Droit & Ethique

IA Act europeen : quelles obligations pour votre entreprise en 2026

11 min de lecture

Le reglement europeen sur l'intelligence artificielle : un tournant pour les entreprises

Le 1er aout 2024, le reglement europeen sur l'intelligence artificielle -- communement appele IA Act ou AI Act -- est officiellement entre en vigueur. Il s'agit du premier cadre juridique global au monde dedie specifiquement a l'intelligence artificielle. Pour les entreprises qui developpent, deploient ou utilisent des systemes d'IA, ce texte impose des obligations concretes dont l'application s'echelonne entre 2025 et 2027.

Si vous utilisez deja des outils d'IA dans votre activite ou envisagez de le faire, il est essentiel de comprendre ce que ce reglement implique pour votre organisation. Comme nous l'avions evoque dans notre article sur les risques lies a l'utilisation de l'IA sans expertise, l'absence de cadre interne peut exposer votre entreprise a des consequences juridiques et operationnelles serieuses. L'IA Act vient precisement structurer ce cadre au niveau europeen.

Calendrier d'application : les echeances a retenir

L'IA Act ne s'applique pas en une seule fois. Son deploiement suit un calendrier progressif qui laisse aux entreprises le temps de se preparer :

  • Fevrier 2025 : interdiction des pratiques d'IA jugees inacceptables (manipulation subliminale, notation sociale, etc.)
  • Aout 2025 : obligations relatives aux modeles d'IA a usage general (foundation models), mise en place des autorites de surveillance
  • Aout 2026 : application de la majorite des dispositions, notamment celles concernant les systemes d'IA a haut risque
  • Aout 2027 : application des obligations pour les systemes d'IA integres dans des produits reglementes (dispositifs medicaux, vehicules, etc.)

En mars 2026, nous nous trouvons donc dans une phase critique : les interdictions sont deja effectives, et les obligations majeures pour les systemes a haut risque entreront en vigueur dans quelques mois. C'est maintenant qu'il faut agir.

La classification par niveaux de risque : le coeur du reglement

L'approche de l'IA Act repose sur une logique de proportionnalite. Tous les systemes d'IA ne sont pas soumis aux memes regles : les obligations varient en fonction du niveau de risque que le systeme represente pour les droits fondamentaux et la securite des personnes.

Risque inacceptable : les pratiques interdites

Certains usages de l'IA sont purement et simplement interdits depuis fevrier 2025. Il s'agit notamment de :

  • Les systemes de notation sociale (social scoring) par les autorites publiques
  • L'exploitation des vulnerabilites de personnes en raison de leur age, handicap ou situation sociale
  • La manipulation subliminale susceptible de causer un prejudice
  • L'identification biometrique a distance en temps reel dans l'espace public (sauf exceptions strictement encadrees)
  • La categorisation biometrique fondee sur des donnees sensibles (origine ethnique, orientation sexuelle, convictions religieuses)
  • La reconnaissance des emotions sur le lieu de travail et dans les etablissements d'enseignement

Si votre entreprise utilise ou envisage d'utiliser l'un de ces systemes, vous devez y renoncer immediatement. Aucune derogation n'est possible pour les acteurs prives sur ces pratiques.

Risque eleve : des obligations substantielles

Les systemes d'IA a haut risque constituent le coeur du dispositif reglementaire. Sont concernes les systemes utilises dans les domaines suivants :

  • Recrutement et gestion des ressources humaines : tri de CV, evaluation des candidats, decisions de promotion
  • Education : notation automatisee, orientation scolaire, detection de triche
  • Acces aux services essentiels : credit bancaire, assurance, prestations sociales
  • Application de la loi : evaluation des risques, polygraphes, analyse de preuves
  • Migration et controle aux frontieres : verification de documents, evaluation des demandes
  • Infrastructure critique : gestion du trafic routier, approvisionnement en eau, electricite, gaz

Pour ces systemes, les obligations sont les plus exigeantes. Les fournisseurs et deployers doivent mettre en place :

  1. Un systeme de gestion des risques documente et mis a jour regulierement
  2. Une gouvernance des donnees garantissant la qualite, la representativite et l'absence de biais des jeux de donnees d'entrainement
  3. Une documentation technique detaillee decrivant le fonctionnement du systeme
  4. Un enregistrement automatique des activites (logs) permettant la tracabilite des decisions
  5. Une information transparente des utilisateurs sur les capacites et limites du systeme
  6. Un controle humain effectif, avec la possibilite d'intervenir ou d'arreter le systeme
  7. Des niveaux adequats de precision, robustesse et cybersecurite
  8. Une evaluation de conformite avant la mise sur le marche, et un enregistrement dans la base de donnees europeenne

Risque limite : l'obligation de transparence

Les systemes d'IA presentant un risque limite sont principalement soumis a des obligations de transparence. Cela concerne notamment :

  • Les chatbots et assistants virtuels : les utilisateurs doivent etre informes qu'ils interagissent avec une IA
  • Les systemes de generation de contenus (texte, image, audio, video) : les contenus produits doivent etre signales comme generes par IA
  • Les systemes de reconnaissance des emotions ou de categorisation biometrique : les personnes concernees doivent en etre informees

Ces obligations de transparence sont relativement simples a mettre en oeuvre mais ne doivent pas etre negligees. Un simple bandeau ou une mention explicite peut suffire dans la plupart des cas.

Risque minimal : pas d'obligations specifiques

La grande majorite des systemes d'IA en circulation releve du risque minimal : filtres anti-spam, systemes de recommandation de contenu, outils d'optimisation logistique, assistants de redaction. Pour ces usages, l'IA Act n'impose aucune obligation specifique, mais encourage l'adoption volontaire de codes de conduite.

L'impact concret sur les PME et ETI

Si vous dirigez une PME ou une ETI, vous vous demandez probablement si votre entreprise est directement concernee. La reponse depend de votre usage de l'IA.

Vous etes deployer (utilisateur) d'un systeme d'IA a haut risque si vous utilisez, par exemple, un logiciel de tri de CV base sur l'IA ou un outil d'evaluation creditice automatisee. Dans ce cas, vous avez des obligations propres, distinctes de celles du fournisseur :

  • Utiliser le systeme conformement aux instructions du fournisseur
  • Assurer un controle humain par des personnes formees et competentes
  • Verifier la pertinence des donnees d'entree
  • Conserver les logs generes par le systeme
  • Informer les personnes concernees qu'elles font l'objet d'une decision assistee par IA
  • Realiser une analyse d'impact sur les droits fondamentaux (pour les organismes publics et certains acteurs prives)

Vous etes fournisseur si vous developpez ou mettez sur le marche un systeme d'IA. Les obligations sont alors plus lourdes, comme detaille dans la section precedente.

Le reglement prevoit toutefois des mesures d'allegement pour les PME : acces prioritaire aux bacs a sable reglementaires (sandboxes) mis en place par les autorites nationales, reduction des redevances administratives et prise en compte de la taille de l'entreprise dans l'application des sanctions.

Checklist de mise en conformite

Pour vous preparer efficacement, voici les etapes cles a suivre :

  • Cartographier vos usages d'IA : identifiez tous les systemes d'IA utilises dans votre organisation, y compris les outils tiers integres a vos processus
  • Classifier chaque systeme selon les niveaux de risque definis par le reglement
  • Evaluer votre role : etes-vous fournisseur, deployer, importateur ou distributeur pour chaque systeme ?
  • Verifier la conformite de vos fournisseurs : si vous utilisez des solutions tierces, assurez-vous que vos prestataires respectent les obligations qui leur incombent
  • Mettre en place une gouvernance interne : designez un referent IA, formez vos equipes, documentez vos processus
  • Rediger la documentation requise : notices d'utilisation, analyses de risques, registres de traitement
  • Planifier les evaluations de conformite : selon la categorie de votre systeme, une auto-evaluation ou un audit par un organisme notifie peut etre necessaire
  • Mettre a jour vos contrats : integrez des clauses relatives a l'IA Act dans vos contrats avec les fournisseurs et sous-traitants

Si vous souhaitez etre accompagne dans cette demarche, notamment pour integrer l'IA de maniere conforme et structuree dans vos processus, decouvrez nos services d'accompagnement en intelligence artificielle.

Les sanctions : un regime dissuasif

Le regime de sanctions prevu par l'IA Act est significatif et s'inspire directement du RGPD :

  • Pratiques interdites : jusqu'a 35 millions d'euros ou 7 % du chiffre d'affaires annuel mondial
  • Non-respect des obligations pour les systemes a haut risque : jusqu'a 15 millions d'euros ou 3 % du chiffre d'affaires
  • Fourniture d'informations inexactes aux autorites : jusqu'a 7,5 millions d'euros ou 1 % du chiffre d'affaires

Pour les PME et les startups, les montants sont plafonnes au pourcentage le plus faible. Neanmoins, meme reduits, ces montants restent suffisamment importants pour justifier une mise en conformite proactive.

IA Act et RGPD : deux reglements complementaires

Si vous avez deja traverse la mise en conformite au RGPD, vous retrouverez dans l'IA Act une logique similaire : approche par les risques, obligations de transparence, documentation obligatoire, designation de responsables, sanctions proportionnelles.

Cependant, les deux textes different sur plusieurs points :

Aspect RGPD IA Act
Objet Donnees personnelles Systemes d'intelligence artificielle
Approche Protection des donnees Securite et droits fondamentaux
Classification Categories de donnees Niveaux de risque
Evaluation Analyse d'impact (AIPD) Evaluation de conformite
Autorite CNIL (en France) Autorite nationale (a designer)

Les deux reglements sont complementaires et se renforcent mutuellement. Un systeme d'IA qui traite des donnees personnelles doit respecter a la fois le RGPD et l'IA Act. La bonne nouvelle, c'est que les processus mis en place pour le RGPD (registre des traitements, analyses d'impact, gouvernance des donnees) constituent une base solide pour la conformite a l'IA Act.

Comment vous preparer concretement

Au-dela de la checklist reglementaire, voici des actions concretes que vous pouvez entreprendre des aujourd'hui :

Formez vos equipes. La competence en matiere d'IA est au coeur du reglement. L'article 4 impose une obligation de "maitrise de l'IA" (AI literacy) pour toutes les personnes impliquees dans le deploiement et l'utilisation de systemes d'IA. Investir dans la formation est a la fois une obligation et un levier de performance.

Auditez vos outils existants. Beaucoup d'entreprises utilisent deja de l'IA sans le savoir : filtres de messagerie, outils de traduction, assistants de redaction, CRM predictifs. Un audit complet permet d'identifier les systemes concernes et d'evaluer leur niveau de risque.

Adoptez une approche structuree. Comme nous le detaillons dans notre guide pratique d'integration de l'IA en entreprise, une demarche methodique permet de maximiser les benefices tout en maitrisant les risques. L'IA Act renforce cette necessite en y ajoutant un cadre juridique contraignant.

Documentez tout. La documentation est un pilier de la conformite. Chaque decision relative a l'utilisation d'un systeme d'IA, chaque evaluation de risque, chaque mesure corrective doit etre tracee et archivee.

Anticipez les evolutions. L'IA Act prevoit des mecanismes de revision et d'adaptation. La Commission europeenne peut modifier la liste des systemes a haut risque par actes delegues. Restez en veille pour adapter votre conformite en continu.

FAQ

Mon entreprise utilise ChatGPT ou un assistant IA similaire. Est-elle concernee par l'IA Act ?

Oui, mais probablement au titre du risque limite. Votre principale obligation sera de vous assurer que vos interlocuteurs (clients, partenaires, salaries) savent qu'ils interagissent avec une IA lorsque c'est le cas. Si vous utilisez l'IA pour generer du contenu publie, celui-ci doit etre identifie comme tel. En revanche, si vous utilisez l'IA pour des decisions ayant un impact significatif sur des personnes (recrutement, credit, etc.), vous relevez probablement du haut risque.

Quelles differences entre un fournisseur et un deployer au sens de l'IA Act ?

Le fournisseur est l'entite qui developpe ou met sur le marche un systeme d'IA. Le deployer est l'entite qui utilise ce systeme dans le cadre de son activite professionnelle. Les obligations different : le fournisseur doit garantir la conformite technique du systeme, tandis que le deployer doit s'assurer de son utilisation correcte, du controle humain et de l'information des personnes concernees. Attention : si vous modifiez substantiellement un systeme d'IA existant ou le commercialisez sous votre propre nom, vous pouvez etre requalifie en fournisseur.

Les PME beneficient-elles d'exemptions particulieres ?

Le reglement ne prevoit pas d'exemption totale pour les PME, mais il amenage des dispositions specifiques. Les PME beneficient d'un acces prioritaire aux bacs a sable reglementaires pour tester leurs systemes dans un environnement supervise, de redevances reduites pour les procedures de conformite, et d'une prise en compte de leur taille dans le calcul des sanctions. Par ailleurs, les systemes d'IA a risque minimal, qui representent la majorite des usages en PME, ne sont soumis a aucune obligation contraignante.

Comment savoir si mon systeme d'IA est classe a haut risque ?

L'annexe III du reglement liste exhaustivement les domaines d'application consideres comme a haut risque. Si votre systeme d'IA est utilise dans l'un de ces domaines (recrutement, education, credit, justice, migration, infrastructure critique, etc.) et qu'il influence de maniere significative une decision concernant une personne physique, il est probablement classe a haut risque. En cas de doute, une analyse juridique est recommandee. Les bacs a sable reglementaires nationaux peuvent egalement vous aider a qualifier votre systeme.

Quel lien entre l'IA Act et le RGPD ? Dois-je me conformer aux deux ?

Oui, les deux reglements s'appliquent de maniere cumulative. Si votre systeme d'IA traite des donnees personnelles, il doit respecter le RGPD (base legale, minimisation, droits des personnes, etc.) et l'IA Act (classification du risque, obligations de transparence, documentation, etc.). La bonne pratique consiste a integrer les deux cadres dans une gouvernance unifiee. Les travaux deja realises pour le RGPD (registre des traitements, DPO, analyses d'impact) constituent un socle reutilisable pour la conformite a l'IA Act.