← Retour au blog

AI Act européen et entreprises américaines : portée extraterritoriale et marche à suivre

Pas d'entité européenne, pas de serveurs en Europe — vous êtes quand même concerné. L'AI Act s'applique à toute entreprise américaine dont les sorties d'IA atteignent des utilisateurs dans l'UE. Ce guide explique les règles extraterritoriales, les obligations de représentant autorisé et les cinq étapes à suivre.

17 mai 2026DILAIG

Aucune présence en Europe n'est requise pour être dans le périmètre

L'AI Act européen n'est pas limité aux entreprises européennes. Comme le RGPD avant lui, il suit l'effet, pas l'établissement. Une entreprise américaine sans entité européenne, sans personnel en Europe et sans serveurs en Europe est quand même dans le périmètre si les sorties de son système d'IA sont utilisées à l'intérieur de l'Union européenne.

Ce n'est pas une zone grise. C'est écrit directement à l'Article 2 du règlement.

Pour les entreprises américaines qui fournissent des outils d'IA, des modèles ou des applications à des clients européens, ou dont les plateformes sont utilisées par des résidents de l'UE, l'AI Act crée des obligations de conformité obligatoires qui s'appliquent à partir du 2 août 2026 (reportée au 2 décembre 2027 dans le cadre de l'accord Omnibus) pour les systèmes à haut risque, et du 2 août 2025 pour les fournisseurs de modèles GPAI.

La base juridique exacte : Article 2

L'Article 2 de l'AI Act définit le champ d'application du règlement. Il s'applique à :

  • Les fournisseurs mettant des systèmes d'IA sur le marché de l'UE ou les mettant en service dans l'UE, quelle que soit leur localisation (Article 2(1)(a))
  • Les déployeurs établis ou situés dans l'UE (Article 2(1)(b))
  • Les fournisseurs et déployeurs de pays tiers dont les sorties du système d'IA sont utilisées dans l'Union (Article 2(1)(c))

L'Article 2(1)(c) est la disposition qui capture les entreprises américaines sans présence en Europe. Le déclencheur est l'utilisation de la sortie dans l'UE, pas la localisation du fournisseur, des serveurs ou du traitement.

Exemples pratiques de ce qui déclenche le périmètre :

  • Une entreprise SaaS américaine dont l'outil de recrutement IA est utilisé par un employeur européen pour filtrer des candidats en France → dans le périmètre
  • Un fournisseur américain de LLM dont l'API est appelée par une entreprise logicielle allemande → le fournisseur américain est soumis aux Articles 51–56
  • Une plateforme d'analyse américaine dont les scores de risque IA sont utilisés par une banque néerlandaise pour prendre des décisions de crédit → dans le périmètre au titre de l'Annexe III §5
  • Une entreprise américaine dont le chatbot IA est intégré dans un site e-commerce européen → dans le périmètre pour les obligations de transparence

Ce qui ne déclenche pas le périmètre :

  • Systèmes d'IA utilisés exclusivement pour des clients américains sans base d'utilisateurs européens
  • Activités de R&D et de développement pré-marché (Articles 2(6) et (8))
  • IA utilisée exclusivement à des fins militaires ou de sécurité nationale (Article 2(3))
  • Usage personnel et non professionnel par des individus (Article 2(10))

La comparaison avec le RGPD : et les différences

Le modèle extraterritorial reprend le test du « participant au marché » du RGPD, mais avec des différences importantes :

Dimension RGPD AI Act
Déclencheur Traitement de données personnelles de résidents européens Sortie d'IA utilisée dans l'UE
Distinction de rôle Responsable / Sous-traitant Fournisseur / Déployeur / Importateur / Distributeur
Représentant requis Oui (Article 27 RGPD) Oui (Article 22 AI Act), pour les fournisseurs haut risque
Amendes Jusqu'à 4 % du CA mondial Jusqu'à 7 % (interdit), 3 % (GPAI/haut risque), 1 % (information)
Autorité d'application Autorités nationales de protection des données AI Office + autorités nationales de surveillance du marché

Si votre entreprise est déjà conforme au RGPD, vous disposez de l'infrastructure de conformité. Mais l'AI Act nécessite une évaluation séparée, les déclencheurs juridiques, les obligations et les exigences de documentation sont distincts.

L'obligation de représentant autorisé (Article 22)

Les fournisseurs non européens de systèmes d'IA à haut risque doivent désigner un représentant autorisé établi dans l'UE avant de mettre leur système sur le marché. C'est une obligation ferme, non optionnelle.

Le représentant doit être désigné par mandat écrit et est responsable de :

  • Confirmer que la Déclaration UE de conformité et la documentation technique sont correctement préparées et que les évaluations de conformité ont été réalisées
  • Conserver les dossiers à la disposition des autorités compétentes pendant 10 ans
  • Fournir aux autorités toutes les informations nécessaires pour démontrer la conformité du système
  • Coopérer avec les autorités compétentes sur la réduction et l'atténuation des risques
  • Remplir les obligations d'enregistrement dans la base de données européenne

Point critique : Le représentant peut résilier le mandat s'il a des raisons de croire que le fournisseur est en violation du règlement, et doit immédiatement en informer les autorités de surveillance du marché. Choisir un représentant compétent et fiable en Europe n'est donc pas une formalité.

Pour les fournisseurs de modèles GPAI : L'Article 54 impose la même obligation. Si vous fournissez un LLM ou un modèle de fondation à des clients européens et n'êtes pas établi dans l'UE, vous avez besoin d'un représentant européen.

Il n'existe pas d'obligation équivalente pour les déployeurs de systèmes à risque limité ou minimal.

Quatre scénarios de conformité pour les entreprises américaines

Scénario 1 : Entreprise américaine fournissant un système d'IA à haut risque à des clients européens

Vous êtes un fournisseur au sens de l'AI Act. Vous devez vous conformer au cadre complet : système de gestion des risques, documentation technique, évaluation de la conformité, Déclaration UE de conformité, enregistrement dans la base de données européenne, et désignation d'un représentant autorisé en Europe.

Échéance : 2 août 2026 (reportée au 2 décembre 2027 dans le cadre de l'accord Omnibus).

Scénario 2 : Entreprise américaine fournissant un modèle GPAI (LLM, modèle de fondation)

Vous êtes un fournisseur GPAI soumis aux Articles 51–56. Au minimum, vous devez vous conformer à l'Article 53 : documentation technique, package d'information pour les fournisseurs en aval, politique de droit d'auteur, résumé public des données d'entraînement. Si votre modèle dépasse 10²⁵ FLOPs de calcul d'entraînement, vous faites face à des obligations supplémentaires de risque systémique au titre de l'Article 55.

Vous devez désigner un représentant autorisé en Europe (Article 54).

Échéance : 2 août 2025 (déjà en vigueur).

Scénario 3 : Entreprise américaine intégrant une IA tierce dans son propre produit

Si vous intégrez un modèle d'IA tiers (OpenAI, Google, Anthropic, etc.) dans un produit que vous vendez à des clients européens, vous êtes probablement fournisseur du système d'IA résultant, même si vous n'avez pas développé le modèle sous-jacent. Les obligations de l'AI Act incombent à celui qui met le système final sur le marché européen.

Vous êtes responsable de l'évaluation de la conformité, de la documentation et de la Déclaration UE de conformité pour votre produit intégré.

Scénario 4 : Entreprise américaine déployant une IA en interne pour ses opérations européennes

Si votre entreprise a des employés ou des opérations en Europe et utilise un système d'IA pour prendre des décisions affectant ces personnes (suivi des performances, allocation des tâches, recrutement), vous êtes un déployeur soumis aux obligations de l'Article 26 : supervision humaine, conservation des journaux, information des travailleurs, et potentiellement une FRIA.

Les cinq étapes que les entreprises américaines doivent suivre maintenant

Étape 1 : Cartographier votre empreinte IA en Europe

Identifiez chaque système ou modèle d'IA dont la moindre sortie est utilisée dans l'UE. Cela inclut les systèmes utilisés directement par des clients européens, les systèmes intégrés dans des produits vendus en Europe, et les systèmes internes affectant des employés européens. De nombreuses entreprises américaines sous-estiment cette surface.

Étape 2 : Classifier chaque système

Pour chaque système dans le périmètre, déterminez son niveau de risque :

  • Relève-t-il d'un domaine de l'Annexe III ? → Haut risque, cadre de conformité complet
  • Est-ce un modèle GPAI ? → Articles 51–56
  • Interagit-il avec des utilisateurs sans s'identifier comme IA ? → Risque limité, transparence Article 50
  • Rien de tout cela ? → Risque minimal, aucune obligation obligatoire

Étape 3 : Désigner un représentant autorisé en Europe

Si vous fournissez un système d'IA à haut risque ou un modèle GPAI au marché européen, désignez un représentant autorisé établi dans l'UE par mandat écrit. Cette personne ou entité est votre point de contact légal avec les autorités européennes. N'attendez pas que votre système soit déjà déployé.

Étape 4 : Constituer la documentation requise

Pour les systèmes à haut risque : documentation technique (Annexe IV), dossiers de gestion des risques, évaluation de la conformité, Déclaration UE de conformité, et enregistrement dans la base de données européenne.

Pour les modèles GPAI : documentation technique (Annexe XI), package d'information pour les fournisseurs en aval (Annexe XII), politique de droit d'auteur, et résumé public des données d'entraînement.

Étape 5 : Mettre en place des processus de gouvernance

L'AI Act n'est pas un exercice de conformité ponctuel. Les systèmes à haut risque nécessitent une surveillance continue des risques, une surveillance post-marché, un signalement des incidents et une conservation des journaux. Intégrez ces processus dans vos workflows d'ingénierie et d'opérations avant l'échéance d'août 2026 (reportée au 2 décembre 2027 dans le cadre de l'accord Omnibus).

Les erreurs fréquentes des entreprises américaines

« Nous n'avons pas d'entité en Europe, donc nous ne sommes pas concernés. » Faux. Le déclencheur est l'utilisation des sorties dans l'UE, pas l'établissement. L'Article 2(1)(c) est sans ambiguïté.

« Nos clients européens sont responsables de la conformité. » Partiellement. Les déployeurs européens ont leurs propres obligations au titre de l'Article 26. Mais les fournisseurs américains de systèmes à haut risque ne peuvent pas transférer leurs obligations des Articles 9–49 à leurs clients. Les deux côtés de la chaîne ont des devoirs indépendants.

« Nous attendrons l'application. » Risqué. Les obligations GPAI sont en vigueur depuis août 2025. Les obligations pour les systèmes à haut risque s'appliquent à partir d'août 2026 (reportée au 2 décembre 2027 dans le cadre de l'accord Omnibus). L'AI Office a publié des orientations indiquant que la non-conformité sera activement investiguée, et les amendes s'appliquent au chiffre d'affaires annuel mondial, pas seulement aux revenus européens.

« Le RGPD couvrait cela. » Non. La conformité au RGPD est nécessaire mais pas suffisante. L'AI Act a des déclencheurs juridiques distincts, des exigences de documentation séparées et des obligations différentes. Une entreprise conforme au RGPD peut quand même présenter des lacunes significatives au regard de l'AI Act.

Comment DilAIg aide les entreprises américaines

La plateforme DilAIg est conçue précisément pour cette situation : une entreprise hors UE qui doit comprendre si l'AI Act s'applique, ce qu'il requiert, et comment documenter la conformité efficacement.

L'audit de 50 questions détermine votre niveau de risque et votre rôle dans la chaîne de valeur de l'IA quelle que soit votre localisation. Pour les systèmes à haut risque, il génère les quatre documents obligatoires, FRIA, Déclaration UE de conformité, Documentation technique (Annexe IV) et Notice de transparence, sous forme de projets professionnels structurés aux exigences réglementaires européennes.

Démarrer votre audit AI Act gratuit →

Réserver une démo →

FAQ : AI Act et entreprises américaines

L'AI Act s'applique-t-il si nous n'avons que des serveurs américains ?

Oui. La localisation des serveurs n'est pas pertinente. Le déclencheur est que les sorties de votre système d'IA soient utilisées dans l'UE.

Avons-nous besoin d'une entité en Europe pour nous conformer ?

Non. Vous avez besoin d'un représentant autorisé établi dans l'UE (une personne ou une entreprise avec une adresse européenne) si vous fournissez des systèmes d'IA à haut risque ou des modèles GPAI. Ce représentant agit comme votre point de contact légal avec les autorités européennes, mais n'a pas besoin d'être une entité que vous possédez.

Que se passe-t-il si nos clients européens signent un contrat précisant qu'ils sont responsables de la conformité AI Act ?

L'allocation contractuelle de responsabilité entre parties est permise pour certaines obligations. Mais les obligations fondamentales du fournisseur, documentation technique, évaluation de la conformité, Déclaration UE de conformité, ne peuvent pas être contractuellement transférées aux clients. Les obligations du déployeur (Article 26) restent avec le déployeur quelle que soit la convention contractuelle.

Les agences gouvernementales américaines sont-elles exemptées ?

L'AI Act exclut les systèmes d'IA utilisés exclusivement à des fins de sécurité nationale, militaires ou de défense (Article 2(3)). Cette exemption s'applique au système et cas d'usage spécifiques, pas à l'ensemble du portefeuille d'une entreprise.

Quelles sont les amendes et qui les applique ?

L'AI Office applique les obligations GPAI. Les autorités nationales de surveillance du marché appliquent les obligations pour les systèmes à haut risque. Les amendes sont calculées sur le chiffre d'affaires annuel mondial : 7 % pour les pratiques interdites, 3 % pour la plupart des violations, 1 % pour les informations incorrectes. La base « mondiale » signifie que l'application européenne atteint les revenus américains.

Points clés à retenir

  • L'AI Act s'applique aux entreprises américaines via l'Article 2(1)(c) : si les sorties d'IA sont utilisées dans l'UE, vous êtes dans le périmètre
  • Ce modèle reprend la portée extraterritoriale du RGPD mais avec des obligations et déclencheurs distincts
  • Les fournisseurs de systèmes à haut risque doivent désigner un représentant autorisé en Europe avant la mise sur le marché
  • Les fournisseurs de modèles GPAI doivent se conformer aux Articles 51–56 — l'échéance était août 2025
  • Les obligations pour les systèmes à haut risque s'appliquent à partir d'août 2026 (reportée au 2 décembre 2027 dans le cadre de l'accord Omnibus)
  • Les transferts contractuels aux clients européens n'éliminent pas les obligations du fournisseur
  • L'audit DilAIg détermine votre niveau de risque et génère les documents de conformité obligatoires

Pour aller plus loin

Votre système IA est-il conforme ?

Audit gratuit en 20 minutes.

Démarrer l'audit