Un règlement qui concerne toutes les entreprises, sans exception de taille
Publié au Journal officiel de l’Union européenne le 12 juillet 2024 et entré en vigueur le 1er août 2024, le règlement européen sur l’intelligence artificielle — dit AI Act — s’impose désormais comme le cadre de référence mondial en matière d’IA. Contrairement au RGPD, il ne distingue pas les grandes entreprises des PME : toute organisation qui développe, importe, distribue ou utilise un système d’IA à destination des marchés européens est concernée.
Son application est extraterritoriale : une entreprise américaine ou asiatique proposant un outil d’IA à des clients ou employés en Europe est soumise au règlement au même titre qu’une société française. Cette portée universelle oblige les directions juridiques et les DSI à agir sans délai.
« L’AI Act introduit une logique de responsabilité par niveaux de risque — non pas pour freiner l’innovation, mais pour garantir que les systèmes d’IA les plus sensibles soient fiables et contrôlables. »
— Thiébaut Devergranne, avocat en droit du numérique
Quatre niveaux de risque : des obligations très différentes
L’AI Act classe les systèmes d’IA en quatre catégories selon leur niveau de risque potentiel. Cette architecture détermine l’étendue des obligations de conformité.
| Niveau de risque | Exemples | Obligations principales | Sanction max. |
|---|---|---|---|
| Interdit | Notation sociale, manipulation subliminale, reconnaissance émotionnelle en milieu professionnel | Arrêt immédiat, pas de dérogation | 35 M€ / 7 % CA |
| Haut risque | Tri de CV, scoring de crédit, systèmes biométriques, gestion infrastructures critiques | Documentation technique, supervision humaine, enregistrement en base UE | 15 M€ / 3 % CA |
| Risque limité | Chatbots, deepfakes, générateurs de contenu | Information obligatoire (« vous interagissez avec une IA ») | 7,5 M€ / 1 % CA |
| Risque minimal | Filtres anti-spam, jeux vidéo, recommandations non personnalisées | Codes de conduite volontaires | — |
Les huit domaines à haut risque que les entreprises doivent identifier
Le règlement liste huit secteurs dans lesquels les systèmes d’IA sont automatiquement classés à haut risque. Les entreprises opérant dans l’un de ces domaines doivent impérativement inventorier leurs outils avant août 2026.
- Identification biométrique — reconnaissance faciale, contrôle d’accès par empreinte
- Infrastructures critiques — énergie, eau, transports, systèmes de contrôle industriel
- Éducation et formation professionnelle — systèmes d’admission, de notation automatisée
- Emploi et ressources humaines — tri de CV, scoring d’entretiens, outils d’évaluation de la performance
- Services essentiels aux personnes — scoring de crédit, évaluation d’assurance, services publics
- Application de la loi — outils de profilage, détection de menaces, analyse prédictive
- Gestion des migrations et des frontières — évaluation des demandes d’asile, contrôle aux frontières
- Administration de la justice — aide à la décision judiciaire, évaluation des risques de récidive
Pour chacun de ces domaines, les entreprises doivent produire une documentation technique complète, mettre en place une supervision humaine effective, et enregistrer leurs systèmes dans la base de données européenne avant la mise sur le marché.
Calendrier d’application : les échéances à ne pas manquer
| Date | Ce qui entre en vigueur |
|---|---|
| 2 février 2025 ✅ | Interdiction des pratiques d’IA prohibées (notation sociale, manipulation, reconnaissance émotionnelle) |
| 2 août 2025 ✅ | Obligations pour les modèles d’IA générale (GPAI) — ChatGPT, Claude, Gemini, Llama… |
| 2 août 2026 ⚠️ | Pleine application pour les systèmes à haut risque — la grande échéance pour les entreprises |
| 2 août 2027 | Extension aux systèmes d’IA intégrés dans des produits réglementés (dispositifs médicaux, machines…) |
Attention : contrairement à la transition RGPD, le régulateur européen a explicitement indiqué qu’il n’y aurait pas de période de grâce informelle au-delà des dates fixées. Les autorités nationales peuvent ouvrir des enquêtes dès le 2 août 2026.
Les autorités françaises compétentes et leurs périmètres
En France, l’application de l’AI Act est répartie entre plusieurs autorités selon le type d’usage :
- CNIL — Systèmes biométriques, notation, profilage
- DGCCRF — Pratiques commerciales trompeuses, manipulation des consommateurs
- Arcom — Deepfakes, contenus générés par IA dans les médias
- Anssi — Consultation sur les systèmes affectant la cybersécurité
La Commission européenne supervisera directement les modèles GPAI à usage général (ceux qui dépassent 10^25 FLOPs d’entraînement), notamment via le Bureau de l’IA (AI Office) créé en février 2024.
Se mettre en conformité : les premières étapes concrètes
Pour les entreprises qui n’ont pas encore entamé leur démarche, voici les priorités immédiates :
- Cartographier tous les systèmes d’IA utilisés — y compris les outils SaaS tiers (RH, finance, marketing automation)
- Classifier le niveau de risque de chaque système selon les annexes du règlement
- Identifier les usages interdits et les arrêter sans délai
- Nommer un responsable conformité IA (ou mandater le DPO existant)
- Mettre en place un registre interne des systèmes à haut risque
- Engager les fournisseurs d’IA pour obtenir leur documentation technique (les fournisseurs ont aussi des obligations)
- Former les équipes concernées — notamment les RH, DSI et directions juridiques
- Prévoir un mécanisme de supervision humaine pour les systèmes à haut risque
Questions fréquentes sur l’AI Act
Les PME et startups sont-elles concernées par l’AI Act ?
Oui, sans exception de taille. L’AI Act s’applique à toute entreprise qui développe, importe, distribue ou utilise des systèmes d’IA sur le marché européen. Cela dit, le règlement prévoit des allègements procéduraux pour les PME et micro-entreprises, notamment des frais réduits pour l’enregistrement auprès des autorités nationales et un accès prioritaire aux bacs à sable réglementaires.
Un outil RH basé sur l’IA pour trier des CV est-il à haut risque ?
Oui. Le tri automatisé de CV, l’évaluation de candidats ou tout système d’aide à la décision en matière d’emploi est explicitement classé dans la catégorie haut risque (annexe III, point 4). L’entreprise doit documenter le système, garantir la supervision humaine, et enregistrer l’outil dans la base de données EU AI Act avant le 2 août 2026.
Les modèles ChatGPT ou Claude sont-ils déjà soumis à l’AI Act ?
Oui, depuis le 2 août 2025. Les modèles d’IA générale (GPAI) — dont ChatGPT, Claude, Gemini ou Llama — sont soumis à des obligations de transparence et de documentation depuis cette date. Les modèles jugés à risque systémique (entraînés avec plus de 1025 FLOPs) font l’objet de contrôles additionnels par le Bureau de l’IA de la Commission.
Qu’arrive-t-il en cas de non-conformité après août 2026 ?
Les amendes sont graduées selon la gravité de l’infraction. Les usages interdits exposent à 35 millions d’euros ou 7 % du chiffre d’affaires mondial (le montant le plus élevé s’applique). Le non-respect des obligations applicables aux systèmes à haut risque est sanctionné jusqu’à 15 millions d’euros ou 3 % du CA mondial. Les informations incorrectes fournies aux autorités sont passibles de 7,5 millions d’euros ou 1 % du CA mondial.
L’AI Act européen s’applique à toutes les entreprises proposant des systèmes d’IA sur le marché de l’UE, sans seuil de taille. Les systèmes à haut risque (recrutement, crédit, infrastructures critiques…) devront être conformes avant le 2 août 2026. Les sanctions atteignent 35 millions d’euros ou 7 % du chiffre d’affaires mondial pour les usages interdits. Aucune entreprise utilisant ou déployant de l’IA n’est épargnée.
