En 2018, lorsque l'application du RGPD a commencé, les enquêtes ont montré que 71 % des entreprises n'étaient pas prêtes pour la conformité (ISACA). Certaines études ont placé le chiffre encore plus haut — Consultancy.eu a trouvé que 90 % des entreprises européennes n'étaient pas prêtes.
Les conséquences de cette non-préparation ont été sévères. Les amendes RGPD dépassent désormais 7,1 milliards d'euros dans plus de 2 800 actions d'application, avec plus de 60 % de ces amendes émises depuis janvier 2023 — des années après l'entrée en vigueur de la régulation. La plus grande amende unique a atteint 1,2 milliard d'euros (Meta, 2023).
Le règlement IA est structuré pour suivre le même schéma d'application. Les entreprises qui supposent qu'elles peuvent attendre et trouver une solution plus tard commettent la même erreur qui a coûté à des milliers d'organisations des milliards sous le RGPD.
Même les États membres de l'UE sont en retard
L'écart de readiness dépasse le secteur privé. En mars 2026, seuls 8 des 27 États membres de l'UE ont formellement désigné des points de contact nationaux d'application — une exigence qui devait être remplie le 2 août 2025, il y a sept mois.
La Finlande se tient seule comme premier État membre avec les pleins pouvoirs d'application du règlement IA (atteints en décembre 2025). Pendant ce temps, les organismes européens de normalisation CEN et CENELEC ont manqué leur échéance 2025 pour produire des normes techniques harmonisées, repoussant le nouvel objectif à fin 2026.
Quand les régulateurs eux-mêmes sont en retard, cela signale à la fois la complexité de la conformité et la probabilité que l'application monte en puissance de manière agressive une fois l'infrastructure en place — exactement comme avec le RGPD.
Ce que le règlement IA exige réellement
Le règlement classifie les systèmes d'IA en quatre niveaux de risque :
IA interdite (déjà appliquée depuis le 2 février 2025) : notation sociale, surveillance biométrique en temps réel dans les espaces publics (avec exceptions limitées), techniques de manipulation subliminale et exploitation de groupes vulnérables.
IA à haut risque (application débute le 2 août 2026) : systèmes d'IA utilisés dans les décisions d'emploi, scoring de crédit, éducation, diagnostic médical, maintien de l'ordre, migration et infrastructure critique. Ils nécessitent des évaluations de conformité complètes, systèmes de gestion des risques, supervision humaine et documentation technique.
IA à risque limité : chatbots, systèmes de génération de contenu et outils de deepfake. Ils portent des obligations de transparence — les utilisateurs doivent être informés qu'ils interagissent avec une IA.
IA à risque minimal : tout le reste. Pas d'obligations spécifiques, bien que des codes de conduite volontaires soient encouragés.
La Commission européenne estime que 10 à 18 % de tous les systèmes d'IA dans l'UE seront classifiés à haut risque, représentant une part significative des applications critiques pour l'activité.
Le coût de la conformité — et de la non-conformité
Les recherches indépendantes du CEPS (Centre for European Policy Studies) placent les coûts de conformité pour un seul système d'IA à haut risque à :
- Conformité initiale : 200 000 € – 500 000 €
- Mise en place du système de management de la qualité : 193 000 € – 330 000 €
- Évaluation de conformité : 30 000 € – 150 000 €
- Surveillance post-commercialisation annuelle : 40 000 € – 80 000 €
Pour les PME, des études indépendantes estiment les coûts initiaux de conformité jusqu'à 600 000 € incluant certification et personnel, avec des coûts annuels récurrents atteignant 150 000 €. Cela représente une potentielle érosion des bénéfices de 30-40 % pour les petites entreprises.
Le coût total de conformité à l'échelle du marché est estimé entre 1,6 milliard et 3,3 milliards d'euros.
Comparez ces chiffres aux pénalités pour non-conformité :
- Pratiques interdites : jusqu'à 35 M€ ou 7 % du chiffre d'affaires mondial annuel
- Violations des systèmes à haut risque : jusqu'à 15 M€ ou 3 % du chiffre d'affaires mondial
- Fausses informations : jusqu'à 7,5 M€ ou 1 % du chiffre d'affaires mondial
Cinq écarts que nous voyons le plus souvent
D'après notre travail avec les entreprises de l'UE évaluant leur readiness au règlement IA, voici les écarts les plus courants :
1. Pas d'inventaire de systèmes d'IA. La plupart des entreprises ne peuvent même pas lister tous les systèmes d'IA qu'elles utilisent, encore moins classifier leur niveau de risque. La shadow AI — des outils adoptés par des équipes individuelles sans supervision centrale — aggrave cela.
2. Documentation de gestion des risques manquante. L'article 9 exige un système documenté de gestion des risques qui s'exécute tout au long du cycle de vie du système d'IA. La plupart des entreprises n'ont rien qui y ressemble.
3. Pas de cadre de gouvernance des données. L'article 10 impose des exigences spécifiques pour les jeux de données d'entraînement, validation et test. Les entreprises utilisant des modèles tiers n'ont souvent aucune visibilité sur les données d'entraînement.
4. Les plans de supervision humaine n'existent pas. L'article 14 exige que les systèmes d'IA à haut risque soient conçus pour permettre une supervision humaine effective. De nombreux systèmes de prise de décision automatisée ont été construits spécifiquement pour minimiser l'implication humaine.
5. Pas de procédures de signalement d'incidents. Les entreprises sont tenues de signaler les incidents graves aux autorités. La plupart n'ont aucun processus pour détecter, documenter ou signaler les incidents liés à l'IA.
Le report proposé n'est pas une raison d'attendre
En mars 2026, le Parlement européen a voté pour potentiellement prolonger les échéances des systèmes d'IA à haut risque de jusqu'à 16 mois dans le cadre du paquet Digital Omnibus. Si finalisé, les systèmes à haut risque autonomes auraient jusqu'à décembre 2027.
Cela ne devrait pas changer votre calendrier. La proposition de report est encore en négociation et pourrait ne pas passer. Même si elle passe, les exigences de conformité restent identiques — seule la date d'application se décale. Les entreprises qui utilisent un report potentiel comme excuse pour reporter se retrouveront dans la même précipitation qui a caractérisé la readiness RGPD en 2018.
Plus important, l'obligation de littératie IA (article 4) et l'interdiction des pratiques interdites sont déjà en vigueur depuis février 2025. Les entreprises sont déjà soumises à application sur ces dispositions.
Quoi faire dans les 90 prochains jours
Étape 1 : Inventoriez vos systèmes d'IA. Documentez chaque outil d'IA que votre organisation utilise, qui l'utilise, quelles décisions il influence et quelles données il traite. Incluez les services d'IA tiers.
Étape 2 : Classifiez les niveaux de risque. Mappez chaque système contre les catégories de risque du règlement IA. Portez une attention particulière à l'IA utilisée en RH, finance, santé et décisions face client. Utilisez notre vérificateur gratuit de readiness règlement IA pour une évaluation initiale.
Étape 3 : Évaluation des écarts. Pour tout système à haut risque, évaluez votre état actuel contre les articles 9-15 (gestion des risques, gouvernance des données, documentation technique, tenue de registres, transparence, supervision humaine, précision/robustesse).
Étape 4 : Assignez la responsabilité. Désignez une personne ou une équipe responsable de la conformité au règlement IA. Ce n'est pas un problème informatique — cela exige une coordination juridique, conformité et unité de l'entreprise.
Étape 5 : Commencez la documentation. Commencez à construire la documentation technique requise par l'article 11. C'est l'exigence la plus chronophage et elle ne peut pas être faite en quelques semaines.
Questions fréquentes
Q : Quelle est l'échéance d'application du règlement IA de l'UE pour les systèmes d'IA à haut risque ?
R : L'échéance principale d'application pour les systèmes d'IA à haut risque selon l'art. 6 et l'annexe III est le 2 août 2026. Toute organisation mettant un système d'IA à haut risque sur le marché de l'UE doit avoir terminé l'évaluation de conformité, la documentation technique, les systèmes de gestion des risques et l'enregistrement dans la base de données de l'UE avant cette date. L'interdiction des pratiques d'IA interdites (art. 5) est en vigueur depuis le 2 février 2025, et l'obligation de littératie IA (art. 4) depuis la même date. Un report proposé dans le cadre du paquet Digital Omnibus pourrait étendre l'échéance haut risque à décembre 2027, mais cela n'est pas encore finalisé et ne devrait pas changer les délais de préparation.
Q : Quel pourcentage d'entreprises sont actuellement préparées pour le règlement IA de l'UE ?
R : Seuls 36 % des organisations se déclarent bien préparées selon l'enquête Deloitte de 2024 auprès de plus de 700 dirigeants seniors européens. Seulement 18 % se considèrent hautement préparés en risque et gouvernance de l'IA. Cela signifie qu'environ deux entreprises de l'UE sur trois se dirigent vers l'échéance d'août 2026 sans préparation adéquate — reflétant l'écart de readiness RGPD en 2018, qui a abouti à plus de 7,1 milliards d'euros d'amendes dans plus de 2 800 actions d'application dans les années qui ont suivi.
Q : Combien coûte la conformité au règlement IA de l'UE pour un seul système d'IA à haut risque ?
R : CEPS estime les coûts initiaux de conformité à 200 000-500 000 € par système d'IA à haut risque, avec la mise en place du système de management de la qualité coûtant 193 000-330 000 € et l'évaluation de conformité 30 000-150 000 €. La surveillance post-commercialisation annuelle ajoute 40 000-80 000 € par système. Pour les PME, les coûts totaux de la première année peuvent atteindre 600 000 €. Les plateformes d'automatisation de conformité comme Matproof peuvent réduire significativement ces coûts en rationalisant la documentation, les flux de gestion des risques et la collecte de preuves.
Q : Quels sont les écarts de conformité au règlement IA les plus courants ?
R : Les cinq écarts les plus courants sont : (1) pas d'inventaire de systèmes d'IA — les organisations ne peuvent pas identifier tous les outils d'IA utilisés, particulièrement la shadow AI ; (2) documentation de gestion des risques de l'art. 9 manquante ; (3) pas de cadre de gouvernance des données de l'art. 10 pour les jeux d'entraînement ; (4) plans de supervision humaine qui ne répondent pas aux exigences de l'art. 14 ; et (5) pas de procédures de signalement d'incidents pour la conformité à l'art. 73. L'écart d'inventaire est fondamental — sans savoir quels systèmes d'IA vous exploitez, il est impossible de commencer le processus de classification et de conformité.
Q : Le report proposé du Digital Omnibus affecte-t-il le calendrier de conformité au règlement IA ?
R : Le Parlement européen a voté en mars 2026 pour étendre potentiellement les échéances des systèmes d'IA à haut risque de jusqu'à 16 mois, ce qui pousserait la conformité des systèmes à haut risque autonomes à décembre 2027. Cependant, cette proposition est encore en négociation et pourrait ne pas passer dans sa forme actuelle. Plus important, les exigences de conformité elles-mêmes ne changent pas — seule la date d'application se décalerait. Les organisations qui utilisent le report potentiel comme justification pour reporter la préparation risquent de faire face à la même précipitation qui a défini la readiness RGPD en 2018, lorsque 90 % des entreprises n'étaient pas prêtes quand l'application a commencé.
Méthodologie
Ce rapport s'appuie sur des données publiquement disponibles de l'European AI Survey de Deloitte 2024 (700+ répondants), des sources institutionnelles de l'UE (Parlement européen, Commission européenne, AI Act Service Desk), de l'analyse de coûts du CEPS, du CMS GDPR Enforcement Tracker et des enquêtes de readiness de conformité d'ISACA. Les évaluations propres de readiness règlement IA de Matproof ont fourni un éclairage qualitatif supplémentaire sur les écarts de conformité courants.
Matproof automatise la gestion de la conformité sur le règlement IA de l'UE, DORA, NIS2, RGPD, ISO 27001 et 6 autres cadres. Vérifiez votre readiness règlement IA gratuitement ou explorez la plateforme.