Le piège classique
L'article 113 cache un calendrier en cascade que beaucoup d'organisations lisent mal : elles retiennent la date du 2 aout 2026 comme echeance unique et decouvrent trop tard que les interdictions du chapitre II s'appliquent depuis le 2 fevrier 2025, que les obligations sur les modèles d'IA a usage general arrivent au 2 aout 2025, et que les systèmes a haut risque de l'annexe III basculent le 2 aout 2026 tandis que ceux de l'annexe I attendent le 2 aout 2027. L'EU AI Office et les autorités nationales de surveillance du marché sanctionneront les pratiques interdites des 2025, sans période de tolerance. La CNPD reste competente en parallele sur le volet protection des données personnelles, et un système d'IA non conforme article 5 AI Act peut deja constituer un traitement illicite article 6 RGPD.
Les quatre echeances a inscrire dans votre roadmap
- 2 fevrier 2025 : interdiction des pratiques d'IA inacceptables (scoring social, manipulation cognitive, reconnaissance emotionnelle au travail, scraping facial massif) et obligation d'alphabetisation IA pour vos collaborateurs.
- 2 aout 2025 : règles sur les modèles d'IA a usage general (GPAI), désignation des autorités nationales competentes, regime de sanctions (sauf article 101 sur les GPAI a risque systemique).
- 2 aout 2026 : application generale, notamment les obligations des systèmes a haut risque listes en annexe III (RH, éducation, services essentiels, justice, biometrie), et les obligations de transparence article 50 (chatbots, deepfakes, contenus generes).
- 2 aout 2027 : application aux systèmes a haut risque relevant de l'annexe I (produits regules : dispositifs médicaux, machines, jouets, ascenseurs) et aux modèles GPAI mis sur le marché avant le 2 aout 2025.
Le piège du stock existant
Les systèmes d'IA deja deployes avant le 2 aout 2026 ne beneficient pas d'une exemption generale : les operateurs de systèmes a haut risque dont la conception est modifiee de manière significative après cette date doivent se mettre en conformité. Pour les systèmes utilises par les autorités publiques, la mise en conformité est exigee au plus tard le 2 aout 2030. Cette cartographie du stock est exactement ce qui manque dans 90% des audits que nous menons.
Comment Luxgap automatise ce risque
Notre Luxgap AI Act Countdown transforme l'article 113 en plan d'action horodate, propre a votre SI reel. L'outil scanne vos environnements M365, Azure AI Foundry, AWS Bedrock, Google Vertex, Salesforce Einstein, Workday, Cegid et vos integrations LLM custom (OpenAI, Anthropic, Mistral) pour inventorier chaque système d'IA actif, le classifier selon les annexes I, II et III, et le rattacher a la date d'echeance applicable.
- Detecte automatiquement chaque système d'IA en production via les API d'audit des hyperscalers et des SaaS metier, sans questionnaire a remplir.
- Classifie chaque système selon la grille AI Act (interdit, haut risque annexe I, haut risque annexe III, risque limite, GPAI) en s'appuyant sur les lignes directrices de l'EU AI Office.
- Genere une roadmap personnalisee avec les quatre jalons (fevrier 2025, aout 2025, aout 2026, aout 2027) et les actions concretes a engager par système.
- Alerte en temps reel par Teams ou Slack des qu'un nouveau système d'IA apparait dans votre SI et evalue son exposition AI Act avant son passage en production.
- Produit un rapport PDF horodate opposable a l'EU AI Office et a la CNPD, demontrant votre démarché d'accountability article 5(2) RGPD combinee a l'article 113 AI Act.
Disponible en complement d'un mandat DPO ou CISO Luxgap ou en brique SaaS dediee selon votre périmètre. Demandez un devis personnalise et nos équipes preparent une demonstration sur vos systèmes d'IA reels, avec un audit blanc gratuit sous 48h pour cartographier votre exposition aux quatre echeances avant tout engagement.
