Le 2 août 2026, les obligations sur les systèmes d'IA à haut risque définies à l'Annexe III du règlement entrent en vigueur. La Finlande est le premier État membre opérationnel pour la sanction depuis janvier. Les autres autorités nationales activent au fil du semestre. La France n'a pas encore désigné l'autorité unique de contrôle ; on attend une décision interministérielle avant juin.
Qu'est-ce qu'un système « à haut risque »
L'Annexe III couvre huit catégories. Les plus susceptibles de toucher une PME française : (1) recrutement et gestion RH (tout outil de tri de CV, scoring de candidat, évaluation de performance), (2) accès à des services essentiels (scoring de crédit, assurance, prestations sociales), (3) éducation (notation, attribution d'établissement), et (4) services publics.
Si vous utilisez un LLM via API pour trier des candidatures, vous êtes déployeur d'un système à haut risque. Le fait que le modèle soit OpenAI, Mistral ou Claude ne change rien : c'est l'usage qui qualifie.
Sanctions et précédents
« Le problème n°1 des entreprises n'est pas la documentation. C'est qu'une part significative de leurs déploiements IA est totalement invisible à la direction conformité. »
Notre checklist 5 mois
Mai. Recensement exhaustif. Tout outil utilisé en interne, même Slack, même un GPT custom de stagiaire, va dans le tableau. Juin. Classification : interdit / haut risque / risque limité / risque minimal. Juillet. Documentation des systèmes haut-risque (logs, supervision humaine, robustesse, transparence). 1er août. On clôt et on archive.
Verdict
L'AI Act n'est pas une option. Pour la moitié des PME que nous accompagnons, le choix d'un fournisseur souverain — Mistral via Outscale SecNumCloud, par exemple — divisera par trois la charge de mise en conformité. Pas parce que le règlement l'impose, mais parce que la documentation existe déjà côté fournisseur. Avantage compétitif, en attendant.