Introduction : Le compte à rebours est réel
Le 2 août 2026, les dispositions les plus importantes de l’EU AI Act entrent en vigueur. Après des mois de débats sur le Digital Omnibus (qui a ajusté certains délais en mai 2026), les obligations de conformité fondamentales sont désormais figées.
L’EU AI Act n’est pas une hypothèse future — c’est une exigence réglementaire actuelle assortie de sanctions réelles. Le non-respect peut entraîner des amendes allant jusqu’à 35 millions d’euros ou 7 % du chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu.
(Source : EU Digital Strategy — AI Act)
Ce qui change le 2 août 2026
La date limite du 2 août active deux grandes catégories d’obligations :
1. Exigences de transparence (Tous les systèmes d’IA)
Tout système d’IA qui interagit avec des humains ou génère du contenu doit se conformer à :
| Exigence | Ce que cela signifie pour les agents IA |
|---|---|
| Divulgation de l’interaction avec l’IA | Les utilisateurs doivent savoir qu’ils interagissent avec un agent IA, pas un humain |
| Étiquetage des contenus générés par IA | Tout texte, image, audio ou vidéo produit par un agent doit être marqué comme généré par IA |
| Filigrane lisible par machine | Les contenus générés par IA doivent porter des marqueurs techniques détectables par des systèmes automatisés |
| Registre de transparence | Les déployeurs de systèmes à haut risque doivent s’enregistrer dans la base de données de l’UE |
2. Exigences pour les systèmes d’IA à haut risque (Applicables à la plupart des agents en production)
Votre agent IA est classé comme à haut risque s’il :
- Est déployé dans des contextes d’emploi, d’éducation, de crédit, d’application de la loi, de migration ou d’infrastructure critique
- Agit comme composant de sécurité d’un produit couvert par la législation d’harmonisation de l’UE
- Profile des individus d’une manière qui affecte leurs droits légaux ou leur accès à des services essentiels
Le seuil est plus large que la plupart des équipes ne le pensent. Un agent IA qui automatise les décisions d’embauche, évalue les demandes de prêt ou gère l’accès aux prestations publiques est presque certainement à haut risque.
(Source : Augment Code — The 2026 EU AI Act and AI-Generated Code)
Ce que les développeurs d’agents IA doivent mettre en œuvre
Si votre agent relève de la classification à haut risque (ou si vous voulez être prudent), voici les exigences techniques :
Article 9 — Système de gestion des risques
# Documentation requise
risk_assessment:
- identifier_les_dangers_connus_et_prévisibles
- estimer_et_évaluer_les_risques_lors_de_l_utilisation_prévue
- évaluer_les_autres_utilisations_abusives_prévisibles
- mettre_en_œuvre_des_mesures_de_gestion_des_risques
- tester_l_efficacité_des_mesures
continuous: true # Doit être itératif, pas ponctuel
Article 10 — Données et gouvernance des données
- Les données d’entraînement doivent être pertinentes, représentatives et exemptes de biais
- Les pratiques de collecte de données doivent être transparentes pour les personnes concernées
- Les catégories spéciales de données (biométriques, santé, etc.) nécessitent des garanties supplémentaires
- Les journaux de provenance des données doivent être conservés pendant toute la durée de vie du système
Article 12 — Tenue de registres et journalisation
C’est l’exigence la plus exigeante techniquement pour les agents IA :
Pour les systèmes agentiques, cela signifie que chaque décision autonome doit être journalisée :
# Exigences minimales de journalisation selon l'article 12
log_entry = {
"timestamp": "2026-06-17T10:00:00Z",
"agent_id": "support-client-v3",
"trigger": "message_utilisateur_à_propos_du_remboursement",
"decision": "remboursement_approuvé_150€",
"confidence": 0.94,
"human_review": False,
"reasoning_path": ["vérification_politique_ok", "score_fraude_faible", "montant_dans_limite"]
}
Article 15 — Précision, robustesse et cybersécurité
- Les systèmes à haut risque doivent atteindre un niveau de précision déclaré, approprié à leur objectif visé
- Ils doivent être résilients aux erreurs et logiquement cohérents
- Des mesures de cybersécurité doivent protéger contre la manipulation du système d’IA par des tiers
- Pour les systèmes agentiques, cela concerne spécifiquement l’injection de prompt et le mauvais usage des outils comme vecteurs d’attaque
(Source : Salt Security — EU AI Act Compliance 2026)
L’angle « agentique » : pourquoi c’est différent pour les agents IA
L’EU AI Act a été rédigé avant que l’IA agentique ne devienne courante, mais plusieurs dispositions s’appliquent avec une force particulière aux agents autonomes :
1. Supervision humaine (Article 14)
La loi exige que les systèmes à haut risque puissent être supervisés efficacement par des humains. Pour les agents IA, cela signifie :
- Fonction d’arrêt d’urgence : Les humains doivent pouvoir interrompre les actions de l’agent à tout moment
- Conscience de la situation : Le superviseur humain doit comprendre quand l’agent opère en dehors de son champ d’application prévu
- Capacité de dérogation : Les décisions humaines doivent prévaloir sur les décisions de l’agent dans les chemins critiques
2. Explicabilité des décisions agentiques
Lorsqu’un agent IA entreprend une action en plusieurs étapes (par exemple, rechercher un sujet, générer un rapport, envoyer un e-mail à un client), chaque étape de la chaîne doit être explicable et traçable. Les agents ne peuvent pas fonctionner comme des boîtes noires produisant des résultats sans raisonnement vérifiable.
3. Surveillance continue
Contrairement à un modèle ML traditionnel qui fait une seule prédiction, les agents IA fonctionnent en boucles — percevant, raisonnant, agissant. Le système de gestion des risques de la loi (Article 9) exige une surveillance continue du comportement du système en production, avec des boucles de rétroaction alimentant l’évaluation des risques.
Calendrier : Ce qui arrive après le 2 août
| Date | Disposition |
|---|---|
| 2 août 2026 | Obligations de transparence + règles pour les systèmes à haut risque (y compris les agents) |
| 2 août 2027 | Règles pour les systèmes à haut risque qui sont des produits/composants de sécurité (Annexe I) |
| En continu | Obligations pour les modèles d’IA à usage général (GPAI) (déjà en vigueur depuis août 2025) |
L’accord du Digital Omnibus du 7 mai 2026 a ajusté certains délais et précisé que les systèmes d’IA agentiques relèvent du cadre existant pour les systèmes à haut risque — aucune catégorie distincte « IA agentique » n’a été créée.
Plan d’action pratique : 47 jours pour la conformité
Si vous développez ou déployez des agents IA qui servent des utilisateurs européens, voici votre liste de priorités :
Semaine 1-2 : Classification et analyse des écarts
- Déterminez si votre agent est à haut risque (voir les critères ci-dessus)
- Auditez les pratiques actuelles de journalisation et de transparence
- Identifiez les lacunes en matière de gouvernance des données
- Cartographiez la chaîne de décision de votre agent
Semaine 3-4 : Mise en œuvre technique
- Implémentez la divulgation d’interaction avec l’IA (bannière, étiquette ou notification sur les conversations initiées par l’agent)
- Ajoutez l’étiquetage du contenu à toutes les sorties générées par l’IA
- Déployez la journalisation d’audit conforme à l’article 12 (traçabilité de chaque décision autonome)
- Implémentez la supervision humaine (bouton d’arrêt, dérogation, tableau de bord de surveillance)
Semaine 5-6 : Documentation et évaluation
- Rédigez votre documentation de gestion des risques (Article 9)
- Réalisez un audit de gouvernance des données (Article 10)
- Préparez la documentation pour l’évaluation de conformité
- Enregistrez votre système dans la base de données de l’UE (si à haut risque)
Semaine 7 : Tests et déploiement
- Effectuez des tests de conformité sur les systèmes de production
- Formez les superviseurs humains à leurs responsabilités
- Déployez la surveillance et les alertes pour les dérives de conformité
- Établissez un rythme de révision de conformité continu
Le coût de la non-conformité
L’EU AI Act prévoit des sanctions importantes en cas de non-conformité :
| Violation | Amende | Exemple |
|---|---|---|
| Pratiques d’IA interdites | 35 M€ ou 7 % du chiffre d’affaires mondial | Déploiement d’un agent de notation sociale |
| Non-conformité pour système à haut risque | 15 M€ ou 3 % du chiffre d’affaires mondial | Agent sans journalisation d’audit appropriée |
| Violation de la transparence | 7,5 M€ ou 1,5 % du chiffre d’affaires mondial | Absence de divulgation IA sur la sortie de l’agent |
Notez que les amendes sont basées sur le chiffre d’affaires mondial, pas seulement sur les revenus dans l’UE. Une entreprise basée aux États-Unis vendant des logiciels agents dans le monde entier et traitant des données d’utilisateurs de l’UE est soumise aux mêmes sanctions qu’une entreprise européenne.
FAQ
Q : Mon agent IA est utilisé uniquement en interne par mon entreprise. L’EU AI Act s’applique-t-il ? R : Si votre entreprise opère dans l’UE ou traite des données de résidents de l’UE, oui. Les agents à usage interne qui affectent les droits des employés (embauche, évaluation, promotion) sont explicitement couverts.
Q : Qu’en est-il des agents IA open source ? R : La loi s’applique à la fois aux fournisseurs (qui développent et vendent) et aux déployeurs (qui mettent en service). Utiliser un agent open source dans un contexte commercial fait de vous un déployeur avec des obligations de conformité.
Q : Dois-je enregistrer chaque instance de mon agent ? R : Vous enregistrez le système d’IA à haut risque (le modèle/la configuration), pas chaque instance de déploiement. Cependant, des modifications substantielles du système nécessitent une réévaluation.
Q : Que faire si je suis basé hors de l’UE mais que mon agent traite des données d’utilisateurs de l’UE ? R : La loi a un fort effet extraterritorial. Si la sortie de votre agent affecte des résidents de l’UE, vous êtes soumis à la conformité, quel que soit votre emplacement physique.