Le 2 août 2026, le Règlement (UE) 2024/1689 — l’« AI Act » — atteindra le point d’application générale prévu par son article 113. Mais les obligations qui pèsent depuis le 2 août 2025 sur les modèles d’intelligence artificielle à usage général (GPAI) et sur la gouvernance européenne ont déjà dix mois d’application derrière elles. C’est l’heure d’un premier bilan — institutionnel, jurisprudentiel, politique, normatif — d’un texte que la Commission présente comme la pièce maîtresse de la régulation mondiale de l’IA.
Trois constats dominent ce bilan : une mise en place institutionnelle inégale entre États membres (l’Espagne ouvre la marche avec son AESIA opérationnelle depuis février 2025, l’Italie a adopté la première loi nationale complémentaire en octobre 2025, la France et l’Allemagne sont en retard de plusieurs mois sur le délai de désignation des autorités compétentes) ; un contentieux RIA encore inexistant au sens strict, le premier dossier signalé étant l’injonction de la Commission à X sur le chatbot Grok du 8 janvier 2026 ; et une tension structurelle entre la fermeté affichée par la Commission (« no stopping the clock ») et la pression industrielle, illustrée par la lettre ouverte « Stop the Clock » du 3 juillet 2025 signée par Airbus, ASML, Mistral, SAP, BNP Paribas et plus de quarante autres dirigeants européens.
Le calendrier d’application progressive de l’article 113
L’AI Act est entré en vigueur le 1er août 2024, soit le vingtième jour suivant sa publication au Journal officiel le 12 juillet 2024 (référence CELEX 32024R1689). Mais son application est échelonnée sur trois ans selon le mécanisme original posé à l’article 113 : les pratiques interdites du chapitre II (article 5) sont applicables depuis le 2 février 2025 ; les obligations relatives aux modèles d’IA à usage général, à la gouvernance et aux sanctions le sont depuis le 2 août 2025 ; l’application générale et les obligations pour les systèmes à haut risque de l’annexe III interviennent le 2 août 2026 ; et le régime de l’article 6(1) concernant les systèmes haut risque intégrés aux produits déjà régulés sera applicable à compter du 2 août 2027.
La période de dix mois écoulée depuis le 2 août 2025 correspond donc à la première application réelle des règles de gouvernance et des obligations GPAI — soit le cœur opérationnel du règlement pour les grands modèles génératifs (GPT-4, Claude, Gemini, Mistral Large, Llama). Les sanctions de l’article 99 (jusqu’à 35 millions d’euros ou 7 % du chiffre d’affaires mondial pour la violation des pratiques interdites de l’article 5) sont juridiquement disponibles depuis l’été 2025. En revanche, l’article 113(b) du règlement exclut expressément l’article 101 — qui prévoit jusqu’à 15 millions ou 3 % du chiffre d’affaires mondial pour les obligations spécifiques aux GPAI — du paquet entrant en application au 2 août 2025 : ces sanctions GPAI ne seront applicables qu’à compter du 2 août 2026. Quoi qu’il en soit, la mise en œuvre concrète de toutes les sanctions suppose des autorités nationales désignées et opérationnelles — précisément le point sur lequel les retards sont les plus criants.
Les structures de gouvernance européennes : AI Office, AI Board
L’AI Office (Bureau européen de l’IA), institué au sein de la Commission européenne, a été annoncé le 29 mai 2024 et son entrée en fonction (par restructuration interne de la DG CNECT) date du 16 juin 2024. Dirigé par Lucilla Sioli, il compte plus de 125 agents, organisés en six unités opérationnelles (Excellence in AI and Robotics, Regulation and Compliance, AI Safety, AI Innovation and Policy Coordination, AI for Societal Good, AI in Health and Life Science) auxquelles s’ajoutent un conseiller scientifique en chef et un conseiller pour les affaires internationales. Ses missions principales sont la supervision des modèles GPAI, la coordination de l’application du règlement et le secrétariat du AI Board.
Le European Artificial Intelligence Board (Conseil européen de l’IA), institué par l’article 65 du règlement, réunit un représentant par État membre. Sa première réunion s’est tenue le 10 septembre 2024, suivie par une seconde réunion le 10 décembre 2024 sous présidence hongroise du Conseil. Le secrétariat est assuré par l’AI Office, avec la contribution du Centre européen pour la transparence algorithmique (ECAT). Le Contrôleur européen de la protection des données ainsi que les États EEE-AELE y siègent en observateurs.
Deux autres structures complètent l’architecture : le Forum consultatif (article 67), qui réunit l’industrie, les PME, la société civile et le monde académique, et le Groupe scientifique d’experts indépendants (article 68), chargé de fournir des avis techniques sur les modèles GPAI à risque systémique. La composition nominative de ce dernier n’a pas été publiquement détaillée à la date de cet article — point qui mériterait davantage de transparence.
Le Code de bonne pratique GPAI : signataires et refus Meta
Le 10 juillet 2025, la Commission a publié le Code de bonne pratique pour les fournisseurs de modèles d’IA à usage général. Instrument volontaire fondé sur l’article 56 du règlement, il offre aux signataires une « présomption de conformité » avec les obligations GPAI. Le Code est structuré en trois chapitres : Transparence (avec un formulaire standardisé de documentation des modèles), Droit d’auteur (mécanismes de respect des opt-out et résumé public des données d’entraînement), et Sûreté et sécurité (obligations renforcées pour les modèles à risque systémique au sens de l’article 51 — seuil indicatif fixé à une puissance de calcul cumulée de 1025 FLOPs).
Vingt-trois signataires ont rejoint le Code : Anthropic, Google, IBM, Microsoft, Mistral AI, OpenAI, Amazon, Cohere, ServiceNow, et une douzaine d’acteurs européens (Aleph Alpha, Almawave, Black Forest Labs, Domyn, Fastweb, LINAGORA, Pleias, WRITER, etc.). xAI a signé partiellement le chapitre Sûreté et sécurité uniquement. Meta a refusé de signer. Dans une publication LinkedIn du 18 juillet 2025, Joel Kaplan, Chief Global Affairs Officer de Meta, a justifié ce refus en termes très critiques : selon lui, « l’Europe se dirige dans la mauvaise direction sur l’IA », le Code « introduit un certain nombre d’incertitudes juridiques pour les développeurs de modèles » et impose des mesures qui « excèdent le périmètre de l’AI Act ». La position de Meta révèle un calcul stratégique assumé : l’entreprise préfère exposer ses modèles open-weight (Llama) au régime contentieux du règlement plutôt que d’accepter un instrument volontaire qu’elle juge plus contraignant que la loi elle-même.
Le contexte de cette publication est éclairant. Le 3 juillet 2025, soit une semaine avant la sortie du Code, une lettre ouverte adressée à Ursula von der Leyen et signée par une cinquantaine de dirigeants européens — Airbus, ASML, Mistral AI, SAP, BNP Paribas, Mercedes-Benz, Siemens Energy, Philips, parmi d’autres — réclamait un « two-year clock-stop » sur les obligations GPAI et haut risque. La réponse de la Commission est tombée le 4 juillet, par la voix du porte-parole Thomas Regnier : « There is no stopping the clock. There is no grace period. There is no pause. » L’épisode illustre une fracture désormais assumée entre la fermeté réglementaire de Bruxelles et le scepticisme d’une part significative du capitalisme industriel européen.
Les autorités nationales : Espagne, Italie en tête, France et Allemagne en retard
L’article 70 du règlement imposait aux États membres de désigner leurs autorités nationales compétentes (autorité notifiante et autorité de surveillance du marché) au plus tard le 2 août 2025. Au printemps 2026, ce délai est manifestement dépassé pour plusieurs grands États, y compris ceux qui se présentaient comme moteurs de la régulation européenne.
L’Espagne est aujourd’hui la mieux placée institutionnellement. L’AESIA (Agencia Española de Supervisión de la Inteligencia Artificial), créée par décret royal et installée à A Coruña, est opérationnelle en activité présentielle depuis le 14 février 2025. Elle dispose du pouvoir d’inspection des pratiques interdites depuis le 2 février 2025 et du pouvoir de sanction depuis le 2 août 2025. Un changement de direction est intervenu en décembre 2025 (Alberto Gago Fernández nouveau directeur). En revanche — point notable — aucune décision contentieuse n’a été identifiée publiquement, ce que la presse spécialisée espagnole a commencé à relever : la presse économique Xataka, en novembre 2025, titrait « l’agence qui supervise l’IA en Espagne ne supervise rien ».
L’Italie est le premier État membre à avoir adopté une législation nationale globale complémentaire au RIA. La loi no 132/2025, entrée en vigueur le 10 octobre 2025, désigne l’AgID (Agenzia per l’Italia Digitale) et l’ACN (Agenzia per la Cybersicurezza Nazionale) comme autorités nationales compétentes, prévoit un milliard d’euros à destination des PME et des start-up, et encadre par dispositions sectorielles l’application aux domaines de la santé, du travail, de l’administration publique, de la justice, de la formation et du sport. La lecture constitutionnelle de cette loi a fait l’objet d’une analyse remarquée sur Verfassungsblog (« Italy’s Constitutional Gamble ») qui souligne la tension entre l’autonomie institutionnelle italienne et l’effet uniformisant attendu d’un règlement européen.
La France et l’Allemagne sont en retard. Côté français, le texte porteur de la transposition est le projet de loi DDADUE numérique (cinquième projet portant diverses dispositions d’adaptation au droit de l’Union européenne) — adopté au Sénat le 17 février 2026, en cours d’examen à l’Assemblée nationale à la date de cet article. La CNIL assurera l’autorité de référence et de coordination, en lien avec une quinzaine d’autorités sectorielles (DGCCRF, Arcom, ACPR, AMF, ANSM, HAS notamment). Côté allemand, le KI-MIG (KI-Marktüberwachungs- und Implementierungsgesetz) a été adopté en Cabinet fédéral le 10 février 2026, désigne la Bundesnetzagentur comme autorité de surveillance par défaut, et reste à l’examen du Bundestag et du Bundesrat. Dans les deux cas, le délai du 2 août 2025 est dépassé de plus de six mois.
L’extraterritorialité : article 2 et test Brussels Effect
L’article 2 du règlement fonde l’une des portées extraterritoriales les plus larges du droit européen contemporain. Sept catégories sont visées au paragraphe 1, mais ce sont les catégories (a) et (c) qui sont les plus structurantes. La catégorie (a) couvre tous les fournisseurs mettant sur le marché ou en service des systèmes d’IA dans l’Union, « qu’ils soient établis ou situés dans l’Union ou dans un pays tiers ». La catégorie (c), véritablement nouvelle, vise les fournisseurs et déployeurs établis dans un pays tiers « lorsque la sortie produite par le système d’IA est utilisée dans l’Union ». Ce critère output-based est sensiblement plus large que les critères du RGPD (article 3 RGPD), qui exigent soit un établissement dans l’Union, soit un ciblage spécifique de personnes situées dans l’Union.
La doctrine est partagée sur la portée réelle de cette extraterritorialité. Anu Bradford, dans son ouvrage The Brussels Effect (OUP, 2020), prédisait que les standards européens s’imposeraient mondialement par l’effet de marché. Mais Nathalie Smuha (KU Leuven), dans une contribution publiée en 2025 (« Towards the Effective Extraterritorial Enforcement of the AI Act »), soutient que l’effet Brussels sera plus limité pour l’AI Act que pour le RGPD : la segmentation technique des modèles est techniquement plus facile que celle des bases de données personnelles, et plusieurs fournisseurs majeurs (Meta notamment) ont déjà annoncé qu’ils n’offriront pas leurs modèles les plus avancés sur le marché européen. La position française avait été préfigurée par Cédric Villani dans son rapport « Donner un sens à l’intelligence artificielle » de mars 2018, mais la décennie écoulée a montré la difficulté d’articuler la souveraineté numérique européenne avec la concentration industrielle américaine.
Le contentieux émergent : Grok/X et DeepSeek
Aucune décision juridictionnelle nationale ou européenne fondée sur le RIA n’a été identifiée à la date de cet article. Mais deux dossiers d’application administrative balisent les premiers contours du contentieux RIA.
Selon des sources concordantes de la presse spécialisée (à confirmer par communiqué officiel Commission), le 8 janvier 2026, la Commission européenne aurait adressé à X (anciennement Twitter) une demande formelle de conservation des données internes liées au chatbot Grok, à la suite de la controverse sur le mode « Spicy » (génération d’images sexualisées non consensuelles et désinformation). Cet acte ne préjuge pas du fond, mais il préfigure une procédure administrative directement fondée sur le RIA et conduite par la Commission elle-même — illustration du pouvoir d’exécution direct dont dispose l’AI Office pour les modèles GPAI à risque systémique.
Le second dossier emblématique concerne DeepSeek, modèle d’IA générative développé par les entreprises chinoises Hangzhou DeepSeek Artificial Intelligence et Beijing DeepSeek Artificial Intelligence. Le 30 janvier 2025, le Garante italien (autorité italienne de protection des données) a prononcé un provvedimento no 10098477 de limitation définitive du traitement des données personnelles d’utilisateurs italiens, faisant suite à une plainte de l’organisation de consommateurs Altroconsumo. Particularité notable : la décision est fondée exclusivement sur le RGPD, et non sur le RIA — qui n’était pas encore applicable aux modèles GPAI à cette date. Elle illustre néanmoins l’articulation cumulative entre RGPD et RIA pour les systèmes d’IA traitant des données personnelles, et anticipe le type de dossiers qui pourraient se présenter à compter du 2 août 2026.
L’arrêt Glukhin c. Russie rendu par la CEDH le 4 juillet 2023 (requête no 11519/20) mérite d’être mentionné dans ce contexte. Premier arrêt européen portant explicitement sur la compatibilité de la reconnaissance faciale avec la Convention, il qualifie cette technologie de « highly intrusive » et conclut à la violation unanime des articles 8 et 10 — préfigurant les standards repris à l’article 5(1)(h) du RIA sur l’identification biométrique à distance « en temps réel » dans l’espace public. La cohérence entre les deux ordres juridiques européens (Union européenne et Conseil de l’Europe) sur cette question est désormais établie. Pour aller plus loin sur ce sujet, voir notre article sur CEDH et surveillance algorithmique après l’IA Act.
Perspectives à six mois : application générale du 2 août 2026
Le 2 août 2026 marquera l’application générale du règlement. Les systèmes haut risque listés à l’annexe III (éducation, emploi, accès aux services publics, application de la loi, gestion des migrations, administration de la justice, processus démocratiques) seront soumis à l’ensemble des obligations des articles 8 à 27 du règlement : système de gestion des risques, gouvernance des données, documentation technique, transparence, supervision humaine, robustesse, marquage CE et enregistrement dans la base de données européenne.
Mon analyse personnelle : le bilan des dix mois écoulés est mitigé. La gouvernance européenne se met en place avec une lenteur prévisible, mais sans rupture. Le code GPAI a été signé par les principaux acteurs internationaux, à la notable exception de Meta — exception qui pourrait peser lourd si Llama continue à dominer l’écosystème open-source. Le contentieux administratif émerge timidement, et la première décision juridictionnelle directement fondée sur le RIA reste à venir, probablement après le 2 août 2026. La grande inconnue stratégique n’est pas juridique mais industrielle : l’effet Brussels, qui a structuré la diffusion mondiale du RGPD, sera-t-il aussi opérant pour le RIA, dans un secteur où la segmentation technique des modèles est triviale et où les fournisseurs américains de modèles propriétaires (OpenAI, Anthropic, Google) ont déjà annoncé leur intention de différencier leurs offres selon les juridictions ? Les six mois qui viennent fourniront les premiers éléments de réponse.
FAQ
Quand l’AI Act devient-il pleinement applicable ?
Selon l’article 113 du règlement, l’application est échelonnée : les pratiques interdites du chapitre II sont applicables depuis le 2 février 2025 ; les obligations GPAI et la gouvernance depuis le 2 août 2025 ; l’application générale (y compris les systèmes haut risque de l’annexe III) interviendra le 2 août 2026 ; et le régime de l’article 6(1) concernant les systèmes haut risque intégrés aux produits régulés sera applicable à compter du 2 août 2027.
Quelle est la portée extraterritoriale de l’AI Act ?
L’article 2 du règlement couvre les fournisseurs et déployeurs établis hors de l’Union dès lors que la « sortie » produite par leur système d’IA est utilisée dans l’Union. Ce critère output-based est plus large que les critères du RGPD (article 3 RGPD), qui exigent un établissement dans l’Union ou un ciblage spécifique. La doctrine débat de la portée réelle de cette extraterritorialité : la segmentation technique des modèles est plus facile que celle des bases de données personnelles.
La France a-t-elle désigné son autorité compétente pour l’AI Act ?
Pas encore au sens formel à la date de cet article. Le projet de loi DDADUE numérique, qui désigne la CNIL comme autorité de référence et de coordination, a été adopté au Sénat le 17 février 2026 et reste en examen à l’Assemblée nationale. Le délai du 2 août 2025 fixé par l’article 70 du règlement est dépassé de plus de six mois. La même situation prévaut en Allemagne, où le KI-MIG adopté en Cabinet le 10 février 2026 reste en procédure parlementaire.
Qu’est-ce que le Code de bonne pratique GPAI ?
Publié par la Commission le 10 juillet 2025 sur le fondement de l’article 56 du règlement, c’est un instrument volontaire qui offre aux signataires une présomption de conformité avec les obligations GPAI. Il comprend trois chapitres : Transparence, Droits d’auteur, et Sûreté/sécurité. Vingt-trois fournisseurs l’ont signé, dont Anthropic, Google, IBM, Microsoft, Mistral, OpenAI et Cohere. Meta a refusé de signer, par une déclaration de Joel Kaplan du 18 juillet 2025 jugeant le Code « légalement incertain » et excédant le scope du règlement.
Quelles sont les sanctions encourues en cas de violation ?
L’article 99 prévoit des amendes pouvant atteindre 35 millions d’euros ou 7 % du chiffre d’affaires mondial annuel pour la violation des pratiques interdites de l’article 5 (le montant le plus élevé étant retenu). L’article 101 prévoit des amendes pouvant atteindre 15 millions ou 3 % pour les obligations spécifiques aux modèles GPAI — applicables à compter du 2 août 2026.