AI Act pour les DSI : le guide pour être prêt avant août 2026

Ingénieur informatique cumulant 20 ans d'expérience dans la digitalisation des process et des métiers. Je suis un DSi passionné par les dynamiques de transformation personnelles et collectives. Pour relever vos défis IT, je m'appuie sur mes compétences en management de transition, d'entrepreneur et de coach.

 Cédric Mouandjo, DSi de transition passionné.

AI Act pour les DSI — guide conformité 2026 pour les directions informatiquesAI Act pour les DSI : le guide pour être prêt avant août 2026

Le 2 août 2026, le règlement européen sur l’intelligence artificielle franchit une étape décisive.

Ce guide AI Act pour les DSI répond à une question simple : êtes-vous prêt ?

Pas une directive. Un règlement directement opposable — sans transposition nationale. Ce que ça change concrètement pour votre SI ? Beaucoup — même si les délais ont partiellement évolué depuis la rédaction initiale du texte. Voici ce qui est certain, ce qui a été reporté, et ce qu’aucun DSI ne peut se permettre d’ignorer en ce moment.

Ce que le 2 août 2026 active vraiment

Premier point à clarifier, car beaucoup de DSI ont mal lu l’information : le Digital Omnibus a bien reporté certaines obligations, mais pas toutes. Le report partiel des règles haut risque ne suspend pas le reste du règlement. Concrètement, ce qui entre en vigueur le 2 août 2026, c’est :

Les obligations de transparence (article 50). Chatbots, contenus générés par IA, deepfakes, outils RH, SaaS enrichis par IA, agents conversationnels : les organisations doivent désormais passer de la veille réglementaire à l’inventaire opérationnel. L’utilisateur doit savoir qu’il interagit avec une IA. C’est immédiat, c’est simple — et pourtant, c’est déjà opposable.

Les pouvoirs de sanction. À partir du 2 août 2026, les pouvoirs de sanction de la Commission s’activent. En France, trois autorités sont désignées pour le contrôle : la CNIL pour les données personnelles et la biométrie, la DGCCRF pour les pratiques commerciales, et l’Arcom pour les contenus générés par IA. La CNIL a indiqué qu’elle intensifierait ses contrôles sur les systèmes RH dès l’automne 2026.

L’obligation de culture IA (article 4). En effet, elle est déjà en vigueur depuis février 2025 — sans seuil de taille. La formation obligatoire concerne tous les collaborateurs qui interagissent avec des systèmes IA, adaptée à leur niveau. Si vous n’avez pas encore formalisé cela, vous êtes techniquement hors conformité aujourd’hui.

Ce qui a été reporté : les obligations les plus lourdes pour les systèmes haut risque de l’Annexe III — recrutement automatisé, scoring crédit, santé, justice. Ces obligations seront applicables le 2 décembre 2027, selon l’accord politique provisoire Conseil/Parlement du 7 mai 2026. Ce report est réel. Mais il ne signifie pas que le chantier peut attendre.

Votre DSI est-elle concernée ? Le diagnostic en 5 questions

« Le AI Act pour les DSI pose une question simple : savez-vous ce qui tourne dans votre SI ? »

Sur le terrain, ce que je constate c’est que la plupart des DSI ne savent pas précisément ce qu’ils déploient comme IA. Les outils SaaS tiers, les briques intégrées dans les ERP, les solutions RH achetées il y a trois ans — tout ça tourne. En pratique, les usages critiques ne sont pas toujours dans les projets officiels. Ils peuvent être dans des options SaaS, des comptes individuels ou des expérimentations locales. Or le règlement, lui, ne fait pas cette distinction.

1. Utilisez-vous un outil RH alimenté par l’IA ? Recrutement automatisé, scoring de candidats, évaluation de performance algorithmique. Ces systèmes sont dans le périmètre haut risque — avec un délai à fin 2027, mais un inventaire à constituer maintenant.

2. Avez-vous un outil de scoring ou d’évaluation automatisée ? Solvabilité client, évaluation fournisseurs, notation de risque dans le CRM. C’est pourquoi la même logique s’applique.

3. Utilisez-vous des outils de surveillance ou de monitoring des collaborateurs ? Supervision des postes, analyse comportementale, mesure de productivité automatisée. La CNIL a indiqué qu’elle intensifierait ses contrôles sur les systèmes RH dès l’automne 2026 — ce domaine est en ligne de mire.

4. L’IA générative intervient-elle dans des processus critiques ? Juridique, finance, RH, communication institutionnelle. Si un LLM produit des outputs qui alimentent des décisions à fort impact, les obligations de transparence de l’article 50 s’appliquent dès le 2 août.

5. Savez-vous ce que vos éditeurs SaaS font avec l’IA dans leurs produits ? Si votre entreprise utilise des API de modèles tiers, la charge de conformité se déplace vers le fournisseur — mais le déployeur reste co-responsable de la surveillance et de la documentation d’utilisation. Exiger une documentation IA dans vos contrats n’est plus optionnel.

Si vous avez répondu « je ne sais pas » à au moins deux de ces questions, le signal est clair.

AI Act pour les DSI : les 3 chantiers à lancer maintenant

En mission, j’ai vu des DSI perdre 4 à 6 mois parce qu’ils avaient sous-estimé la phase de cartographie. L’inventaire des systèmes IA est la fondation de tout le reste. Sans lui, aucun des chantiers suivants n’est faisable.

Chantier 1 — Inventaire des systèmes IA en production

Concrètement, l’objectif : savoir ce qui tourne, y compris les outils SaaS tiers et les briques IA embarquées. Commencer par les outils visibles — chatbots, générateurs de contenus, copilotes, agents internes, API de modèles, solutions RH, outils marketing, outils de scoring — puis chercher l’IA invisible en interrogeant les métiers, les achats et les prestataires.

Livrable attendu : une liste structurée par système, avec type de traitement, données manipulées et usage métier. Pour un SI de taille moyenne, comptez 3 à 5 jours.

Chantier 2 — Classification des risques et priorisation

Une fois l’inventaire établi, appliquer la grille AI Act à chaque système. L’Annexe III du règlement liste les domaines haut risque — elle est lisible et accessible directement sur EUR-Lex. En cas d’ambiguïté, s’appuyer sur les guides publiés par l’AI Office européen ou solliciter le DPO.

La priorité immédiate : identifier ce qui déclenche les obligations de transparence du 2 août. Les systèmes haut risque peuvent être documentés dans un second temps, avec la deadline de décembre 2027.

Chantier 3 — Désignation d’un référent IA et premier registre

Il ne s’agit pas nécessairement de créer un nouveau poste. En revanche, il faut un responsable identifié, capable de coordonner DSI, juridique, achats, métiers, RH, conformité, sécurité et communication. En pratique, ce rôle peut être tenu à temps partiel dans un premier temps. Ce qui importe, c’est qu’il existe formellement — et qu’il soit visible auprès de la direction générale.

Ce que l’AI Act impose aux DSI qui n’anticipent pas

La question que tout DSI devrait se poser : quel est le coût de ne pas agir ?

Sur le plan des sanctions, les plafonds sont connus : jusqu’à 35 millions d’euros ou 7 % du CA mondial pour les violations les plus graves, 15 millions d’euros ou 3 % pour les systèmes haut risque non conformes, 7,5 millions d’euros ou 1 % pour les manquements de transparence. Ces niveaux concernent en priorité les fournisseurs et les cas de violations caractérisées. Mais les pouvoirs de sanction s’activent le 2 août — et le premier contrôle CNIL sur un système RH mal documenté peut survenir dès l’automne.

Au-delà des chiffres, le risque est avant tout opérationnel. Ainsi un incident impliquant un système IA non documenté — une décision RH contestée, un biais algorithmique révélé — devient une crise publique en 24 heures. L’absence de gouvernance IA aggrave systématiquement la situation.

C’est pourquoi, la contrainte peut devenir un levier. Un DSI qui arrive en CODIR avec une cartographie IA et un plan de conformité structuré démontre une maîtrise de son SI que beaucoup de directions générales n’attendaient pas.

L’AI Act pour les DSI: un levier stratégique à saisir

Ce n’est pas une question de technologie, c’est une question de positionnement. L’AI Act oblige à formaliser ce que la DSI devrait déjà documenter : quels systèmes tournent, qui en est responsable, quels risques ils portent.

En effet, ce travail de gouvernance est exactement celui qu’une DSI qui veut se positionner en centre de valeur doit mener. Si vous travaillez ce positionnement, je vous renvoie à la réflexion sur comment transformer votre DSI en centre de valeur.

De plus, la démarche AI Act s’inscrit aussi naturellement dans une logique de résilience des systèmes d’information. Cartographier ses systèmes critiques, identifier les dépendances, formaliser les processus de supervision — ce sont des actions qui renforcent simultanément la conformité et la robustesse opérationnelle.

Enfin, si votre entreprise a traversé le RGPD, vous avez une base solide à réactiver. Les enseignements de la conformité RGPD s’appliquent directement ici : méthode de cartographie, désignation d’un référent, documentation des traitements. La mécanique est la même — avec une dimension technique plus marquée.

3 actions pour cette semaine

  1. Lancer l’inventaire IA — mobiliser un profil technique 3 à 5 jours pour recenser tous les systèmes en production, y compris les outils SaaS et le « shadow IA » des équipes.
  2. Identifier ce qui déclenche les obligations de transparence du 2 août — c’est la priorité immédiate avant les systèmes haut risque.
  3. Désigner un référent IA interne — même à temps partiel — et le rendre visible en CODIR avant la fin du mois.

L’AI Act pour les DSI n’est pas une contrainte de plus. C’est la première fois que la DG et la DSI parlent le même langage sur l’IA. C’est une ouverture à saisir — et le 2 août arrive bientôt.

En tant que AI Act DSI, votre rôle est d’initier ce chantier — pas d’attendre qu’il vous soit imposé. »

Vous voulez cadrer votre chantier de gouvernance IA rapidement ? Réservez un entretien diagnostic

Recevez l'actu des DSi

Cédric Mouandjo, DSi de transition certifié par Centrale Supélec, publie régulièrement des articles sur le management IT.

Plus à lire pour le plaisir...

Besoin d'optimiser votre DSi ?

Ingénieur informatique cumulant 20 ans d'expérience dans la digitalisation des process et des métiers. Je suis un DSi passionné par les dynamiques de transformation personnelles et collectives. Pour relever vos défis IT, je m'appuie sur mes compétences en management de transition, d'entrepreneur et de coach.


Laissez-moi vous recontacter sous 48 heures.