Kiteworks

Enabling Zero Trust Data Exchange in One Platform

Free Trial EXPLORER KITEWORKS
Home > Blog Sécurité et Conformité > Non classifié(e) > La date limite du 2 août 2026 pour l’AI Act européen approche dans six semaines. La plupart des organisations ne sont pas prêtes.

La date limite du 2 août 2026 pour l’AI Act européen approche dans six semaines. La plupart des organisations ne sont pas prêtes.

par Marc ten Eikelder updated juin 23, 2026 Conformité réglementaire
temps de lecture: 17 minutes

Dans six semaines, les obligations de conformité au règlement européen sur l’IA pour les systèmes d’IA à haut risque entreront en vigueur. Les articles 9 à 17 et l’article 26 du règlement européen sur l’IA, qui encadrent les déployeurs de systèmes d’IA à haut risque listés à l’annexe III, deviendront applicables à compter du 2 août 2026. Les sanctions peuvent être lourdes : jusqu’à 15 millions d’euros ou 3 % du chiffre d’affaires mondial, le montant le plus élevé étant retenu. Pour la plupart des entreprises de taille moyenne ou grande, il ne s’agit pas d’une amende négligeable.

Un accord politique conclu par les législateurs européens le 7 mai 2026 a laissé entrevoir une volonté d’ajuster certains calendriers de mise en œuvre. Certaines organisations y ont vu un feu vert pour suspendre leur programme de conformité. Cette interprétation est risquée sur le plan juridique. En juin 2026, l’accord du 7 mai n’a toujours pas force de loi. Le 2 août reste la date de référence. Les organisations qui attendent la finalisation du nouveau calendrier législatif risquent de se retrouver à l’échéance sans disposer des contrôles, de la documentation ou de la gouvernance exigés par la loi.

Le déficit de conformité est réel et mesurable. Seules 37 % des organisations disposent de règles de gouvernance de l’IA, selon une étude publiée en juin 2026. Parallèlement, plus de 80 % des employés utilisent des outils d’IA non approuvés, un phénomène que les experts en sécurité appellent shadow IT. Cette combinaison – adoption massive de l’IA sans gouvernance – est précisément le scénario que les régulateurs européens cherchent à encadrer avec les obligations imposées aux déployeurs. C’est aussi une situation qui expose simultanément à des risques au titre de nouvelles lois américaines.

Pour les organisations actives dans les secteurs juridique, financier, des sciences de la vie, de l’emploi et autres où les systèmes d’IA de l’annexe III sont utilisés, les six prochaines semaines ne sont pas une période d’attente. C’est un sprint vers la conformité. Cet article détaille les exigences légales, les points de blocage fréquents et les actions à mener avant le 2 août.

Résumé des points clés

1. Le 2 août 2026 reste la date limite applicable

L’accord politique européen du 7 mai 2026 sur la révision des calendriers n’a pas force de loi – le 2 août reste la date de référence pour les déployeurs de systèmes d’IA à haut risque de l’annexe III, avec des sanctions pouvant atteindre 15 millions d’euros ou 3 % du chiffre d’affaires mondial.

2. Le shadow AI est déjà une fuite de données, pas un risque futur

Plus de 80 % des employés utilisent des outils d’IA non approuvés, et les documents juridiques représentent 22,3 % des données sensibles qui fuient par ces canaux, exposant ainsi à la fois au règlement européen sur l’IA et à des violations de données.

3. La loi sur l’IA du Colorado est déjà en vigueur

Le Colorado est le premier État américain à imposer des obligations explicites aux déployeurs d’IA à haut risque depuis le 1er juin 2026 – un programme de conformité centré sur l’Europe qui ignore la législation américaine n’est donc pas suffisant.

4. La supervision humaine et la journalisation exigent une infrastructure technique, pas seulement des règles

L’article 26 impose la mise en place de contrôles opérationnels de supervision humaine et une journalisation automatique des événements à un niveau de granularité adapté – les déclarations d’intention et la documentation ne suffisent pas.

5. Les incidents de shadow AI entraînent un surcoût moyen de 670 000 $ par violation

Le coût financier de la fermeture des canaux de shadow AI est quantifiable : 670 000 $ de surcoût moyen par violation et un délai moyen de détection de 247 jours font de la gouvernance de l’IA un enjeu de gestion des risques financiers.

Quelles normes de conformité des données sont importantes ?

Pour en savoir plus :

Ce que le règlement européen sur l’IA exige réellement des déployeurs

Le règlement européen sur l’IA distingue les fournisseurs (ceux qui développent ou mettent sur le marché des systèmes d’IA) et les déployeurs (ceux qui utilisent l’IA dans un contexte professionnel). La plupart des entreprises sont des déployeurs. Les obligations pour les déployeurs de systèmes d’IA à haut risque de l’annexe III sont importantes et très opérationnelles.

L’article 26 impose la mise en œuvre de mesures de supervision humaine, l’utilisation des systèmes d’IA conformément aux instructions du fournisseur, la surveillance du fonctionnement du système et la déclaration des incidents graves à l’autorité compétente. Ce ne sont pas des objectifs théoriques. Ce sont des exigences opposables, assorties d’une traçabilité documentaire.

Les articles 9 à 17 ajoutent des exigences qui impactent directement la gestion de la gouvernance des données pour les systèmes d’IA. L’article 10 impose des pratiques de gouvernance des données adaptées, incluant des critères de qualité, des processus de préparation des données et des mesures pour traiter les biais potentiels. Cela concerne tout particulièrement les systèmes d’IA utilisés dans le recrutement, le crédit, l’éducation, le maintien de l’ordre et l’accès aux services essentiels, tous listés à l’annexe III.

Les obligations de transparence de l’article 13 exigent que les systèmes d’IA à haut risque soient conçus pour permettre aux déployeurs d’interpréter les résultats, et que les informations soient transmises sous une forme permettant un usage éclairé. L’article 12 impose une journalisation automatique des événements tout au long du cycle de vie du système, avec une granularité adaptée à l’usage. Si votre organisation ne peut pas produire un journal d’audit complet retraçant la prise de décision d’un système d’IA de l’annexe III, vous n’êtes pas conforme.

La structure des sanctions montre à quel point les régulateurs européens prennent ces exigences au sérieux. Jusqu’à 15 millions d’euros ou 3 % du chiffre d’affaires mondial pour non-conformité aux obligations des déployeurs, soit le même niveau que les violations graves de la conformité RGPD. Les organisations qui ont déjà géré la conformité RGPD reconnaîtront le schéma : sous-investir dans l’infrastructure de conformité au départ conduit à des remédiations coûteuses par la suite.

Comprendre l’annexe III : quels systèmes d’IA sont concernés ?

L’annexe III du règlement européen sur l’IA recense huit catégories de systèmes d’IA à haut risque. Identifier celles qui s’appliquent à votre organisation est le point de départ de tout programme de conformité, et beaucoup découvriront que leur exposition à l’annexe III est plus large qu’ils ne le pensaient.

Les huit catégories sont : systèmes d’identification et de catégorisation biométriques ; systèmes d’IA utilisés dans la gestion des infrastructures critiques (énergie, eau, transport, infrastructures numériques) ; systèmes d’IA pour l’éducation et la formation professionnelle (admission, notation, surveillance, évaluation des apprentissages) ; systèmes d’IA pour la gestion de l’emploi et des travailleurs (recrutement, présélection, évaluation des performances, répartition des tâches) ; systèmes d’IA déterminant l’accès à des services privés ou publics essentiels et à des prestations (évaluation de la solvabilité, analyse du risque d’assurance, priorisation des secours) ; IA pour les forces de l’ordre (analyse de risque, criminalistique, évaluation de preuves) ; IA pour la migration, l’asile et le contrôle aux frontières ; et systèmes d’IA utilisés dans l’administration de la justice et les processus démocratiques (aide à la recherche pour les tribunaux, outils d’intégrité électorale).

Pour la plupart des entreprises moyennes ou grandes, les catégories emploi et services financiers sont les points d’exposition les plus fréquents à l’annexe III. Le tri automatisé de CV, les outils de planification d’entretiens avec classement des candidats, les systèmes d’évaluation des performances intégrant des scores algorithmiques et les modèles d’évaluation de la solvabilité sont tous concernés. Les équipes juridiques, RH et financières ayant déployé des outils d’IA sans programme formel de gouvernance des données IA doivent traiter ce sujet en priorité.

Les secteurs de l’éducation et de la santé présentent des enjeux supplémentaires. Les systèmes d’IA utilisés pour l’imagerie médicale, l’aide à la décision clinique, la recommandation de traitements ou la stratification des risques patients peuvent être considérés comme à haut risque selon l’annexe III, selon leur usage précis et l’impact de leurs résultats sur les décisions cliniques. Les établissements concernés doivent réaliser leur analyse de périmètre annexe III avec l’appui de juristes maîtrisant à la fois les définitions du règlement européen sur l’IA et leur propre cadre réglementaire sectoriel.

L’article 10 sur la gouvernance des données : l’exigence la plus opérationnelle

Parmi les exigences des articles 9 à 17, l’article 10 est souvent le plus difficile à appliquer. Il impose que les jeux de données d’entraînement, de validation et de test respectent des critères de qualité adaptés à l’objectif du système, fassent l’objet de pratiques de gouvernance appropriées, soient examinés pour détecter d’éventuels biais, et soient complets et dotés des propriétés statistiques requises pour l’usage visé.

Pour les organisations qui n’ont pas développé leurs systèmes d’IA en interne – ce qui est le cas de la plupart des déployeurs –, la conformité à l’article 10 passe en partie par la diligence fournisseur et la documentation, plutôt que par un contrôle direct sur l’entraînement des modèles. Les déployeurs doivent obtenir de leurs fournisseurs d’IA une documentation technique répondant aux exigences de l’article 10, et la compléter par leur propre documentation sur la configuration du système, les données fournies en entrée et les évaluations de biais menées dans leur contexte d’utilisation spécifique.

L’article 10 a aussi une dimension continue : il ne s’agit pas d’une certification ponctuelle. À mesure que les systèmes d’IA évoluent, que les fournisseurs publient des mises à jour de modèles et que les usages changent, la documentation de gouvernance des données doit être actualisée pour refléter l’état du déploiement. Appliquer le principe de minimisation des données en entrée des systèmes d’IA est un premier pas concret – limiter les données au strict nécessaire réduit à la fois le risque de biais et l’exposition des données.

Le problème du shadow AI complique la conformité

Le principal obstacle structurel à la conformité au règlement européen sur l’IA pour la plupart des entreprises est le shadow AI : l’utilisation d’outils d’IA non approuvés et non gouvernés par des employés qui n’attendent pas la mise en place d’une stratégie officielle. Les recherches de juin 2026 illustrent l’ampleur du problème. Plus de 80 % des employés utilisent des outils d’IA non approuvés. Seules 37 % des organisations disposent de règles de gouvernance de l’IA. Cet écart – 80 % d’adoption contre 37 % de couverture par la gouvernance – est le cœur de l’exposition réglementaire.

Les schémas de fuite de données liés au shadow AI sont précis et préoccupants. Le code source représente 30 % des contenus copiés dans des outils d’IA non approuvés. Les documents juridiques, 22,3 %. Les données de fusions-acquisitions, 12,6 %. Il ne s’agit pas de catégories peu sensibles. Les documents juridiques sont précisément le type de contenus que la gouvernance des données IA vise à protéger. C’est aussi la catégorie qui commence à attirer l’attention des tribunaux sur l’usage de l’IA. La classification des données est le contrôle de base qui permet d’identifier les contenus à ne jamais faire transiter par des canaux d’IA non approuvés.

WilmerHale a rapporté en février 2026 que les tribunaux commencent à tenir les avocats responsables des hallucinations générées par l’IA dans les actes juridiques. Lorsque des avocats utilisent des outils d’IA non approuvés pour rédiger des actes et que ceux-ci contiennent des références inventées, la conséquence n’est pas qu’une question de réputation. Il s’agit de sanctions, de risques de faute professionnelle et, de plus en plus, d’une attention accrue à la gouvernance de l’IA au sein du cabinet. L’intersection entre shadow AI, documents juridiques et contrôle réglementaire fait de la gouvernance de l’IA un enjeu institutionnel, et non un simple sujet IT.

L’argument financier pour fermer les canaux de shadow AI est tout aussi clair. Les organisations victimes de violations liées à l’IA supportent en moyenne 670 000 $ de coûts additionnels. Le délai moyen de détection d’un incident de shadow AI est de 247 jours. Ces deux chiffres convergent vers la même conclusion : le shadow AI n’est pas un problème théorique de gouvernance. C’est un coût qui se matérialisera dans les huit prochains mois pour les organisations qui n’agissent pas dès maintenant.

Pour fermer les canaux de shadow AI, il faut d’abord savoir quels outils d’IA les employés utilisent réellement, mettre en place des contrôles pour faire transiter les données sensibles par des systèmes approuvés, et proposer une infrastructure de partage sécurisé de fichiers Kiteworks qui offre une alternative gouvernée et réellement utilisée. Si l’option approuvée est contraignante et l’option non approuvée sans friction, les employés continueront à choisir la solution non approuvée, quelle que soit la politique en place.

La loi sur l’IA du Colorado crée une exposition parallèle aux États-Unis

La conformité au règlement européen sur l’IA n’était pas la seule échéance du premier semestre 2026. La loi sur l’intelligence artificielle du Colorado est entrée en vigueur le 1er juin 2026, faisant du Colorado le premier État américain à imposer des obligations explicites aux déployeurs de systèmes d’IA à haut risque. Pour les organisations déjà engagées dans la conformité au règlement européen, la loi du Colorado crée une piste parallèle, fondée sur des concepts proches mais avec des modalités d’application différentes.

La loi du Colorado impose un devoir de diligence aux déployeurs de systèmes d’IA à haut risque, défini comme la protection des consommateurs contre la discrimination algorithmique. Elle impose des évaluations d’impact sur les biais avant le déploiement et des réévaluations régulières. Elle exige des notifications de transparence aux consommateurs lorsque l’IA à haut risque influence des décisions importantes les concernant. Enfin, elle impose de maintenir une documentation de gouvernance prouvant le respect de ces obligations.

Le chevauchement conceptuel avec le règlement européen sur l’IA est important. Les deux régimes imposent de documenter les systèmes d’IA, d’évaluer les risques, de mettre en place une supervision humaine et d’être transparents avec les personnes concernées. Les organisations qui construisent une infrastructure de conformité pour l’un trouveront qu’elle s’applique en grande partie à l’autre. Les mêmes cadres de gouvernance des données, les mêmes pratiques de journalisation et les mêmes mécanismes de supervision sont transposables.

En pratique, pour les organisations ayant des activités aux États-Unis, la gouvernance de l’IA n’est plus un sujet purement européen. Le Colorado ne sera pas le dernier État américain à légiférer sur les obligations des déployeurs d’IA à haut risque. Concevoir un programme de conformité qui prend le règlement européen comme socle, et qui peut s’étendre aux lois américaines sur la protection des données, est un investissement plus pérenne que de bâtir deux programmes distincts.

L’articulation du règlement européen sur l’IA avec les cadres de conformité existants

Pour les organisations déjà engagées dans la conformité RGPD, HIPAA, NIS2 ou DORA, le règlement européen sur l’IA n’est pas un domaine entièrement nouveau. Il étend des obligations sur lesquelles beaucoup ont déjà investi. Savoir où l’infrastructure de conformité existante recoupe les exigences du règlement européen accélère la mise en conformité et évite les doublons.

Règlement européen sur l’IA et RGPD

Le lien entre le règlement européen sur l’IA et la conformité RGPD est le recoupement le plus important pour les organisations européennes. Les deux textes encadrent la gestion des données personnelles, imposent la proportionnalité dans le traitement et exigent la documentation des activités. Le processus d’analyse d’impact sur la protection des données (AIPD) du RGPD, obligatoire pour les traitements à haut risque, est conceptuellement aligné avec les évaluations de risques prévues à l’article 9 du règlement sur l’IA. Les organisations disposant de processus AIPD matures peuvent étendre cette méthodologie à l’évaluation des risques IA sans repartir de zéro.

L’article 22 du RGPD – qui encadre la prise de décision automatisée et accorde aux personnes des droits sur les décisions prises uniquement par des moyens automatisés – est directement pertinent pour les systèmes d’IA de l’annexe III produisant des résultats à impact. Les organisations ayant mis en place une infrastructure de conformité à l’article 22, incluant des processus de revue humaine et des workflows de réponse aux droits individuels, ont une longueur d’avance sur les exigences de supervision humaine de l’article 26 du règlement sur l’IA. Les formats de documentation diffèrent, mais les contrôles opérationnels sont largement similaires.

Le principal écart entre la conformité RGPD et celle au règlement européen sur l’IA concerne la journalisation technique et l’évaluation des biais. Le RGPD n’impose pas la journalisation automatique et détaillée exigée par l’article 12, ni les critères de qualité des données de l’article 10. Ce sont les domaines où la conformité au règlement européen sur l’IA nécessite des investissements supplémentaires par rapport aux programmes RGPD existants.

Règlement européen sur l’IA et NIS2

La conformité NIS2 impose des obligations de gestion des risques cyber et de déclaration d’incidents aux opérateurs de services essentiels et entités importantes. Ces deux catégories d’obligations sont très proches des exigences du règlement européen sur l’IA. L’exigence NIS2 de mettre en place des mesures techniques et organisationnelles appropriées et proportionnées pour gérer les risques cyber s’applique naturellement aux systèmes d’IA traitant des données sensibles ou influençant des services critiques.

L’obligation NIS2 de déclaration d’incidents – signalement initial sous 24 h et complet sous 72 h – fait écho à l’exigence de l’article 26 du règlement européen sur l’IA de signaler les incidents graves impliquant des systèmes d’IA de l’annexe III. Les organisations ayant mis en place des chaînes de détection et de déclaration d’incidents pour la conformité NIS2 peuvent les étendre aux catégories d’incidents propres à l’IA. Disposer d’un plan de réponse aux incidents couvrant explicitement les défaillances et usages abusifs des systèmes d’IA est indispensable pour répondre aux exigences NIS2 et règlement européen sur l’IA.

Le point d’intégration pratique est la gestion du registre des risques. Les organisations disposant de registres de risques NIS2 matures doivent y ajouter les systèmes d’IA de l’annexe III, documenter les risques spécifiques à chaque système et cartographier les contrôles NIS2 existants avec les obligations du règlement européen sur l’IA qu’ils couvrent. Les écarts concernent généralement la granularité de la journalisation, la documentation des biais et les workflows de supervision humaine propres à l’IA.

Règlement européen sur l’IA et DORA

Les entreprises de services financiers engagées dans la conformité DORA ont des exigences de gestion des risques TIC parmi les plus rigoureuses. Les exigences DORA en matière d’inventaire des actifs TIC, d’évaluation des risques, de gestion des fournisseurs tiers et de déclaration d’incidents créent une infrastructure de conformité qui s’articule bien avec les obligations des déployeurs du règlement européen sur l’IA.

Les exigences DORA concernant les fournisseurs TIC tiers sont particulièrement pertinentes. Les institutions financières soumises à DORA doivent diligenter leurs fournisseurs TIC, y compris les fournisseurs d’outils d’IA, et maintenir des clauses contractuelles garantissant l’accès, l’auditabilité et les droits de sortie. Ce cadre de diligence, appliqué aux fournisseurs d’IA, soutient directement les exigences de documentation technique de l’article 10 et de journalisation de l’article 12 du règlement européen sur l’IA. Le processus de diligence DORA fournit un mécanisme structuré pour obtenir la documentation technique côté fournisseur exigée par le règlement européen sur l’IA.

Règlement européen sur l’IA et HIPAA

Les établissements de santé engagés dans la conformité HIPAA ont des exigences de gouvernance des données et de contrôle d’audit qui recoupent plusieurs obligations du règlement européen sur l’IA. La norme HIPAA sur le contrôle d’audit (45 CFR § 164.312(b)) impose la mise en place de mécanismes matériels, logiciels et procéduraux pour enregistrer et examiner l’activité des systèmes d’information contenant ou utilisant des informations médicales protégées électroniques. Appliquée aux systèmes d’IA traitant des informations médicales protégées, cette exigence couvre l’essentiel de la journalisation demandée à l’article 12.

L’exigence HIPAA d’analyse des risques (45 CFR § 164.308(a)(1)) – obligation de conduire une évaluation précise et complète des risques et vulnérabilités pour la confidentialité, l’intégrité et la disponibilité des informations médicales protégées électroniques – fournit une méthodologie transposable aux exigences de gestion des risques de l’article 9 du règlement européen sur l’IA. Les établissements de santé ayant mené des analyses de risques approfondies pour des outils cliniques assistés par IA sont bien placés pour étendre cette analyse aux standards européens.

L’écart spécifique pour les établissements de santé concerne l’évaluation des biais. HIPAA n’impose pas d’évaluer les biais des outils d’IA cliniques. L’article 10 du règlement européen sur l’IA s’applique directement aux systèmes d’IA utilisés en santé considérés comme à haut risque selon l’annexe III, il faut donc ajouter une méthodologie d’évaluation des biais aux cadres de conformité existants.

Construire l’infrastructure technique nécessaire à la conformité

Les obligations réglementaires se traduisent in fine par des contrôles techniques. Les exigences des déployeurs à l’article 26 du règlement européen sur l’IA ne peuvent pas se satisfaire de simples documents de politique. Il faut une infrastructure : systèmes de journalisation capturant les décisions de l’IA avec la granularité requise, contrôles de gouvernance des données pour garantir qualité et absence de biais, mécanismes de supervision humaine intégrés aux workflows, et chaînes de déclaration d’incidents capables de remonter les incidents graves aux régulateurs dans les délais imposés.

Les principes de la Zero trust architecture s’appliquent directement à la gouvernance de l’IA. De même que le zero trust impose de ne faire confiance à aucun acteur réseau par défaut et de vérifier tous les accès en continu, la gouvernance de l’IA impose de surveiller toutes les interactions avec les données sensibles et de tracer tous les résultats générés par l’IA ayant un impact. Le principe est le même : vérifier en continu, tout journaliser, partir du principe que tout canal non surveillé sera exploité tôt ou tard. Associer les principes zero trust à des contrôles ABAC limitant l’accès des systèmes d’IA selon le rôle utilisateur et la sensibilité du contenu permet de répondre aux exigences de supervision humaine de l’article 26.

Pour les organisations qui font transiter des données sensibles via des systèmes d’IA, une infrastructure de transfert sécurisé de fichiers offre un canal gouverné pour les échanges liés à l’IA. Lorsque les systèmes d’IA doivent recevoir des données d’entraînement, échanger des entrées/sorties d’inférence ou transmettre des résultats à d’autres systèmes, ces échanges doivent passer par des canaux surveillés, journalisés et contrôlés par des règles, et non par des intégrations ad hoc contournant la gouvernance.

L’articulation avec les cadres réglementaires adjacents est importante ici. Les organisations soumises à des obligations de conformité NIS2 disposent déjà de chaînes de déclaration d’incidents et de gestion des risques qui recoupent fortement les exigences du règlement européen sur l’IA. Les entreprises de services financiers engagées dans la conformité DORA disposent de cadres de gestion des risques TIC extensibles à l’IA. Les établissements de santé engagés dans la conformité HIPAA ont des exigences de gouvernance des données et d’audit alignées sur les articles 10 et 12. S’appuyer sur l’infrastructure existante est plus rapide que de repartir de zéro.

Les fonctions gouvernance de l’IA et IA conforme de Kiteworks répondent directement à l’obligation de gouvernance des données de l’article 10, en proposant un canal gouverné pour l’IA traitant des données sensibles. Kiteworks dispose de l’autorisation FedRAMP (niveau Modéré), de la certification CMMC niveau 2, et prend en charge les exigences de conformité HIPAA, NIS2 et DORA. L’infrastructure conforme aux contrôles FedRAMP les plus stricts répond aussi aux exigences de journalisation, de gouvernance des données et de supervision du règlement européen sur l’IA – vérifiée par des tiers, et non auto-déclarée. Le tableau de bord RSSI offre aux équipes sécurité et conformité une visibilité en temps réel sur les données auxquelles les systèmes d’IA accèdent dans l’organisation, permettant de détecter toute activité IA anormale avant qu’elle ne devienne un incident à déclarer.

Six semaines : une checklist pratique pour être prêt

Six semaines suffisent pour progresser concrètement, à condition de bien hiérarchiser les priorités. Voici la séquence que les régulateurs examineront le 2 août.

  1. D’abord, recensez vos systèmes d’IA de l’annexe III. Impossible de gouverner ce que vous n’avez pas identifié. L’annexe III couvre les systèmes d’IA utilisés pour l’identification biométrique, les infrastructures critiques, l’éducation, l’emploi, les services essentiels, le maintien de l’ordre, la migration et la justice. Si votre organisation utilise l’IA dans l’un de ces domaines, ces systèmes sont concernés.

  2. Ensuite, auditez vos contrôles de gouvernance des données pour ces systèmes. L’article 10 impose des pratiques de gouvernance adaptées. Documentez vos sources de données d’entraînement, vos critères de qualité et votre méthodologie d’évaluation des biais. Si vous ne pouvez pas produire cette documentation, c’est votre priorité absolue.

  3. Puis, évaluez votre infrastructure de journalisation et d’auditabilité. L’article 12 impose une journalisation automatique des événements à la granularité adéquate. Extrayez un journal d’audit d’un de vos systèmes d’annexe III dès aujourd’hui. Si vous ne pouvez pas produire un journal complet et horodaté retraçant la prise de décision, votre infrastructure de journalisation nécessite une attention immédiate.

  4. Quatrièmement, documentez vos mécanismes de supervision humaine. L’article 26 exige que la supervision humaine soit effective, pas seulement décrite dans une politique. Cartographiez les étapes précises du workflow où les humains valident les résultats de l’IA avant toute décision importante.

  5. Cinquièmement, fermez vos canaux de shadow AI. C’est à la fois une exigence de conformité et un impératif de sécurité des données. Identifiez les outils d’IA non approuvés utilisés par les employés pour traiter des données sensibles, bloquez l’accès à ces outils au niveau réseau, et proposez une alternative gouvernée via une infrastructure de gouvernance de l’IA adaptée au travail assisté par l’IA.

  6. Sixièmement, cartographiez votre cadre de conformité existant avec les exigences du règlement européen sur l’IA. Si votre organisation dispose déjà de programmes RGPD, NIS2, DORA ou HIPAA, cartographiez les contrôles de ces programmes avec les exigences du règlement européen. Le recoupement est important, et les écarts – généralement la granularité de la journalisation, la documentation des biais et les workflows de supervision humaine propres à l’IA – sont plus faciles à combler en s’appuyant sur l’existant qu’en partant de zéro.

  7. Septièmement, sollicitez vos fournisseurs d’IA pour obtenir la documentation technique. La conformité à l’article 10 impose d’obtenir des fournisseurs une documentation couvrant la gouvernance des données d’entraînement, la méthodologie d’évaluation des biais et les critères de qualité des données. Si vos fournisseurs d’IA ne peuvent pas fournir cette documentation sur demande, il s’agit d’un écart de gestion des risques fournisseurs à régler avant le 2 août, soit en obtenant la documentation, soit en remplaçant les systèmes concernés.

Pour en savoir plus sur la conformité au règlement européen sur l’IA et sur la construction de l’infrastructure de gouvernance dont votre organisation a besoin avant le 2 août, réservez votre démo personnalisée dès maintenant.

Foire aux questions

Le 2 août 2026 marque l’entrée en vigueur des articles 9 à 17 et de l’article 26 du règlement européen sur l’IA pour les déployeurs de systèmes d’IA à haut risque de l’annexe III. L’article 26 encadre directement les obligations des déployeurs : supervision humaine, respect des instructions du fournisseur, surveillance opérationnelle et déclaration des incidents aux autorités compétentes. Les articles 9 à 17 couvrent le cadre de conformité, incluant la gestion des risques (article 9), la gouvernance des données (article 10), la documentation technique (article 11), la tenue des registres et la journalisation (article 12), la transparence (article 13), la conception de la supervision humaine (article 14) et la précision et robustesse (article 15). Les déployeurs qui n’auront pas mis en place une conformité opérationnelle avec ces exigences au 2 août s’exposent à des sanctions pouvant atteindre 15 millions d’euros ou 3 % du chiffre d’affaires mondial. Pour la planification de la conformité au règlement européen sur l’IA, l’accord politique européen du 7 mai 2026 sur la révision des calendriers ne change rien – il n’a pas force de loi en juin 2026, donc le 2 août reste la date de référence. Les organisations peuvent évaluer leur niveau de préparation à partir des définitions du glossaire du règlement européen sur l’IA pour « déployeur », « système d’IA à haut risque » et « annexe III », afin de confirmer quelles obligations s’appliquent à leurs cas d’usage.

Peut-être, à terme. Mais « peut-être, à terme » n’est pas une stratégie de conformité. En juin 2026, l’accord du 7 mai est un accord politique, pas une loi. Le 2 août reste la date d’application. Les organisations qui ont suspendu leur programme de conformité en attendant la révision du calendrier font le pari que le processus législatif ira plus vite que l’action des régulateurs. Ce pari a un risque connu : une exposition totale aux sanctions si le calendrier n’est pas révisé avant l’entrée en vigueur. L’approche la plus sûre consiste à poursuivre la préparation comme si le 2 août était la date définitive, tout en surveillant l’évolution législative. Les efforts menés pour répondre aux exigences de conformité au règlement européen sur l’IA et de gouvernance des données ne sont pas perdus si la date change : ils deviennent de la conformité anticipée plutôt que de la conformité de dernière minute. Les organisations déjà conformes au RGPD constateront que beaucoup de la documentation et des processus existants sont directement transposables à la préparation au règlement européen sur l’IA.

Le shadow AI expose à un risque de non-conformité au règlement européen sur l’IA par deux mécanismes. D’abord, lorsque des employés utilisent des outils d’IA non approuvés pour traiter des données personnelles ou sensibles, ces usages peuvent constituer un déploiement de systèmes d’IA à haut risque sans les contrôles de gouvernance exigés à l’article 26. Ensuite, les canaux de shadow AI sapent l’infrastructure de gouvernance des données exigée aux articles 10 et 12. Si des données sensibles transitent par des outils d’IA non gouvernés, l’organisation ne peut pas documenter sérieusement ses pratiques de qualité des données ni produire des journaux d’audit complets des décisions prises par l’IA. Selon une étude de juin 2026, les documents juridiques représentent 22,3 % des fuites de données liées au shadow AI. Le problème de shadow IT augmente aussi le coût des violations : les organisations victimes d’incidents de shadow AI subissent en moyenne 670 000 $ de surcoût et un délai de détection de 247 jours. Fermer les canaux de shadow AI est un prérequis pour une conformité crédible au règlement européen sur l’IA, pas un simple bonus de sécurité. Un cadre de protection des données IA fondé sur le zero trust offre une approche structurée pour gouverner les outils d’IA accessibles aux employés et les données qu’ils peuvent traiter.

La loi sur l’intelligence artificielle du Colorado, en vigueur depuis le 1er juin 2026, impose trois obligations principales aux déployeurs de systèmes d’IA à haut risque : un devoir de diligence pour protéger les consommateurs contre la discrimination algorithmique, des évaluations d’impact sur les biais avant le déploiement et régulièrement ensuite, et des notifications de transparence aux consommateurs lorsque l’IA à haut risque influence des décisions importantes. C’est la première loi américaine à imposer des obligations explicites aux déployeurs dans cette catégorie. Le chevauchement conceptuel avec les obligations du règlement européen sur l’IA est important : les deux textes imposent la documentation des évaluations de risques, la transparence envers les personnes concernées et la supervision humaine continue des décisions IA. Les organisations qui mettent en place une infrastructure de gouvernance de l’IA pour répondre au règlement européen – incluant l’évaluation documentée des risques, la méthodologie d’évaluation des biais et la traçabilité – constateront que la même infrastructure permet de répondre à la loi du Colorado avec peu d’adaptations. En l’associant à des cadres de conformité RGPD, les organisations disposent d’une base inter-juridictionnelle solide. Les entreprises ayant des clients dans plusieurs États américains doivent également surveiller l’évolution des lois sur la protection des données, d’autres obligations spécifiques à l’IA étant susceptibles d’apparaître à la suite du Colorado.

Six semaines constituent un délai court mais suffisant si l’on traite d’abord les écarts les plus critiques. La séquence la plus efficace pour maximiser la couverture de conformité en un minimum de temps : (1) Recensez tous les systèmes d’IA de l’annexe III utilisés, y compris les déploiements de shadow AI identifiés par la surveillance réseau – impossible de gouverner ce qui n’est pas identifié. (2) Auditez votre infrastructure de journal d’audit pour chaque système concerné : l’article 12 impose une journalisation automatique des événements, et si vous ne pouvez pas produire un journal complet et horodaté des décisions IA, c’est votre priorité de remédiation. (3) Documentez les contrôles de gouvernance des données pour l’article 10, incluant la documentation écrite des critères de qualité, de la méthodologie d’évaluation des biais et des processus de préparation des données. (4) Cartographiez les mécanismes de supervision humaine aux étapes précises du workflow où les résultats IA influencent des décisions importantes – les déclarations de politique ne suffisent pas, l’article 26 exige des contrôles opérationnels. (5) Fermez les canaux de shadow AI en bloquant les outils non approuvés au niveau réseau et en proposant des alternatives gouvernées via le partage sécurisé de fichiers Kiteworks et l’infrastructure de gouvernance de l’IA réellement utilisée par les employés. Les organisations disposant de programmes de conformité NIS2 ou de conformité DORA doivent cartographier les exigences de gestion des risques de ces cadres avec celles du règlement européen, le recoupement étant important et accélérant la mise en conformité. Appliquer les disciplines de gestion des risques de sécurité aux inventaires de systèmes d’IA de l’annexe III – affectation de niveaux de risque, documentation des contrôles et planification de réévaluations périodiques – fournit aux équipes conformité la méthodologie structurée attendue par les régulateurs.

Ressources complémentaires

  • Article de blog
    Stratégies Zero Trust pour une protection abordable de la vie privée dans l’IA
  • Article de blog
    Comment 77 % des organisations échouent à sécuriser les données IA
  • eBook
    Le déficit de gouvernance IA : pourquoi 91 % des petites entreprises jouent à la roulette russe avec la sécurité des données en 2025
  • Article de blog
    Il n’existe pas de « –dangerously-skip-permissions » pour vos données
  • Article de blog
    Les régulateurs ne se contentent plus de demander si vous avez une politique IA. Ils veulent des preuves concrètes.

Lancez-vous.

Il est facile de commencer à garantir la conformité réglementaire et à gérer efficacement les risques avec Kiteworks. Rejoignez les milliers d’organisations qui ont confiance dans la manière dont elles échangent des données privées entre personnes, machines et systèmes. Commencez dès aujourd’hui.

VOIR LA DÉMO

Table of Contents

Table of Content
Partagez
Tweetez
Partagez
Explore Kiteworks