28 jours avant l'entrée en vigueur du règlement européen sur l'IA
Pour en savoir plus →

Article 26 de la loi européenne sur l'IA : Obligations des déployeurs pour les systèmes d'IA à haut risque

L'article 26 définit ce que les déployeurs — les organisations qui utilisent un système d'IA à haut risque sous leur propre autorité — doivent faire. Contrairement aux obligations des fournisseurs, ces devoirs s'appliquent à l'opérateur qui exécute le système dans le monde réel : suivre les instructions, attribuer une surveillance humaine compétente, surveiller le fonctionnement, conserver les journaux et agir en cas de problème. Cette page décompose chaque devoir.

Plongée dans l'article 26

Article 26 de la loi européenne sur l'IA : Obligations des déployeurs pour les systèmes d'IA à haut risque

L'article 26 définit ce que les déployeurs — les organisations qui utilisent un système d'IA à haut risque sous leur propre autorité — doivent faire. Contrairement aux obligations des fournisseurs, ces devoirs s'appliquent à l'opérateur qui exécute le système dans le monde réel : suivre les instructions, attribuer une surveillance humaine compétente, surveiller le fonctionnement, conserver les journaux et agir en cas de problème. Cette page décompose chaque devoir.

Dernière mise à jour: 4 juillet 2026

Qui est un déployeur ?

Un déployeur est toute personne physique ou morale utilisant un système d'IA sous son autorité dans le cadre d'une activité professionnelle (les individus utilisant l'IA pour des raisons purement personnelles et non professionnelles sont exclus).

Les obligations des déployeurs s'appliquent aux côtés, et non à la place, des obligations des fournisseurs. Le fournisseur construit et documente le système ; le déployeur est responsable de la manière dont il est réellement utilisé. Si un déployeur modifie de manière significative un système à haut risque ou met son propre nom dessus, il peut également prendre des obligations de fournisseur en vertu de l'article 25.

Les devoirs principaux des déployeurs

L'article 26 impose un ensemble défini d'obligations opérationnelles aux déployeurs de systèmes d'IA à haut risque :

  • Utiliser selon les instructions — prendre des mesures techniques et organisationnelles appropriées pour utiliser le système conformément aux instructions d'utilisation du fournisseur
  • Attribuer une surveillance humaine compétente — confier la surveillance à des personnes physiques qui ont la compétence, la formation, l'autorité et le soutien nécessaires pour l'exercer en vertu de l'article 14
  • Contrôler les données d'entrée — lorsque le déployeur contrôle les données d'entrée, s'assurer qu'elles sont pertinentes et suffisamment représentatives au regard de l'objectif prévu du système
  • Surveiller le fonctionnement — surveiller le fonctionnement du système par rapport aux instructions d'utilisation et informer le fournisseur ou le distributeur en cas de risque
  • Conserver les journaux générés automatiquement — conserver les journaux que le système génère automatiquement, dans la mesure où ils sont sous le contrôle du déployeur, pendant au moins six mois (sauf si une période plus longue est fixée par d'autres dispositions de l'UE ou du droit national)
  • Informrer les travailleurs et leurs représentants — avant de mettre un système à haut risque en service sur le lieu de travail, informer les travailleurs concernés et leurs représentants qu'ils seront soumis à ce système
  • Évaluation d'impact sur la protection des données — lorsque cela est pertinent, utiliser les informations fournies en vertu de l'article 13 pour effectuer une évaluation d'impact sur la protection des données en vertu du RGPD
  • Suspendre et informer en cas de risque grave — lorsque le système présente un risque pour la santé, la sécurité ou les droits fondamentaux, ou qu'un incident grave se produit, suspendre l'utilisation, informer le fournisseur, le distributeur et les autorités compétentes, et coopérer

Le plancher de rétention de six mois pour les journaux

Les déployeurs doivent conserver les journaux générés automatiquement par le système d'IA à haut risque pendant une période appropriée à l'objectif prévu, et en tout cas pendant au moins six mois — sauf si une période de rétention plus longue est requise par les dispositions de l'UE ou du droit national applicables.

Cela s'applique aux journaux qui sont sous le contrôle du déployeur. Il s'agit du pendant du côté déployeur de la conception de journalisation du fournisseur en vertu des articles 12 et 19 : le fournisseur construit la capacité de journalisation, et le déployeur est responsable de conserver et de pouvoir produire les enregistrements résultants. Les règles sectorielles (par exemple dans le secteur financier ou de la santé) fixent souvent un plancher plus long, il convient donc de considérer six mois comme le minimum, et non comme l'objectif.

Les autorités publiques agissant en tant que déployeurs ont des devoirs de transparence et d'enregistrement supplémentaires en vertu des articles 26 et 49.

Comment AIAgentree aide

AIAgentree fournit aux déployeurs un système d'enregistrement en cours pour les devoirs exacts que l'article 26 impose — la rétention des journaux, le flux de travail de surveillance humaine et les preuves de surveillance :

  • La rétention adaptée aux audits conserve les enregistrements de décision générés automatiquement bien au-delà du plancher de six mois, avec un stockage à preuve de falsification et une résidence de données de l'UE en Allemagne, vous pouvez donc produire des journaux sur demande
  • Les flux de travail de surveillance humaine et d'approbation capturent qui a examiné, approuvé, outrepassé ou escaladé une décision — les preuves que la surveillance humaine compétente a réellement été exercée en vertu de l'article 14
  • Le suivi des résultats, la recherche de précédents et la capture asynchrone à faible latence (inférieure à 10 ms) fournissent le signal de surveillance pour détecter lorsque le système s'écarte de ses instructions d'utilisation, disponibles via REST, MCP, A2A, OpenTelemetry et les SDK Python et TypeScript — commencez gratuitement avec 25 traces

Foire aux questions

Quelle est la différence entre un fournisseur et un déploieur ?

Le fournisseur développe le système d'IA et le met sur le marché ou le met en service sous son propre nom ; le déploieur utilise ce système sous son autorité dans un contexte professionnel. L'article 26 régit les déploieurs, tandis que les articles 8 à 21 régissent les fournisseurs. Une organisation peut être les deux.

Combien de temps les déploieurs doivent-ils conserver les journaux ?

Au moins six mois. L'article 26(6) exige que les déploieurs conservent les journaux générés automatiquement qui sont sous leur contrôle pendant une période appropriée à l'objectif prévu, et en tout état de cause pendant une période minimale de six mois, à moins que le droit de l'Union ou le droit national n'exige une période plus longue.

Les déploieurs doivent-ils informer les employés de l'utilisation d'un système d'IA ?

Oui, lorsque le système est utilisé sur le lieu de travail. Avant de mettre un système d'IA à haut risque en service ou en utilisation sur le lieu de travail, les déploieurs doivent informer les représentants des travailleurs et les travailleurs concernés qu'ils seront soumis au système, conformément aux règles d'information et de consultation.

Quand un déploieur devient-il un fournisseur ?

Selon l'article 25, un déploieur prend des obligations de fournisseur s'il met son nom ou sa marque sur un système d'IA à haut risque déjà sur le marché, apporte une modification substantielle à celui-ci, ou modifie l'objectif prévu d'un système de manière à le rendre à haut risque.

Que doit faire un déploieur si le système présente un risque grave ?

Suspendre l'utilisation et informer le fournisseur ou le distributeur et l'autorité de surveillance du marché concernée sans retard indu. Lorsqu'un incident grave se produit, le déploieur doit le signaler et coopérer avec les autorités et le fournisseur sur les mesures correctives.

Continuer à explorer le guide de la loi européenne sur l'IA

Guide de conformité à la loi européenne sur l'IA

Le guide complet pour la conformité à la loi européenne sur l'IA pour les agents d'IA — commencez ici.

Article 12 — Conservation des enregistrements et journalisation

Ce que chaque système d'IA à haut risque doit journaliser et comment le capturer.

Article 14 — Surveillance humaine

Conception de contrôles efficaces avec intervention humaine pour les décisions d'IA.

Annexe III — Systèmes d'IA à haut risque

Quels cas d'utilisation d'IA la loi classe comme à haut risque.

Liste de contrôle de conformité à la loi européenne sur l'IA

Une liste de contrôle étape par étape pour atteindre et documenter la conformité.

Calculateur de coût de conformité

Estimez vos efforts et coûts de conformité à la loi européenne sur l'IA.

Délais et calendrier

Dates clés d'application, y compris le délai du 2 août 2026.

Amendes et pénalités

Niveaux de pénalité allant jusqu'à 35 millions d'euros ou 7 % du chiffre d'affaires annuel mondial.

Obligations de transparence (art. 13 et 50)

Devoirs de divulgation pour les systèmes d'IA et leurs sorties.

Gestion des risques et évaluation de la conformité

Construire un système de gestion des risques et évaluer la conformité.

Obligations GPAI

Règles pour les fournisseurs de modèles d'IA à usage général.

Loi européenne sur l'IA pour les entreprises américaines

Portée extraterritoriale et ce que les fournisseurs américains doivent faire.

Mise à jour omnibus

Les derniers changements apportés au calendrier et aux règles de la loi européenne sur l'IA.

Calculatrice de pénalité

Estimez votre amende maximale en vertu des niveaux de l'article 99.

Article 11 + Annexe IV

Quelle documentation technique l'Acte IA de l'UE exige.

Article 17 : Gestion de la qualité

Le Système de gestion de la qualité (SGQ) que les fournisseurs d'IA à haut risque doivent documenter.

Article 10 : Gouvernance des données

Qualité des données, mitigation des biais et devoirs de gouvernance.

Article 4 : Littératie en IA

L'obligation de littératie en IA du personnel en vigueur depuis février 2025.

Déploieur vs Fournisseur

Qui assume quelle obligation — et quand un déploieur devient un fournisseur.

FRIA (Article 27)

Qui doit effectuer une évaluation d'impact sur les droits fondamentaux, et comment.

À qui s'applique-t-il ?

Champ d'application, opérateurs et portée extraterritoriale de l'Acte IA de l'UE.

Surveillance post-marché

Articles 72–73 : surveillance continue et déclaration d'incidents.

ISO 42001 vs Acte IA de l'UE

Comment la norme volontaire et la loi contraignante s'harmonisent.

NIST AI RMF vs Acte IA de l'UE

Un guide pratique entre le cadre et la loi.

Acte IA de l'UE pour les soins de santé

IA médicale à haut risque, interaction avec les règlements MDR/IVDR et surveillance clinique.

Acte IA de l'UE pour les services financiers

Notation de crédit, tarification des assurances et réglementation financière existante.

Acte IA de l'UE pour les RH et l'emploi

Embauche d'IA à haut risque, ainsi que chevauchement avec la loi NYC LL144 et la commission EEOC.