← AmorcAgeEU AI Act : les 10 obligations à connaître avant août 2026
Le 2 août 2026 est la date limite pour les systèmes IA à risque élevé. Voici les dix obligations à avoir en place — et ce qu’elles impliquent concrètement pour votre organisation.
1 et 2 — Classification et registre : le socle de tout
L’EU AI Act impose de tenir un registre documenté de vos systèmes IA et de classifier chacun selon la grille de risque du règlement. Un système est à risque élevé s’il touche au recrutement, au crédit, à l’éducation, aux services publics ou au contrôle des travailleurs.
Le registre documente la finalité du système, son architecture, les données utilisées et les tests conduits. C’est la base de tout audit — sans lui, impossible de répondre à une demande de l’ANSSI ou de la CNIL.
3 et 4 — Documentation technique et évaluation de conformité
La documentation technique couvre la description du système, ses spécifications, ses métriques de performance et ses limites connues. Elle doit être mise à jour à chaque évolution majeure du système.
L’évaluation de conformité peut être conduite en interne pour la plupart des systèmes. Seuls la biométrie et l’infrastructure critique exigent un organisme notifié tiers.
5, 6 & 7 — Gouvernance humaine, transparence et robustesse
Des personnes compétentes doivent pouvoir intervenir, suspendre ou invalider les décisions du système. Cela implique des procédures documentées et des mécanismes d’override.
Les utilisateurs doivent savoir qu’ils interagissent avec une IA et comprendre les décisions qui les concernent. Les systèmes doivent résister aux attaques adversariales et à l’empoisonnement des données.
8, 9 & 10 — Gestion des risques, incidents et formation
La gestion des risques est un processus continu : identification, évaluation, atténuation, réévaluation périodique. Elle doit être formalisée dans une politique documentée accessible aux auditeurs.
Tout incident grave doit être signalé aux autorités. Les opérateurs de systèmes IA doivent suivre une formation documentée avec attestations — souvent la première vérification lors d’un contrôle.
Votre dossier de conformité EU AI Act en 24h
Ces dix obligations forment un système cohérent. Le Pack EU AI Act Certitud les couvre en totalité : T01 Fiche d’Identité IA, T02 Questionnaire de Classification, T03 Registre des Systèmes, plus les modules de gouvernance et de formation. Chaque template s’articule avec les autres pour produire une documentation opposable en cas d’audit.
8, 9 & 10 — Gestion des risques, incidents et formation
Le système de gestion des risques (obligation 8) doit être un processus continu, pas un exercice ponctuel. Il couvre l’identification des risques connus et prévisibles, l’évaluation de leur probabilité et gravité, la mise en place de mesures d’atténuation et la réévaluation périodique. Ce système doit être formalisé dans un document de politique de gestion des risques IA, maintenu à jour et accessible aux auditeurs.
La notification des incidents graves (obligation 9) impose de signaler aux autorités compétentes tout dysfonctionnement sérieux d’un système à risque élevé ayant entraîné ou susceptible d’entraîner un préjudice. L’obligation de formation et de compétence (obligation 10) est souvent sous-estimée : elle implique un programme de formation documenté, des attestations de suivi et une mise à jour périodique pour toutes les personnes responsables de l’exploitation et de la supervision des systèmes IA.
Votre dossier de conformité EU AI Act en 24h
Ces dix obligations forment un système cohérent. Le Pack EU AI Act Certitud les couvre en totalité : T01 Fiche d’Identité IA, T02 Questionnaire de Classification, T03 Registre des Systèmes, plus les modules de gouvernance et de formation. Chaque template s’articule avec les autres pour produire une documentation opposable en cas d’audit. Si le 2 août 2026 approche et que votre dossier n’est pas constitué, c’est maintenant qu’il faut agir.
