Le règlement européen sur l’intelligence artificielle — communément appelé EU AI Act — est entré en vigueur le 1er août 2024. Pour les entreprises françaises qui utilisent, développent ou déploient des systèmes d’IA, il s’agit de la réglementation la plus structurante depuis le RGPD. Pourtant, beaucoup d’organisations n’ont pas encore pris la mesure de ce que cela implique concrètement.
Ce guide vous donne une vision claire et pratique : qui est concerné, quelles sont les obligations, et comment vous préparer sans perdre de temps.
Qu’est-ce que l’EU AI Act ?
L’AI Act est le premier cadre réglementaire mondial dédié à l’intelligence artificielle. Adopté par le Parlement européen en mars 2024 et publié au Journal officiel en juillet 2024, il s’applique à toutes les entreprises qui :
- développent des systèmes d’IA destinés au marché européen,
- déploient des systèmes d’IA sur des utilisateurs établis en Europe,
- importent ou distribuent des systèmes d’IA dans l’UE.
Cela concerne donc non seulement les éditeurs de logiciels, mais aussi les PME qui utilisent des outils IA dans leurs processus internes ou dans leurs services clients.
Le système de classification par niveaux de risque
Le cœur de l’AI Act repose sur une approche par niveau de risque. Plus le risque est élevé, plus les obligations sont strictes.
1. Risque inacceptable — Systèmes interdits
Certaines applications sont purement et simplement interdites :
- La notation sociale des citoyens par des autorités publiques (à la manière du système chinois de crédit social)
- L’exploitation de vulnérabilités de personnes (enfants, personnes âgées, personnes en situation de handicap)
- La reconnaissance biométrique en temps réel dans les espaces publics (avec exceptions très encadrées pour les forces de l’ordre)
- Les systèmes de manipulation subliminale
Ces interdictions s’appliquent dès le 2 février 2025.
2. Risque élevé — Obligations lourdes
Les systèmes d’IA à haut risque sont ceux susceptibles d’affecter significativement les droits fondamentaux ou la sécurité des personnes. On distingue deux grandes catégories :
Annexe I — Systèmes régis par des directives existantes :
- Dispositifs médicaux, véhicules autonomes, équipements de sécurité industrielle
Annexe III — Autres systèmes à haut risque :
- Outils de recrutement et d’évaluation des candidats
- Systèmes de notation de crédit
- Outils d’évaluation scolaire
- Systèmes utilisés dans le cadre de la justice ou de l’immigration
- Infrastructures critiques
Pour ces systèmes, les obligations incluent : une évaluation de conformité préalable, une documentation technique détaillée, une supervision humaine, des tests de robustesse et de sécurité, et un enregistrement dans la base de données EU.
3. Risque limité — Obligations de transparence
Les systèmes d’IA présentant un risque limité doivent principalement respecter des obligations de transparence :
- Les chatbots doivent informer les utilisateurs qu’ils interagissent avec une IA
- Les contenus générés par IA (texte, images, audio, vidéo) doivent être identifiés comme tels (dans les cas relevant de la manipulation)
- Les systèmes de génération de deepfakes doivent divulguer leur nature artificielle
4. Risque minimal — Pas d’obligation spécifique
La grande majorité des applications IA entre dans cette catégorie : jeux vidéo, filtres anti-spam, recommandations de contenu sans impact significatif sur les droits. Aucune obligation réglementaire spécifique n’est imposée, bien que les bonnes pratiques soient encouragées.
Les obligations spécifiques aux modèles d’IA à usage général (GPAI)
Une section importante de l’AI Act concerne les modèles d’IA à usage général (General Purpose AI Models), tels que GPT-4, Claude, Gemini ou Mistral. Les fournisseurs de ces modèles doivent :
- Maintenir une documentation technique complète
- Respecter les droits d’auteur lors de l’entraînement
- Publier un résumé des données d’entraînement
Les modèles considérés comme à risque systémique (puissance de calcul d’entraînement supérieure à 10^25 FLOPs) sont soumis à des obligations supplémentaires : évaluations adversariales, rapport d’incidents, mesures de cybersécurité.
Calendrier de mise en conformité : les dates clés
| Date | Obligation |
|---|---|
| 1er août 2024 | Entrée en vigueur de l’AI Act |
| 2 février 2025 | Interdiction des systèmes à risque inacceptable |
| 2 août 2025 | Application des règles sur les GPAI ; création du bureau de l’IA |
| 2 août 2026 | Obligations pour les systèmes à haut risque (Annexe III) |
| 2 août 2027 | Obligations pour les systèmes à haut risque (Annexe I) |
Pour les PME, les échéances les plus immédiatement pertinentes sont février 2025 (interdictions) et août 2026 (haut risque si vous utilisez des outils RH, scoring, évaluation).
Les sanctions prévues
Le régime de sanctions est significatif :
- Violation des interdictions : jusqu’à 35 millions d’euros ou 7 % du chiffre d’affaires mondial annuel
- Non-conformité aux obligations haut risque : jusqu’à 15 millions d’euros ou 3 % du CA mondial
- Fourniture d’informations incorrectes : jusqu’à 7,5 millions d’euros ou 1 % du CA mondial
Pour les PME, des sanctions proportionnées sont prévues, mais le risque reste réel, surtout en cas de plainte d’un concurrent ou d’un employé.
Comment se préparer concrètement ?
Étape 1 : Réaliser un inventaire de vos systèmes IA
Listez tous les outils et systèmes IA utilisés dans votre entreprise : outils RH, CRM avec scoring, chatbots, outils de génération de contenu, ERP avec modules d’IA, etc. Pour chaque système, identifiez le fournisseur, le cas d’usage et les données traitées.
Étape 2 : Classer vos systèmes par niveau de risque
Sur la base de l’inventaire, déterminez la catégorie de risque applicable. En cas de doute, consultez les guidelines du bureau de l’IA ou faites appel à un expert.
Étape 3 : Mettre en place la gouvernance IA
Désignez un référent IA interne (ou externalisez cette fonction). Établissez une politique d’utilisation de l’IA, incluant les règles d’utilisation acceptable, les processus de validation humaine et les procédures de gestion des incidents.
Étape 4 : Former vos équipes
L’Article 4 de l’AI Act impose explicitement que les opérateurs de systèmes IA s’assurent que les personnes responsables de ces systèmes disposent d’une « alphabétisation IA » suffisante. Cette obligation entre en vigueur dès août 2025.
Étape 5 : Documenter et auditer
Pour les systèmes à haut risque, préparez la documentation technique requise : description du système, données d’entraînement utilisées, performances et limites, mesures de supervision humaine.
Ce que cela signifie pour les PME françaises
Contrairement à ce que l’on pourrait penser, l’AI Act n’est pas réservé aux grandes entreprises technologiques. Toute PME qui :
- utilise un logiciel RH avec analyse automatique de CV,
- déploie un chatbot pour son service client,
- utilise un outil de scoring commercial,
- ou intègre l’IA dans ses processus de décision…
…est potentiellement concernée par ces règles.
La bonne nouvelle : la mise en conformité n’est pas insurmontable si elle est abordée méthodiquement et suffisamment tôt.
Conclusion
L’EU AI Act représente un changement de paradigme dans la façon dont les entreprises doivent appréhender l’IA. Au-delà de la contrainte réglementaire, c’est aussi une opportunité de structurer une démarche IA responsable et de gagner la confiance de vos clients et partenaires.
Chez BetterPeople, nous accompagnons les PME et ETI françaises dans leur mise en conformité et dans la formation de leurs équipes aux exigences de l’AI Act. De l’inventaire initial à la formation en alphabétisation IA, nous vous aidons à transformer cette obligation en avantage compétitif.
Prêt à structurer votre conformité IA ? Découvrez notre accompagnement sur betterpeople.studio.
Prêt à transformer votre organisation avec l'IA ?
Réservez un diagnostic gratuit de 30 minutes avec notre équipe.