L’Europe a fait un pari audacieux : réguler l’intelligence artificielle avant que ses effets ne soient irréversibles. À mi-2025, le tableau réglementaire européen de l’IA commence à se clarifier. L’AI Act est en vigueur depuis août 2024, le Data Act depuis septembre 2025, et plusieurs autres textes interagissent directement avec les déploiements IA. Voici le bilan pour les entreprises.
L’AI Act : les premières applications concrètes
Ce qui est déjà appliqué (depuis août 2024 et février 2025)
Entrée en vigueur générale (1er août 2024) L’AI Act est officiellement en droit européen. Les États membres ont 24 mois pour adapter leurs lois nationales.
Interdictions (depuis le 2 février 2025) Les systèmes à risque inacceptable sont interdits. Aucune entreprise européenne ne peut déployer :
- Systèmes de notation sociale des citoyens par des autorités publiques
- IA exploitant des vulnérabilités psychologiques ou physiques
- Reconnaissance biométrique en temps réel dans les espaces publics (sauf exceptions policières encadrées)
- Systèmes de manipulation subliminale
En pratique : ces interdictions touchent principalement des applications très spécifiques. La plupart des entreprises n’étaient pas dans ces cas. L’impact concret pour les PME est faible sur ce point.
Le Bureau de l’IA Européen (AI Office)
Le Bureau de l’IA, créé au sein de la Commission Européenne, est opérationnel depuis 2025. Il :
- Supervise les modèles d’IA à usage général (GPAI) comme GPT-4, Claude, Gemini
- Publie les codes de bonne conduite pour les fournisseurs GPAI
- Coordonne les autorités nationales de supervision
En France, l’autorité de supervision nationale n’était pas encore totalement définie à mi-2025. L’ANSSI est positionnée pour les aspects cybersécurité, la CNIL pour les aspects RGPD et données, et une autorité sectorielle reste à confirmer pour la supervision générale de l’AI Act.
Ce qui arrive (août 2025 → août 2026)
Août 2025 : Obligations GPAI et alphabétisation IA
- Les fournisseurs de modèles d’IA à usage général (GPT-4, Claude, Gemini, Mistral Large) doivent respecter leurs obligations : documentation, droits d’auteur sur les données d’entraînement, résumé des données utilisées
- L’article 4 (alphabétisation IA) devient applicable — c’est l’obligation de formation pour les opérateurs de systèmes IA
Août 2026 : Systèmes à haut risque (Annexe III) Toutes les obligations pour les systèmes à haut risque d’usage courant : recrutement IA, crédit scoring, évaluation scolaire, etc.
Le Data Act : l’autre texte qui change tout pour l’IA
Moins médiatisé que l’AI Act, le Règlement européen sur les données (Data Act) est entré en application le 12 septembre 2025. Il régit le partage des données entre entreprises et entre entreprises et gouvernements.
Les impacts sur l’IA en entreprise
1. Droit d’accès aux données pour les utilisateurs d’IoT Si vous utilisez des objets connectés dans votre production ou vos services, les utilisateurs de ces objets ont désormais le droit d’accéder aux données générées — et de les partager avec des tiers pour créer des services IA concurrents.
Exemple : un fabricant de machines industrielles qui collecte des données de capteurs ne peut plus garder ces données captives pour ses propres services d’IA prédictive. Le client peut les récupérer et les donner à un concurrent.
2. Portabilité des données des services cloud Les clients de services cloud ont le droit de migrer leurs données vers un autre fournisseur avec une facilité “sans obstacle”. Cela facilite techniquement la migration de vos pipelines IA entre fournisseurs.
3. Protection des secrets commerciaux Le Data Act prévoit des protections pour les secrets commerciaux — les données qui constituent un avantage concurrentiel peuvent être protégées du partage imposé.
RGPD et IA : les développements 2024-2025
Le RGPD n’a pas changé, mais son application aux systèmes IA s’est précisée à travers les décisions de la CNIL et des autorités européennes.
Les décisions clés de la CNIL sur l’IA (2024-2025)
Décision sur les LLMs et les données personnelles (décembre 2024) La CNIL a publié un guide de recommandations sur l’usage des LLMs grand public. Points clés :
- Les données personnelles saisies dans ChatGPT, Claude.ai (version gratuite), ou Gemini entrent dans des traitements potentiellement non conformes RGPD
- Pour les usages professionnels, les offres enterprise avec DPA sont recommandées
- Les entreprises doivent établir leur politique d’utilisation des LLMs
Décision sur la biométrie IA Plusieurs entreprises utilisant la reconnaissance faciale pour le contrôle d’accès ont reçu des mises en demeure. L’utilisation de la biométrie (même sans identification de personne) dans des espaces publics est soumise à une autorisation spécifique.
DPIA systématique pour les systèmes IA à haut risque La CNIL a confirmé l’obligation de DPIA pour tout traitement IA sur des données personnelles à grande échelle ou présentant des risques élevés pour les personnes.
Les bases légales pour l’IA
Pour utiliser des données personnelles dans vos systèmes IA, vous devez avoir une base légale valide :
| Usage IA | Base légale recommandée |
|---|---|
| Personnalisation marketing | Consentement ou intérêt légitime |
| Assistance aux salariés | Contrat de travail (avec info DPIA) |
| Analyse des risques client | Intérêt légitime + information |
| Décision automatisée significative | Consentement ou nécessité contractuelle + droit d’opposition |
| Formation de modèles sur données clients | Consentement explicite (en général) |
DSA et DMA : l’impact sur les plateformes IA
Digital Services Act (DSA)
Le DSA régule les grandes plateformes numériques. Pour l’IA, les principales implications :
- Les systèmes de recommandation algorithmique (Netflix, TikTok, YouTube) doivent être transparents et proposer une option “non basée sur le profil”
- Les très grandes plateformes (>45M d’utilisateurs EU) sont soumises à des audits de leurs algorithmes
Digital Markets Act (DMA)
Le DMA impose des obligations aux “gatekeepers” (Google, Meta, Apple, Amazon, Microsoft). Pour l’IA :
- Les intégrations d’IA dans des positions dominantes (ex: Copilot dans Windows, Gemini dans Android) sont sous surveillance
- La Commission Européenne a ouvert plusieurs enquêtes DMA liées à l’IA en 2024-2025
Le CSRD et l’IA : la dimension ESG
La directive CSRD (Corporate Sustainability Reporting Directive), applicable depuis 2024 pour les grandes entreprises et progressivement pour les PME, impose des reportings ESG. L’IA est concernée à deux titres :
1. Impact environnemental de l’IA La consommation énergétique des LLMs (entraînement et inférence) doit être prise en compte dans le bilan carbone. Les Data Centers qui font tourner vos LLMs consomment de l’électricité — cela impacte votre scope 3.
2. Impact social de l’IA Les décisions RH assistées par IA, les impacts sur l’emploi, et les conditions de travail dans la chaîne d’approvisionnement IA (dont les travailleurs de labellisation de données) sont des sujets à couvrir dans le rapport CSRD.
Tableau de bord réglementaire pour les entreprises
| Texte | Applicable depuis | Principales obligations | Votre priorité |
|---|---|---|---|
| RGPD (IA) | Mai 2018 | DPIA, bases légales, droits des personnes | ✅ En cours normalement |
| AI Act (interdictions) | Fév. 2025 | Vérification des systèmes interdits | ✅ À vérifier maintenant |
| AI Act (art. 4) | Août 2025 | Formation alphabétisation IA | 🔴 Urgent |
| NIS2 | Oct. 2024 | Gestion risques cyber, notification incidents | ⚠️ Si secteur concerné |
| Data Act | Sept. 2025 | Portabilité données IoT/cloud | ⚠️ Si données IoT |
| AI Act (haut risque) | Août 2026 | Conformité systèmes haut risque | 📅 Préparer maintenant |
| CSRD | Jan. 2024 (grandes ent.) | Reporting ESG incluant IA | 📅 Selon taille |
Les questions que les entreprises se posent le plus
L’AI Act s’applique-t-il à ChatGPT que j’utilise en entreprise ? Oui, partiellement. OpenAI en tant que fournisseur GPAI a des obligations (documentation, droits d’auteur). Vous en tant qu’opérateur avez des obligations d’alphabétisation (Art. 4) et de transparence si vous déployez ChatGPT en contact avec vos clients.
Une DPIA IA est-elle différente d’une DPIA classique ? Structurellement non, mais le contenu est adapté : évaluation des biais algorithmiques, de l’explicabilité, du risque de discrimination, et de la supervision humaine en plus des critères RGPD classiques.
Doit-on notifier le déploiement de systèmes IA à une autorité ? Pas systématiquement. Les systèmes à haut risque devront être enregistrés dans la base de données EU à partir d’août 2026. Pour l’instant, aucune obligation de notification préalable pour la plupart des usages.
Conclusion
L’Europe a construit en 4 ans le corpus réglementaire le plus complet au monde sur l’IA. Si ce corpus est complexe, il offre aussi une clarté : les entreprises qui s’y conforment bénéficient d’un cadre de confiance qui peut devenir un avantage concurrentiel face à des concurrents moins rigoureux.
2025 est l’année de la mise en conformité active : l’alphabétisation IA (Art. 4) s’applique maintenant, et la préparation aux obligations 2026 sur les systèmes à haut risque doit commencer sans attendre.
BetterPeople accompagne les entreprises dans leur conformité réglementaire IA, de l’inventaire des systèmes à la formation des équipes. Planifiez votre audit réglementaire.
Prêt à transformer votre organisation avec l'IA ?
Réservez un diagnostic gratuit de 30 minutes avec notre équipe.