yvoria-ai.fr →
← Tous les articles

AI Act : obligations des entreprises européennes et plan de mise en conformité

02/06/2026

Le règlement européen sur l'intelligence artificielle (AI Act) est entré en application progressive depuis août 2024. Pour les DPO, RSSI et responsables conformité, la question n'est plus si il faut s'y préparer, mais comment structurer cette mise en conformité sans paralyser les métiers. Cet article fait le point sur les obligations concrètes et propose un plan d'action pragmatique.

Qui est concerné par l'AI Act ?

L'AI Act s'applique à toute organisation qui place sur le marché, met en service ou utilise des systèmes d'IA au sein de l'Union européenne, quel que soit son siège social. Trois rôles distincts sont définis :

  • Fournisseur (provider) : développe ou commercialise un système d'IA, y compris les éditeurs SaaS.
  • Déployeur (deployer) : utilise un système d'IA dans un contexte professionnel — la majorité des entreprises européennes.
  • Importateur / distributeur : met à disposition sur le marché européen un système conçu hors UE.

Une même entreprise peut cumuler plusieurs rôles, par exemple un cabinet qui fine-tune un modèle LLM pour ses propres besoins.

La logique des risques : quatre niveaux d'obligations

L'AI Act classe les systèmes d'IA en quatre catégories, chacune entraînant des obligations proportionnées :

1. Risque inacceptable — Interdiction totale

Certains usages sont purement et simplement interdits depuis février 2025 : notation sociale généralisée par des autorités publiques, manipulation subliminale, exploitation des vulnérabilités de groupes spécifiques, reconnaissance d'émotions dans les espaces de travail ou établissements d'enseignement (avec exceptions limitées).

2. Risque élevé — Conformité stricte

C'est ici que se concentrent la majorité des obligations pour les entreprises. Sont considérés à haut risque les systèmes d'IA utilisés dans : le recrutement et la gestion RH, l'octroi de crédit, les infrastructures critiques, la sécurité des produits, l'éducation ou encore la justice. Les obligations incluent :

  • Évaluation de conformité avant déploiement (conformity assessment)
  • Système de gestion des risques documenté et maintenu dans le temps
  • Gouvernance des données d'entraînement et de test
  • Documentation technique exhaustive et journaux d'audit (logs)
  • Transparence et information des utilisateurs finaux
  • Supervision humaine effective (human oversight)
  • Robustesse, précision et cybersécurité

3. Risque limité — Obligations de transparence

Les chatbots, deepfakes ou contenus générés par IA doivent être clairement identifiés comme tels. L'objectif est d'éviter toute tromperie de l'utilisateur. Pour la plupart des entreprises utilisant des assistants IA en relation client, c'est l'obligation minimale immédiate.

4. Risque minimal — Aucune obligation spécifique

Filtres anti-spam, recommandations de contenu non critiques : ces systèmes ne font l'objet d'aucune exigence réglementaire particulière, bien que les bonnes pratiques de gouvernance restent recommandées.

Calendrier : ce qui est déjà applicable

L'AI Act suit un calendrier échelonné qu'il est indispensable d'intégrer dans votre roadmap :

  • Février 2025 : Interdictions des pratiques à risque inacceptable en vigueur.
  • Août 2025 : Obligations applicables aux modèles d'IA à usage général (GPAI), dont les modèles à impact systémique.
  • Août 2026 : Obligations complètes pour les systèmes à haut risque (annexes III et IV).
  • Août 2027 : Extension aux systèmes d'IA embarqués dans des produits couverts par d'autres directives (dispositifs médicaux, machines, etc.).

Plan de mise en conformité en 5 étapes

Étape 1 — Cartographier les usages IA (shadow AI inclus)

Avant toute chose, l'entreprise doit savoir quels systèmes d'IA elle utilise réellement. Cela inclut les outils achetés via des licences SaaS, les API intégrées dans des workflows métiers, mais aussi le shadow AI — ces outils utilisés sans validation de la DSI ou de la conformité. Un inventaire structuré est la base de tout programme de gouvernance IA.

Étape 2 — Classifier les risques par système

Pour chaque système identifié, appliquez la grille de classification de l'AI Act. Interrogez-vous : ce système prend-il ou informe-t-il des décisions ayant un impact significatif sur des personnes (emploi, crédit, accès à des services essentiels) ? Si oui, la présomption de haut risque s'applique.

Étape 3 — Prioriser et affecter les responsabilités

Désignez un responsable conformité IA ou étendez le mandat du DPO. Définissez une matrice RACI claire entre DSI, métiers, DPO et direction juridique. Les entreprises de plus de 250 salariés ont tout intérêt à créer un comité de gouvernance IA.

Étape 4 — Documenter et mettre en place les contrôles

Pour les systèmes à haut risque, rédigez la documentation technique exigée, formalisez les procédures de supervision humaine et instaurez des mécanismes de journalisation. Vérifiez la cohérence avec les obligations RGPD déjà en place (analyses d'impact, registre de traitement).

Étape 5 — Former les équipes et instaurer une veille

L'AI Act impose une littératie IA aux personnels qui utilisent ou supervisent des systèmes d'IA. Mettez en place des formations ciblées par profil (métiers, IT, direction) et organisez une veille réglementaire — les actes délégués et lignes directrices de l'AI Office européen évoluent régulièrement.

Articulation avec le RGPD : les synergies à exploiter

L'AI Act et le RGPD sont complémentaires. Les analyses d'impact sur la protection des données (AIPD/DPIA) peuvent servir de socle pour les évaluations de conformité IA. Les registres de traitement alimentent l'inventaire IA. Les DPO disposent déjà d'une grande partie de la méthodologie — il s'agit de l'adapter et de l'étendre au périmètre IA.

Sanctions : des enjeux financiers réels

Les amendes prévues par l'AI Act sont significatives : jusqu'à 35 millions d'euros ou 7 % du chiffre d'affaires mondial pour les violations des interdictions, et jusqu'à 15 millions d'euros ou 3 % du CA pour les manquements aux obligations des systèmes à haut risque. Des montants réduits s'appliquent aux PME, mais le signal est clair : la conformité n'est pas optionnelle.

FAQ

À partir de quand les obligations AI Act s'appliquent-elles aux entreprises ?

Les interdictions des pratiques à risque inacceptable sont en vigueur depuis février 2025. Les obligations pour les modèles d'IA à usage général s'appliquent dès août 2025, et celles pour les systèmes à haut risque en août 2026.

Une PME est-elle concernée par l'AI Act ?

Oui, dès lors qu'elle utilise, déploie ou commercialise un système d'IA sur le marché européen. Des dispositions allégées (sanctions réduites, accès aux bacs à sable réglementaires) sont prévues pour les PME et start-ups.

Quelle est la différence entre fournisseur et déployeur au sens de l'AI Act ?

Le fournisseur développe ou met sur le marché un système d'IA. Le déployeur l'utilise dans un contexte professionnel sous sa propre responsabilité. Les obligations ne sont pas identiques : les déployeurs ont principalement des obligations de supervision, de transparence et de remontée d'incidents.

Comment articuler l'AI Act avec le RGPD déjà en place ?

Les deux réglementations sont complémentaires. Les DPIA, registres de traitement et procédures de gestion des risques RGPD constituent une base solide à étendre au périmètre IA. Le DPO est souvent le mieux placé pour piloter cette convergence.

Qu'est-ce que le shadow AI et pourquoi est-il un risque de conformité ?

Le shadow AI désigne les outils d'IA utilisés par les collaborateurs sans validation de la DSI ou de la conformité. Ces usages non recensés empêchent toute classification des risques et exposent l'entreprise à des violations non détectées de l'AI Act ou du RGPD.