AI Act : le calendrier 2026-2027 démêlé — êtes-vous concerné même hors d'Europe ?

L'AI Act européen s'applique pleinement le 2 août 2026. Mais le Digital Omnibus, objet d'un accord provisoire le 7 mai 2026, décale au 2 décembre 2027 les obligations des systèmes à haut risque de l'annexe III. Avec des sanctions pouvant atteindre 35 M€ ou 7 % du chiffre d'affaires mondial, mieux vaut savoir précisément ce qui s'applique, quand — et à qui, y compris hors d'Europe.
Le vrai calendrier, date par date
L'AI Act est entré en vigueur en août 2024, avec une application par étapes. Les interdictions des pratiques à risque inacceptable s'appliquent depuis le 2 février 2025, et les obligations des modèles d'IA à usage général (GPAI) depuis le 2 août 2025. L'échéance structurante reste le 2 août 2026 : l'application complète du règlement, détaillée dans le guide de conformité de Leto et la fiche de la Direction générale des Entreprises.
C'est là qu'intervient la nuance de 2026 : le Digital Omnibus, qui a fait l'objet d'un accord provisoire le 7 mai 2026, décale les obligations des systèmes à haut risque relevant de l'annexe III au 2 décembre 2027, comme le rapporte donneespersonnelles.fr. Attention à la lecture rapide : ce report ne concerne que ces systèmes-là. Le reste du règlement suit son calendrier initial, régime de sanctions compris — jusqu'à 35 M€ ou 7 % du chiffre d'affaires annuel mondial.
Concerné même hors d'Europe ? Oui, dans trois cas
Comme le RGPD avant lui, l'AI Act a un effet extraterritorial. Une entreprise établie hors de l'Union — à Maurice, par exemple — entre dans son champ dès lors que :
- elle met un système d'IA sur le marché européen (vente ou mise à disposition d'un produit ou service intégrant de l'IA à des clients de l'UE) ;
- les résultats produits par son système sont utilisés dans l'Union — un scoring, un tri de candidatures ou une analyse générée à Maurice pour un client européen suffit ;
- elle est sous-traitante d'un acteur européen régulé, qui répercutera contractuellement ses propres obligations, exactement comme le fait NIS2 — un mécanisme que nous décrivons dans « NIS2 : pourquoi votre client européen va vous demander votre PRA ».
Autrement dit : si vos clients sont en Europe, le calendrier ci-dessus est aussi le vôtre, que votre serveur soit à Paris, à Ébène ou à Port-Louis.
Haut risque, risque limité : où se situe votre usage ?
Le règlement est construit sur une pyramide de risques. Au sommet, les pratiques interdites (déjà en vigueur). Ensuite, les systèmes à haut risque — dont ceux de l'annexe III, qui couvre des usages comme le recrutement, l'accès aux services essentiels ou l'éducation : c'est cette catégorie qui bénéficie du report à décembre 2027. En dessous, des obligations de transparence pour les systèmes qui interagissent avec des personnes, comme les chatbots. Enfin, la grande majorité des usages à risque minimal, sans obligation nouvelle.
Le travail de qualification — quel système, quelle catégorie, quel rôle (fournisseur ou déployeur) — est la première tâche concrète, et la plus urgente : c'est elle qui détermine si votre échéance est passée, imminente ou reportée.
L'IA privée et documentée : un raccourci de conformité
Les obligations de l'AI Act convergent vers un même socle : inventaire des systèmes, documentation technique, traçabilité des données d'entraînement et des décisions, journalisation, supervision humaine. Or ce socle est structurellement plus simple à bâtir quand le modèle et les données restent chez vous. Un LLM privé hébergé sur votre infrastructure offre par construction ce qu'une API publique ne peut que promettre : savoir exactement quelles données entrent, ce que le modèle journalise, et où tout cela réside. C'est l'approche que SOVALYX applique à ses déploiements d'IA privée : la documentation de conformité est un sous-produit de l'architecture, pas un chantier séparé. Ce raisonnement vaut d'ailleurs au-delà de l'IA : l'Europe applique la même logique au cloud avec le Cloud and AI Development Act.
Le calendrier en un tableau — et trois actions
| Échéance | Ce qui s'applique |
|---|---|
| 2 février 2025 | Interdiction des pratiques à risque inacceptable |
| 2 août 2025 | Obligations des modèles d'IA à usage général (GPAI) |
| 2 août 2026 | Application complète du règlement ; sanctions jusqu'à 35 M€ ou 7 % du CA mondial |
| 2 décembre 2027 | Obligations des systèmes à haut risque de l'annexe III (report Digital Omnibus, accord provisoire du 7 mai 2026) |
D'ici la fin du trimestre :
- Inventoriez tous les systèmes d'IA utilisés ou fournis, y compris les outils SaaS embarquant de l'IA.
- Qualifiez chaque système (catégorie de risque, rôle de votre entreprise, clients européens ou non).
- Documentez dès maintenant les systèmes qui resteront : données, journaux, supervision humaine — et si vous préférez valider cette qualification avec un tiers, parlez-en à un spécialiste.
Comment SOVALYX peut vous aider
Si vos clients sont européens, SOVALYX peut vous aider à transformer ce calendrier en plan d'action : un diagnostic infrastructure & IA inventorie vos systèmes d'IA et qualifie leur exposition à l'AI Act. Nos LLM privés internes, hébergés sur un cloud privé à Maurice, offrent par construction la traçabilité attendue — vous savez quelles données entrent, ce qui est journalisé et où tout réside, et aucun contenu ne part vers une IA publique. La supervision 24/7 sous SLA et un PRA automatisé et testé complètent le dossier que vos clients régulés vous demanderont.
Parler IA privée avec un ingénieur🧰 L'outil qui va avec : Êtes-vous prêt pour l'AI Act ? — gratuit · 2 minutes.
Relu et optimisé par IA.