Le 2 août 2026, les obligations relatives aux systèmes d'IA à risque élevé entrent pleinement en vigueur pour les déployeurs et fournisseurs concernés. À 40 jours de cette échéance, l'enquête Forrester AI Governance in Europe Q2 2026 révèle que 61 % des organisations soumises au règlement ne disposent pas encore d'un registre formalisé de leurs systèmes IA. Le problème n'est pas l'ignorance du texte — la plupart des directions conformité connaissent l'EU AI Act. C'est l'écart entre la lecture du règlement et sa mise en œuvre opérationnelle. Quatre obligations concentrent cet écart — et ce sont précisément celles que les contrôles des autorités nationales compétentes vont examiner en priorité.
J-40 : pourquoi cette deadline est différente des précédentes
L'EU AI Act a été perçu, depuis son adoption, comme un règlement au déploiement progressif — donc gérable. Cette perception a conduit la majorité des organisations à une posture d'observation plutôt que d'action.
Le calendrier réglementaire ne laisse plus d'ambiguïté. Les systèmes d'IA à risque inacceptable sont interdits depuis le 2 février 2025. Les obligations sur les modèles d'IA à usage général (GPAI) — dont les grands modèles de langage déployés en entreprise — sont en vigueur depuis août 2025. Le 2 août 2026 marque l'étape la plus structurante pour les déployeurs : toutes les obligations de l'Article 26 relatives aux systèmes IA à risque élevé deviennent exigibles.
Qui est dans le scope ? Toute organisation qui déploie un système IA classé "à risque élevé" selon l'Annexe III : recrutement et sélection du personnel, évaluation de la solvabilité, priorisation dans les services d'urgence, notation et évaluation en contexte éducatif. Pour les entités financières soumises à DORA, un système IA utilisé en gestion des risques opérationnels ou en détection de fraude est très probablement dans ce périmètre. Les sanctions prévues atteignent jusqu'à 15 M€ ou 3 % du chiffre d'affaires mondial annuel — un niveau comparable aux amendes RGPD les plus lourdes de 2024–2025.
Obligation 1 : tenir un registre interne des systèmes IA à risque élevé
L'Article 26(6) impose aux déployeurs de tenir un registre des systèmes IA à risque élevé qu'ils utilisent, accessible aux autorités nationales sur demande. Ce registre doit mentionner la finalité d'utilisation, l'identité du fournisseur, et les modifications apportées au système.
L'erreur la plus fréquente : déléguer ce registre au fournisseur de la solution IA. L'EU AI Act distingue deux acteurs — le fournisseur (provider), qui développe ou commercialise le système, et le déployeur (deployer), qui l'utilise dans un contexte professionnel. Le déployeur porte ses propres obligations même si le fournisseur est en conformité. Un DRH qui utilise un ATS intégrant de l'IA pour scorer les candidatures est un déployeur de système à risque élevé (Annexe III, point 4). La certification du fournisseur ne couvre pas ses obligations.
Action à 40 jours : conduire un inventaire des outils numériques utilisés en RH, finance et gestion des risques. Interroger formellement les fournisseurs sur la classification EU AI Act de leurs systèmes. Constituer un registre — même simplifié — avec un propriétaire désigné et une date de première mise à jour.
Obligation 2 : mettre en place une supervision humaine effective
L'Article 26(1) impose des "mesures techniques et organisationnelles appropriées" pour garantir une supervision humaine effective des systèmes IA à risque élevé, conformément aux instructions du fournisseur.
L'erreur structurelle : confondre supervision humaine et validation de façade. Un processus où un responsable valide systématiquement la recommandation d'un algorithme en moins de 30 secondes n'est pas une supervision effective — c'est une automatisation avec validation nominale. Les autorités de contrôle examineront la capacité réelle de l'opérateur à comprendre les sorties du système, à les contester et à les neutraliser si nécessaire.
Trois éléments vérifiables sont attendus : une formation documentée des utilisateurs (contenu, date, liste des participants), une procédure de contestation ou de désactivation en cas de sortie anormale, et des preuves d'utilisation effective de cette procédure. Ce dernier point est systématiquement absent dans les premières auto-évaluations que nous observons.
Obligation 3 : informer les personnes concernées
L'Article 26(7) impose aux déployeurs d'informer les personnes physiques exposées à un système IA à risque élevé de cette exposition. La formulation — "dans les cas applicables et dans la mesure du possible" — conduit la plupart des organisations à l'ignorer.
Ce que les autorités comprennent par "applicable" : tout contexte où la décision produite par le système IA affecte significativement une personne physique identifiable — un candidat scoré à l'embauche, un client évalué pour un crédit, un patient dont le dossier est priorisé. Dans ces contextes, l'obligation d'information est réelle, pas facultative.
Cette obligation crée une intersection directe avec l'Article 22 du RGPD (décisions automatisées). Les traiter conjointement évite de dupliquer l'analyse — et d'identifier les cas où les deux règlements imposent des obligations cumulatives.
Obligation 4 : obtenir et conserver la documentation technique du fournisseur
L'Article 26(4) impose aux déployeurs de conserver la documentation technique fournie par le fournisseur et de la mettre à disposition des autorités compétentes sur demande. En cas d'incident, c'est ce document qui établit que vous connaissiez les limites et les cas d'usage prévus du système.
Ce qui manque dans la quasi-totalité des dossiers : les déployeurs n'ont jamais demandé cette documentation à leurs fournisseurs. Les contrats SaaS standards ne la transmettent pas automatiquement. La demander formellement — et documenter la réponse reçue — est à la fois simple et décisif pour la défense de votre dossier lors d'un contrôle.
Action à 40 jours : pour chaque système IA à risque élevé identifié, envoyer une demande formelle de documentation technique à votre fournisseur avec référence explicite à l'Article 26(4) de l'EU AI Act. Conserver la réponse dans votre dossier de conformité.
Ce que vous pouvez encore faire en 40 jours
La priorité n'est pas la conformité parfaite — elle n'est pas atteignable en quelques semaines pour une organisation qui part de zéro. La priorité est de constituer un dossier démontrant une démarche active : inventaire réalisé, risques identifiés, premières mesures déployées, plan daté et approuvé par la direction. Les premières procédures de contrôle EU AI Act attendues d'ici fin 2026 viseront les infractions flagrantes — absence totale de supervision documentée, opacité complète vis-à-vis des personnes concernées. Une organisation qui peut produire son inventaire et ses premières mesures est structurellement dans une position très différente. Presidio intègre la gestion des systèmes IA dans son périmètre GRC natif — voir notre analyse de mai 2026 sur la gouvernance IA et le risque Shadow IA dans vos organisations. Pour un cadrage rapide de votre exposition : 30 minutes suffisent.
Conclusion
À 40 jours du 2 août 2026, trois insights structurent les démarches qui réussissent. L'inventaire avant tout : sans registre des systèmes IA déployés, aucune autre obligation ne peut être adressée sérieusement. La supervision humaine doit être effective, pas nominale — un processus de validation non contestable ne satisfait pas l'Article 26. Et les obligations EU AI Act et RGPD se chevauchent dans les contextes de décision automatisée : les traiter conjointement évite de dupliquer le travail d'analyse.
Les organisations qui arriveront au 2 août avec un inventaire documenté, des mécanismes de supervision formalisés et des mentions d'information à jour ne seront pas parfaitement conformes. Elles seront en position défendable — ce qui, pour cette première génération de contrôles EU AI Act, constitue l'objectif réaliste.