % du chiffre d’affaires annuel mondial sont applicables ; les pratiques interdites constituent une catégorie distincte avec des amendes de 35 millions d’euros ou 7 %.
Qu’est-ce qu’un système de l’Annexe III selon le règlement européen sur l’IA ? L’Annexe III énumère huit domaines dans lesquels l’IA est classée comme à haut risque : identification biométrique, infrastructures critiques, éducation et formation professionnelle, emploi et gestion des ressources humaines, accès à des services essentiels tels que le scoring crédit et les prestations sociales, application de la loi, migration ainsi que l’administration judiciaire. Les systèmes à haut risque de l’Annexe III doivent respecter l’intégralité des obligations du règlement, y compris la gestion des risques, la gouvernance des données, la documentation technique et l’évaluation de la conformité avec marquage CE.
Les frictions ne se situent pas principalement au niveau des entreprises
Le Conseil a justifié sa position le 13 mars 2026 : en l’absence d’orientations techniques officielles et de structures nationales de supervision opérationnelles dans la plupart des États membres, l’application des obligations relatives aux systèmes à haut risque à compter du 2 août 2026 reviendrait à imposer une règle dans le vide. La Commission européenne avait déjà manqué l’échéance de février pour publier ces orientations.
Au 28 avril : huit États membres ont officiellement désigné leurs points de contact nationaux en matière d’IA. 19 font défaut. Cette désignation formelle en dit peu sur la capacité opérationnelle de surveillance du marché ; elle constitue toutefois la condition préalable à toute étape suivante. Les négociations en trilogue sur le « Digital Omnibus » sont en cours, et le texte final devrait être arrêté sous la présidence chypriote du Conseil en mai 2026.
En attendant, le 2 août 2026 reste la date d’application en vigueur. L’Allemagne mise, conformément à sa loi sur la surveillance du marché de l’IA, sur un modèle de supervision hybride : la Bundesnetzagentur assure la coordination en tant qu’autorité centrale, complétée par des organismes sectoriels selon le contexte du système. Le BfDI est compétent pour les systèmes à haut risque liés à la protection des données, la BaFin pour l’IA financière, tandis que le BSI apporte un soutien en matière de cybersécurité et de KRITIS. Les pouvoirs de surveillance du marché incluent les amendes, les interdictions d’exploitation et les ordres de rappel.
Ce que recouvre l’annexe III et où se situe véritablement la faille opérationnelle
L’annexe III de l’EU-AI-Act définit huit domaines à haut risque présentant un lien direct avec la zone DACH : l’identification et la catégorisation biométriques, les infrastructures critiques, l’éducation et la formation professionnelle (par exemple l’évaluation des examens), l’emploi et la gestion du personnel (HR-Screening, Performance-Management), l’accès aux services essentiels (Kreditscoring, prestations sociales), la répression pénale, les migrations et la justice.
Dans la pratique de mise en œuvre en zone DACH, trois obligations passent régulièrement à travers les mailles du filet. La gestion des risques au titre de l’art. 9 est souvent réduite à un document d’audit ponctuel, et non traitée comme un processus continu sur l’ensemble du cycle de vie. La gouvernance de la qualité des données visée à l’art. 10 est formulée sous forme de politique, mais rarement mesurée objectivement au regard de la représentativité, des caractéristiques statistiques et de la détection des biais. La surveillance post-commercialisation prévue à l’art. 72 fait carrément défaut dans la plupart des implémentations.
C’est là que réside le cœur de la faille opérationnelle. Le déficit réglementaire au sein de l’appareil de supervision européen pourrait reporter l’échéance de 16 mois. La faille opérationnelle dans les entreprises ne disparaît pas pour autant.
L’application des obligations relatives aux systèmes à haut risque, en l’absence d’orientations officielles et d’infrastructures de supervision dans la plupart des États membres, reviendrait à imposer une règle dans le vide.
– Position du Conseil de l’Union européenne, 13.03.2026 (résumé non exhaustif, source : consilium.europa.eu)
Ce dont les équipes de sécurité et de conformité ont besoin dans les 90 prochains jours
Les tâches peuvent être condensées dans une liste minimale d’artefacts qui doivent être disponibles avant le 2 août 2026. Ce n’est qu’alors que des normes et des lignes directrices harmonisées peuvent être appliquées de manière significative.
- Inventaire d’IA de tous les systèmes utilisés, y compris les fournisseurs, les versions et les sources de données.
- Classification Annex-III pour chaque système, avec justification et documentation de l’évaluation des risques élevés.
- Matrice de fournisseurs et d’opérateurs, qui attribue la responsabilité de la conformité et de la journalisation pour chaque système.
- Processus de gestion des risques conformément à l’article 9, en tant que documentation du cycle de vie, et non en tant qu’audit unique.
- Preuves de qualité des données conformément à l’article 10, avec des indicateurs de représentativité et de biais mesurables.
- Livre de surveillance et d’incident conformément à l’article 72, avec une pipeline de journalisation et un chemin d’escalade vers la surveillance.
Trois tâches opérationnelles ont un impact direct sur le domaine du CISO et de la conformité. Premièrement : le système de gestion des risques conformément à l’article 9 doit être documenté en tant que processus continu, et non en tant qu’audit ponctuel. Identification, évaluation et mesures contre les risques pour la santé, la sécurité et les droits fondamentaux tout au long du cycle de vie.
Deuxièmement : la gouvernance de la qualité des données conformément à l’article 10. Les données de formation, de validation et de test doivent être pertinentes, représentatives et exemptes d’erreurs dans la mesure du possible. Les propriétés statistiques des ensembles de données par rapport aux groupes de personnes concernés doivent être prouvées.
Troisièmement : la surveillance post-marché conformément à l’article 72. Les fournisseurs doivent établir un système de surveillance documenté pour la période après la mise sur le marché, y compris la journalisation, la notification d’incident et les mesures correctives.
La ENISA a publié le cadre pour les bonnes pratiques de cybersécurité pour l’IA (FAICP) en tant qu’aide à la mise en œuvre. Selon l’état actuel de la discussion, les normes et les lignes directrices finales devraient être plus étroitement liées aux délais de transition. Cela change peu pour la préparation opérationnelle : l’inventaire d’IA, la classification Annex-III et les lacunes de contrôle doivent être disponibles avant que les normes harmonisées puissent être appliquées de manière significative. Jusqu’à l’adoption formelle du Digital Omnibus, le 2 août 2026 reste la ligne de conduite.
Trois tâches, trois lacunes de mise en pratique
| Tâche (article) | État souhaité après l’adoption de l’AI Act de l’UE | Lacune de mise en pratique fréquente en DACH |
|---|---|---|
| Gestion des risques (art. 9) | Processus continu tout au long du cycle de vie, documenté et régulièrement vérifié | Document d’audit unique, sans mise à jour systématique en cas de nouveaux données ou de changements d’utilisation |
| Gouvernance de la qualité des données (art. 10) | Ensembles de données représentatifs, propriétés statistiques documentées, détection de biais par groupe de personnes | Déclarations de politique sans indicateurs mesurables, pas de vérification systématique des biais dans les données de formation |
| Surveillance post-marché (art. 72) | Système de surveillance documenté après la mise sur le marché, journalisation automatique, notification d’incident | Pas de système établi, journalisation fragmentée, pas de pipeline de notification d’incident aux autorités de surveillance |
Foire aux questions
Si le report à décembre 2027 est adopté, peut-on attendre la mise en place de la conformité ?
Non. Jusqu’à l’adoption formelle du Digital Omnibus, le 2 août 2026 reste la date d’application obligatoire. La surveillance du marché allemand s’active à compter de cette date, par l’intermédiaire de l’Agence fédérale des réseaux et des autorités sectorielles, conformément au KI-MüG. Les évaluations de conformité durent en général trois à six mois. Qui n’a pas commencé en mai 2026 ne pourra plus respecter la date limite, purement du point de vue temporel.
Quelles applications DACH entrent typiquement dans l’annexe III ?
Le recrutement automatisé (gestion des candidats, évaluation des performances), le scoring de crédit dans les banques et les caisses d’épargne, les systèmes d’IA éducative avec évaluation d’examens, la vérification biométrique dans les systèmes de contrôle d’accès, l’IA dans les infrastructures critiques comme l’énergie et les transports, ainsi que l’IA dans les domaines de l’application de la loi et de l’administration judiciaire. L’IA intégrée dans des produits réglementés selon l’annexe I bénéficie d’un délai prolongé jusqu’au 2 août 2027 ou 2 août 2028.
Quelle est la différence entre fournisseur et opérateur selon le règlement UE sur l’IA ?
Le fournisseur conçoit le système et le met sur le marché. L’opérateur l’utilise dans son propre fonctionnement commercial. Le fournisseur assume la responsabilité centrale de conformité, incluant l’évaluation de conformité, la documentation technique et la marque CE. L’opérateur doit garantir la journalisation, organiser la supervision humaine et vérifier l’adéquation du système à son usage prévu. Les deux sont responsables et peuvent être saisis. Pour les entreprises utilisatrices, c’est là le point crucial : même si l’évaluation centrale de conformité incombe au fournisseur, vos propres obligations ne disparaissent pas. La journalisation, l’utilisation conforme, la supervision humaine, les processus d’incident et les responsabilités internes relèvent des devoirs de l’opérateur — et s’appliquent aussi lors de l’utilisation d’outils externes de RH, de scoring ou de recrutement.
Lectures recommandées par la rédaction
Plus du réseau média MBF
Source image de une : Pexels / Christian Wasserfallen (px:7327876)
