L’AI Act, adopté en 2024, entre dans sa phase d’application massive en 2026. Les obligations qui semblaient lointaines deviennent opposables. Pour la plupart des entreprises, l’enjeu n’est plus de comprendre le texte mais d’en traduire les exigences en process internes.
Ou 7 % du CA mondial
Inacceptable → minimal
Hauts risques + GPAI
Quand chaque obligation entre en vigueur
- Février 2025
Pratiques interdites
Notation sociale, manipulation cognitive, biométrie de masse en temps réel — interdites.
- Août 2025
Obligations GPAI (modèles fondation)
Transparence, droit d’auteur, documentation technique pour les fournisseurs de LLM.
- Août 2026
Hauts risques (annexe III)
Système de gestion des risques, qualité des données, supervision humaine, journalisation.
- Août 2027
Hauts risques annexe I
Produits soumis aux directives sectorielles (santé, machines…) — délai allongé.
Les 4 niveaux à connaître
Niveau
Inacceptable
Notation sociale, manipulation comportementale, biométrie en temps réel à des fins de profilage. Strictement interdit.
Niveau
Haut risque
RH, éducation, santé, infrastructures critiques, justice, services essentiels. Lourd dossier conformité.
Niveau
Risque limité
Chatbots, deepfakes, IA génératives. Obligation principale : transparence (informer l’utilisateur).
Niveau
Risque minimal
Filtres anti-spam, IA dans jeux vidéo. Obligations volontaires uniquement.
Ce qu’il faut produire concrètement
Pour un système haut risque, l’AI Act impose un dossier conformité opposable. Les éléments attendus :
Système de gestion des risques
Identification, évaluation et atténuation des risques tout au long du cycle de vie.
Qualité des données
Pertinence, représentativité, absence d’erreurs et de biais documentés. Tests obligatoires.
Documentation technique
Description du système, choix de conception, performances, limites — version par version.
Journalisation automatique
Logs des événements traçables, conservés assez longtemps pour permettre un audit.
Supervision humaine
L’humain doit pouvoir interpréter, ignorer ou inverser une décision IA. Pas d’automatisation 100 %.
Robustesse, précision, cybersécurité
Tests documentés, niveau de précision affiché, plan de réponse aux incidents.
Information de l’utilisateur final
Mention claire qu’il interagit avec une IA. Transparence sur les contenus générés (deepfake, image, texte).
Newsletter
Recevez les analyses IA, une fois par mois
Des décryptages comme celui-ci, sans hype, sans spam.
L’échelle des amendes
| Infraction | Amende max. |
|---|---|
| Pratiques interdites | 35 M€ ou 7 % CA |
| Violations hauts risques | 15 M€ ou 3 % CA |
| Information incorrecte aux autorités | 7,5 M€ ou 1,5 % CA |
Les sanctions sont modulées au regard de la taille de l’entreprise — un plafond plus bas pour les PME et start-ups.
Un plan en 6 étapes réalistes
- 1
Inventaire
Cartographier tous les systèmes IA utilisés ou développés. Sans inventaire, pas de classification possible.
- 2
Classification
Pour chaque système, déterminer le niveau de risque et le rôle (fournisseur / déployeur).
- 3
Gap analysis
Comparer les exigences applicables au niveau réel de documentation et de contrôle.
- 4
Plan d’action priorisé
Traiter d’abord les hauts risques et les pratiques interdites. Reste : phasing.
- 5
Gouvernance
Désigner un référent IA (souvent rattaché au DPO ou à la conformité). Définir un comité IA.
- 6
Suivi
Tableau de bord, revues régulières, intégration au cycle de vie produit. C’est un processus, pas un jalon.
“Le piège, c’est de traiter l’AI Act comme un projet ponctuel. C’est un système de management — au même titre que la sécurité ou le RGPD.”
Outils & gouvernance recommandés
Registre des systèmes IA
Inventaire central avec niveau de risque, propriétaire, dossier conformité associé.
Outils d’audit & lineage
Tracer la donnée d’entraînement et les sorties (Credo AI, Holistic AI…).
Contractuels
Clauses fournisseurs (DPA enrichi IA), responsabilités déployeur / fournisseur.
Garde-fous techniques
Filtres injection prompt, surveillance des sorties, journalisation.
Questions fréquentes
L’AI Act s’applique-t-il à mon entreprise si je suis hors UE ?
Oui, dès lors que vous proposez un système d’IA utilisé dans l’UE ou que ses sorties y sont utilisées. Le règlement a une portée extraterritoriale similaire au RGPD.
Mon usage de ChatGPT en interne tombe-t-il sous l’AI Act ?
Si vous l’utilisez tel quel (déployeur), des obligations limitées : information des utilisateurs, transparence sur les contenus générés, conformité aux usages interdits. Si vous le ré-entraînez ou le commercialisez modifié, vous devenez fournisseur et les obligations s’alourdissent.
Qu’est-ce qu’un usage à « haut risque » ?
Liste limitative à l’annexe III : RH (tri de CV, évaluation), éducation (notation), santé (diagnostic), application de la loi, services essentiels (crédit, assurance), infrastructures critiques. Y entrer impose un dossier conformité complet.
Quelles obligations pour les modèles GPAI (general-purpose AI) ?
Documentation technique, transparence sur le corpus d’entraînement (résumé public), respect du droit d’auteur, sécurité des modèles à risque systémique. Obligations renforcées au-dessus de 10^25 FLOPs d’entraînement.
Combien risque-t-on en cas de non-conformité ?
Jusqu’à 35 M€ ou 7 % du CA mondial pour les pratiques interdites. 15 M€ ou 3 % du CA pour les autres infractions. Sanctions calibrées au regard de la taille de l’entreprise.
À lire aussi