- L'AI Act classe les systèmes d'IA en 4 niveaux de risque : inacceptable (interdit), élevé (obligations strictes), limité (transparence), minimal (libre).
- La majorité des projets IA en PME relèvent du risque limité — obligations de transparence simples. Certains cas RH ou financiers basculent en risque élevé.
- Sanctions : jusqu'à 35 millions d'euros ou 7 % du CA mondial pour les violations les plus graves.
- Pleine application : 2 août 2026. Mais certaines obligations s'appliquent déjà depuis février 2025.
Sommaire
Qu'est-ce que l'AI Act ?
L'AI Act (règlement UE 2024/1689) est le premier cadre réglementaire horizontal au monde dédié à l'intelligence artificielle. Adopté par l'Union européenne le 13 mars 2024, il est entré en vigueur le 1er août 2024 et s'applique par paliers jusqu'à pleine application le 2 août 2026.
Son ambition : garantir que les systèmes d'IA mis sur le marché européen soient sûrs, transparents, traçables, non discriminatoires et respectueux des droits fondamentaux. Pour y parvenir, le règlement adopte une approche par les risques : plus un système est susceptible de nuire, plus les obligations sont strictes — voire l'usage est interdit.
Le règlement s'applique à tout fournisseur ou utilisateur de système d'IA dont le résultat est utilisé dans l'Union européenne, qu'il soit basé en UE ou non. Concrètement : votre PME française qui déploie un chatbot tombe sous le coup du règlement. Une entreprise américaine qui vend un outil IA à un client européen aussi.
Les 4 niveaux de risque
Le règlement classe les systèmes d'IA en quatre catégories de risque, chacune appelant un régime spécifique.
| Niveau | Exemples | Régime |
|---|---|---|
| Inacceptable | Notation sociale par gouvernement, manipulation comportementale, identification biométrique en temps réel dans espaces publics (sauf exceptions) | Interdit |
| Haut risque | IA pour le recrutement, l'évaluation du crédit, l'éducation, les dispositifs médicaux, les forces de l'ordre, les infrastructures critiques | Obligations strictes : documentation, supervision humaine, robustesse, transparence, registre européen |
| Risque limité | Chatbots, deepfakes, systèmes de recommandation, génération de contenu | Obligations de transparence : informer l'utilisateur qu'il interagit avec une IA, étiqueter le contenu IA |
| Risque minimal | Filtres anti-spam, IA de jeux vidéo, optimisation algorithmique standard | Libre — pas d'obligations spécifiques |
Calendrier d'application
- 1er août 2024 — Entrée en vigueur formelle du règlement
- 2 février 2025 — Interdictions effectives sur les pratiques à risque inacceptable + obligations de littératie IA pour les organisations
- 2 août 2025 — Application des règles sur les modèles d'IA à usage général (GPT, Claude, Gemini, Mistral...)
- 2 août 2026 — Pleine application pour les systèmes à haut risque déjà sur le marché
- 2 août 2027 — Application étendue à certains systèmes d'IA intégrés dans des produits réglementés (jouets, dispositifs médicaux, etc.)
Obligations par niveau de risque — ce qui s'applique à votre entreprise
Risque limité (cas le plus fréquent en PME)
Si votre entreprise déploie un chatbot, un assistant vocal, un système de recommandation ou tout outil de génération de contenu IA, vous tombez généralement sous le régime du risque limité. Trois obligations principales :
- Information de l'utilisateur : la personne qui interagit avec votre IA doit savoir qu'elle parle à une machine. Un message clair en début d'interaction suffit.
- Marquage du contenu généré : les contenus créés par IA (images, vidéos, textes longs) doivent être identifiables comme tels (watermark, mention, métadonnée).
- Information dans les deepfakes : si vous générez des contenus qui ressemblent à des personnes réelles, la mention "contenu généré par IA" est obligatoire.
Haut risque (cas RH, crédit, santé, formation)
Si votre IA prend des décisions qui affectent significativement des personnes (sélectionner des candidats, accorder un crédit, évaluer des étudiants, diagnostiquer une condition médicale), elle relève du régime du haut risque. Obligations principales :
- Système de gestion des risques documenté tout au long du cycle de vie.
- Gouvernance des données d'entraînement : qualité, représentativité, absence de biais discriminatoires.
- Documentation technique complète et actualisée, à fournir aux autorités sur demande.
- Tenue de registres automatiques (logs) pendant toute l'exploitation.
- Transparence envers les utilisateurs.
- Supervision humaine obligatoire dans le déploiement.
- Robustesse, précision et cybersécurité documentées par des tests.
- Évaluation de conformité avant mise sur le marché + déclaration UE de conformité + marquage CE.
- Enregistrement dans la base de données européenne des systèmes à haut risque.
Les pratiques interdites — risque inacceptable
Huit catégories d'usage sont totalement interdites depuis février 2025 :
- Techniques subliminales ou manipulatrices qui altèrent significativement le comportement.
- Exploitation des vulnérabilités d'un groupe (âge, handicap, situation économique).
- Notation sociale par les pouvoirs publics ou pour leur compte.
- Évaluation du risque criminel d'une personne sur des traits de personnalité.
- Scraping massif d'images faciales pour bases de données de reconnaissance.
- Reconnaissance d'émotions sur le lieu de travail ou dans les établissements scolaires.
- Catégorisation biométrique inférant des caractéristiques sensibles (origine, opinions, orientation).
- Identification biométrique en temps réel dans les espaces publics (sauf usages très encadrés par les forces de l'ordre).
Le régime du haut risque en détail
Quatre cas de figure font basculer un système IA en haut risque, même si l'usage parait anodin :
- Composant de sécurité d'un produit réglementé : jouet, dispositif médical, véhicule, machine industrielle...
- Usage RH : recrutement, sélection, évaluation, promotion, surveillance, prise de décision sur la relation de travail.
- Accès aux services essentiels : crédit, assurance, services publics, accès à l'éducation.
- Forces de l'ordre, migration, justice : tout usage public sensible.
Pour ces systèmes, le coût de conformité est significatif : prévoir 15 000 à 50 000 € pour la mise en conformité d'un système existant en PME, davantage pour une ETI ou un éditeur SaaS qui diffuse à des centaines de clients.
Sanctions et contrôle
Les sanctions de l'AI Act dépassent celles du RGPD :
- Pratiques interdites : jusqu'à 35 millions d'euros ou 7 % du chiffre d'affaires mondial annuel (le plus élevé).
- Non-conformité aux obligations haut risque : jusqu'à 15 M€ ou 3 % du CA.
- Information incorrecte aux autorités : jusqu'à 7,5 M€ ou 1,5 % du CA.
En France, la CNIL et la DGCCRF partagent le rôle d'autorité de contrôle. Les premières sanctions sont attendues à partir de l'automne 2026.
Mise en conformité AI Act — méthode en 5 étapes
- Inventaire de tous les systèmes d'IA utilisés ou développés par votre entreprise (achetés ou maison). Incluez les Copilot, ChatGPT Entreprise, outils SaaS avec couche IA.
- Classification AI Act de chaque système (inacceptable / haut / limité / minimal).
- Évaluation de conformité pour chaque système à risque limité ou haut risque, avec liste d'actions correctives.
- Documentation : registre des systèmes IA, fiches techniques par système, AIPD si données personnelles, charte interne d'usage de l'IA.
- Gouvernance : nommer un référent IA, intégrer la conformité IA au comité de direction, prévoir un cycle de revue annuel.
Nous accompagnons cette mise en conformité via une mission d'audit AI Act (2 500 € HT, 10 jours), qui livre l'inventaire complet, la classification de chaque système, les actions correctives prioritaires et la documentation initiale.
Questions fréquentes
Oui, sans exception. Le règlement s'applique dès lors que vous mettez sur le marché ou utilisez un système d'IA dont le résultat est utilisé dans l'UE. Quelques allègements sont prévus pour les PME (notamment des frais réduits pour les évaluations de conformité), mais aucune exemption d'obligation principale.
Dans la quasi-totalité des cas, non. Un chatbot SAV qui répond à des questions produit ou route des demandes relève du risque limité — obligation principale : informer que l'utilisateur parle à une IA. Le haut risque concerne des décisions qui affectent significativement les personnes (refus de crédit, décision de recrutement, diagnostic médical).
Pour les systèmes à haut risque, oui — inscription dans la base européenne des systèmes IA. Pour les autres niveaux de risque, pas de déclaration formelle, mais conservation interne d'un registre des systèmes IA recommandée (et exigée en cas de contrôle).
Non. Les deux règlements coexistent et se complètent. Le RGPD continue de régir le traitement des données personnelles ; l'AI Act ajoute des obligations spécifiques aux systèmes d'IA. Concrètement, un chatbot qui traite des données client doit respecter à la fois le RGPD (base légale, droits des personnes) et l'AI Act (transparence, étiquetage).
Les autorités de contrôle (CNIL et DGCCRF en France) appliqueront probablement une période de tolérance les premiers mois, avec mises en demeure avant sanctions. Mais une fois une enquête déclenchée, les sanctions peuvent atteindre 35 M€ ou 7 % du CA pour les violations les plus graves. L'approche pragmatique : viser une conformité documentée pour le 2 août 2026, ajustable ensuite.