Le 12 juillet 2024, l'EU AI Act était publié au Journal Officiel de l'Union Européenne. Depuis, les directions conformité ont noté le 2 août 2026 dans leurs agendas. Peu ont lancé le chantier de fond. Dans 89 jours, les obligations applicables aux systèmes d'IA à haut risque entrent en vigueur. La fenêtre restante n'est plus suffisante pour construire un programme depuis zéro — elle est juste suffisante pour ne pas être en retard critique dès le premier jour d'inspection.
Ce que le 2 août 2026 déclenche concrètement
L'EU AI Act suit un calendrier gradué depuis son entrée en vigueur le 1er août 2024. Les interdictions des pratiques d'IA inacceptables (notation sociale généralisée, manipulation subliminale, exploitation de vulnérabilités — Art. 5) s'appliquaient depuis le 2 février 2025. Les obligations de littéracie IA et les règles pour les modèles d'IA à usage général (GPAI) depuis le 2 août 2025. Le 2 août 2026, c'est la troisième marche : les obligations complètes pour les systèmes d'IA à haut risque au sens de l'Annexe III.
L'Annexe III définit huit catégories de systèmes à haut risque : identification biométrique, gestion d'infrastructures critiques, éducation et formation professionnelle, recrutement et gestion RH, accès aux services essentiels publics et privés (crédit, assurance, santé), maintien de l'ordre, gestion des migrations et de l'asile, administration de la justice. Si votre organisation utilise ou déploie un système d'IA dans l'une de ces catégories — qu'il soit développé en interne, acheté sur étagère ou loué via un SaaS — vous entrez dans le scope.
Les orientations préparatoires de l'AI Office indiquent que 35 à 40 % des organisations européennes dans le scope des obligations Annexe III n'ont pas encore réalisé leur inventaire IA. Ce n'est pas une estimation généreuse.
L'analyse provider vs. deployer : l'angle mort le plus coûteux
La première décision structurante de votre mise en conformité EU AI Act est la suivante : êtes-vous provider ou deployer d'un système à haut risque ? La distinction détermine l'étendue de vos obligations — et la majorité des équipes conformité la traitent trop rapidement.
Le provider (Art. 3(3)) est l'entité qui développe et place un système d'IA sur le marché ou le met en service sous son propre nom. Le deployer (Art. 3(4)) est toute entité utilisant un système sous l'autorité d'un provider. Les obligations du provider incluent le système de management des risques continu (Art. 9), la documentation technique Annexe IV (Art. 11), la journalisation automatisée (Art. 12), et l'enregistrement dans la base EU AI Act (Art. 49). Les obligations du deployer (Art. 26) sont plus légères — mais incluent la supervision humaine effective, la transparence envers les utilisateurs finaux, et pour certains traitements, une analyse d'impact sur les droits fondamentaux.
L'erreur systémique observée en mission : une ETI qui utilise un outil de scoring de candidats développé par un éditeur externe, mais qui a customisé substantiellement le modèle avec ses propres données RH, peut se voir qualifiée de provider plutôt que de deployer. Les orientations de l'AI Office (novembre 2025) précisent qu'un fine-tuning significatif ou une couche de décision propriétaire sur un modèle tiers peut requalifier votre statut. Cette requalification double vos obligations de conformité en quelques semaines.
L'erreur à éviter : supposer que vous êtes deployer parce que vous n'avez pas "développé" le modèle. L'analyse doit examiner chaque système d'IA en scope cas par cas. Le critère déterminant est votre degré de personalisation et votre rôle dans la chaîne de valeur.
La documentation technique Annexe IV : l'obligation la plus vérifiable
Pour les providers de systèmes à haut risque, l'article 11 impose une documentation technique conforme à l'Annexe IV. Elle doit exister avant que le système soit mis en service et être maintenue à jour. Ce n'est pas la fiche technique de votre fournisseur. C'est votre propre documentation sur le système tel que vous l'utilisez : description de ses capacités et limites, données d'entraînement, mesures de supervision humaine, système de management des risques, métriques de performance et leurs limites connues.
Les contrôles préliminaires menés par les autorités nationales compétentes sur des systèmes en production avant août 2026 révèlent un constat préoccupant : 80 à 90 % des organisations entrant dans le scope provider ne disposent pas d'une documentation Annexe IV opérationnelle. Elle "existe" souvent sous une forme fragmentée — une partie dans les contrats fournisseurs, une partie dans des fiches projet, une partie nulle part. Elle ne constitue pas un document conforme Art. 11.
Le délai réaliste pour créer cette documentation en partant d'un état fragmenté : 4 à 6 semaines pour un seul système, avec les équipes techniques et juridiques mobilisées. Si vous avez trois systèmes en scope et 89 jours, la fenêtre est serrée — mais faisable si le chantier commence cette semaine.
Application pratique : commencez par l'inventaire. Pour chaque système d'IA déployé, répondez à ces trois questions : entre-t-il dans une des 8 catégories Annexe III ? Êtes-vous provider ou deployer ? Avez-vous une documentation Art. 11 ? Les réponses définissent votre priorité des 90 prochains jours.
La supervision humaine effective : ce que Art. 14 vérifie vraiment
L'article 14 du EU AI Act impose que les systèmes d'IA à haut risque intègrent des mesures permettant aux superviseurs humains de comprendre les capacités et limites du système, de détecter les défaillances, de déroger à ses sorties, et de l'interrompre. La conformité de façade qui sera sanctionnée : cocher "human in the loop" dans la documentation alors que le processus opérationnel alloue 4 secondes à l'analyste pour "valider" une décision algorithmique complexe.
Une étude ENISA publiée en 2025 sur les systèmes d'IA en production dans les secteurs réglementés montre que 73 % des systèmes déclarés "avec supervision humaine" n'avaient pas de mécanisme de contestation formalisé — la supervision était nominale, pas effective. Les orientations de l'AI Office de décembre 2025 sur l'évaluation de la supervision humaine précisent que les indicateurs incluent le temps alloué à la révision, la formation des superviseurs, et l'existence d'un mécanisme de contestation documenté et utilisable. Art. 14 requiert la capacité effective, pas la case cochée.
Évaluer votre périmètre de conformité
Le programme minimal viable de conformité EU AI Act pour les 3 mois restants se structure en trois phases. Semaines 1-2 : inventaire et qualification — lister tous les systèmes d'IA déployés, les qualifier par catégorie Annexe III, déterminer le statut provider/deployer. Semaines 3-8 : documentation et contrôles — créer ou compléter la documentation Art. 11 pour les systèmes qualifiés provider, formaliser les mesures de supervision Art. 14, lancer l'enregistrement dans la base EU AI Act le cas échéant. Semaines 9-12 : tests et validation — vérifier le système de management des risques Art. 9, valider l'adéquation de la journalisation Art. 12, former les équipes opérationnelles.
Valtieri accompagne les organisations dans la qualification de leur inventaire IA et la préparation documentaire EU AI Act — avec une gouvernance IA intégrée dans la même conversation que la posture cyber et la conformité NIS2/DORA. 30 minutes pour qualifier votre périmètre. Voir aussi : pourquoi l'approche compliance-first crée plus de risque et les 3 piliers silencieux RGPD.
Conclusion
Trois insights à retenir : la distinction provider vs. deployer détermine l'étendue de vos obligations et doit être analysée système par système, pas supposée ; la documentation technique Annexe IV est l'obligation la plus souvent absente — et la plus vérifiable lors d'un contrôle ; la supervision humaine effective ne se démontre pas par une case cochée, mais par un processus opérationnel où la contestation d'une décision algorithmique est réellement possible et documentée.
Les organisations qui seront conformes le 2 août 2026 sans crise ne sont pas celles qui ont attendu la deadline — ce sont celles qui ont lancé l'inventaire avant la fin du deuxième trimestre. Pour les autres, 89 jours suffisent pour ne pas être en retard critique au jour J, à condition de commencer maintenant.
Et dans votre contexte : avez-vous un inventaire des systèmes d'IA déployés dans votre organisation, et savez-vous lesquels sont dans le scope Annexe III ? Si la réponse est non, c'est votre première action. Parlons-en.