Depuis le , les premières obligations de l'AI Act européen sont applicables. D'ici , l'ensemble du règlement sera en vigueur. Pour les PME qui développent ou utilisent des systèmes d'intelligence artificielle, la mise en conformité n'est plus optionnelle.
Ce guide détaille les obligations concrètes de l'AI Act, les échéances à respecter, et les étapes pratiques pour se mettre en conformité.
Qu'est-ce que l'AI Act ?
Le Règlement (UE) 2024/1689, dit « AI Act », est le premier cadre juridique complet au monde dédié à l'IA. Adopté le par le Conseil de l'Union européenne et publié au Journal officiel le , il établit des règles harmonisées pour le développement, la mise sur le marché et l'utilisation de systèmes d'IA dans l'Union européenne.
L'AI Act repose sur une approche fondée sur le risque : plus un système d'IA présente un risque pour les droits fondamentaux, plus les obligations sont strictes.
« Le présent règlement vise à améliorer le fonctionnement du marché intérieur en établissant un cadre juridique uniforme, en particulier pour le développement, la mise sur le marché, la mise en service et l'utilisation de systèmes d'intelligence artificielle dans l'Union. »
Règlement (UE) 2024/1689, Article 1er, paragraphe 1
La classification des systèmes d'IA par niveau de risque
1. Risque inacceptable (interdits)
Ces systèmes sont interdits depuis le (article 5) :
- Manipulation subliminale ou exploitation de vulnérabilités
- Notation sociale (social scoring) par les autorités publiques
- Identification biométrique en temps réel dans l'espace public (sauf exceptions)
- Inférence d'émotions sur le lieu de travail et dans les établissements d'enseignement
- Catégorisation biométrique basée sur des caractéristiques sensibles
- Extraction non ciblée d'images faciales depuis Internet ou la vidéosurveillance
2. Haut risque (obligations renforcées)
Les systèmes listés à l'Annexe III sont soumis aux obligations les plus strictes (articles 6 à 49) :
| Domaine | Exemples de systèmes haut risque |
|---|---|
| Recrutement | Tri automatisé de CV, scoring de candidats, entretiens vidéo analysés par IA |
| Crédit | Scoring crédit automatisé, évaluation de solvabilité par IA |
| Éducation | Notation automatisée, détection de triche par IA |
| Infrastructures critiques | Gestion du trafic, réseaux d'eau et d'énergie |
| Services essentiels | Priorisation des appels d'urgence, attribution de prestations sociales |
| Sécurité | Profilage prédictif, évaluation de risque de récidive |
Les obligations pour les systèmes haut risque incluent (articles 9 et suivants) :
- Système de gestion des risques tout au long du cycle de vie
- Gouvernance et qualité des données d'entraînement
- Documentation technique détaillée
- Conservation des logs automatiques
- Transparence et information des utilisateurs
- Contrôle humain effectif (human oversight, article 14)
- Exactitude, robustesse et cybersécurité
- Évaluation de conformité avant mise sur le marché
3. Risque limité (obligations de transparence)
Les systèmes à risque limité sont soumis à des obligations de transparence (article 50) :
- Chatbots : informer l'utilisateur qu'il interagit avec un système d'IA
- Deepfakes : étiqueter les contenus générés ou manipulés par IA
- Reconnaissance d'émotions : informer les personnes concernées
- Contenu généré par IA : marquer comme tel (texte, image, audio, vidéo)
Pour les PME, l'obligation la plus courante concerne le chatbot : si votre site utilise un assistant IA, vous devez clairement indiquer à l'utilisateur qu'il communique avec une intelligence artificielle.
4. Risque minimal (aucune obligation spécifique)
Les systèmes d'IA à risque minimal (filtres anti-spam, correcteurs orthographiques, recommandation simple) ne sont pas soumis à des obligations réglementaires. Le respect d'un code de conduite est encouragé.
Les modèles d'IA à usage général (GPAI)
Le chapitre V de l'AI Act introduit des obligations pour les fournisseurs de modèles d'IA à usage général (GPAI), comme GPT-4, Mistral Large ou Claude :
| Obligation | GPAI standard | GPAI systémique (>10²⁵ FLOPS) |
|---|---|---|
| Documentation technique | Oui (art. 53) | Oui |
| Politique droit d'auteur | Oui | Oui |
| Résumé données d'entraînement | Oui | Oui |
| Évaluation de modèle | Non | Oui (art. 55) |
| Test adversarial (red teaming) | Non | Oui |
| Cybersécurité renforcée | Non | Oui |
| Notification Bureau de l'IA | Non | Oui (art. 56) |
Si votre PME utilise un modèle GPAI (via API ou intégration), vous êtes considéré comme un « deployer » (déployeur). Vos obligations :
- Utiliser le système conformément aux instructions du fournisseur
- Informer vos utilisateurs qu'ils interagissent avec une IA (article 50)
- Déclarer vos usages d'IA dans vos mentions légales
Calendrier d'application
| Date | Obligation | Concernés |
|---|---|---|
| Interdiction des systèmes à risque inacceptable (art. 5) | Tous | |
| Obligations GPAI (art. 51-56) + Governance (art. 64-68) | Fournisseurs GPAI | |
| Toutes les obligations (haut risque, risque limité, transparence) | Tous | |
| Systèmes haut risque Annexe I (produits réglementés) | Fabricants |
En avril 2026, les PME doivent se concentrer sur :
- Vérifier qu'aucun système ne tombe dans la catégorie « interdite » (applicable depuis février 2025)
- Préparer la conformité transparence pour les chatbots et contenus IA (applicable en août 2026)
- Inventorier et classifier tous les systèmes d'IA par niveau de risque
Sanctions en cas de non-conformité
L'AI Act prévoit trois niveaux de sanctions (article 99) :
- Systèmes interdits : jusqu'à 35 millions d'euros ou 7 % du CA mondial annuel
- Non-respect des obligations : jusqu'à 15 millions d'euros ou 3 % du CA mondial
- Informations incorrectes aux autorités : jusqu'à 7,5 millions d'euros ou 1 % du CA mondial
Les PME bénéficient d'un plafond réduit : la sanction retenue est le montant le plus bas entre le pourcentage du CA et le montant fixe.
Guide pratique : 6 étapes de mise en conformité
Étape 1 : Inventorier vos systèmes d'IA
Listez tous les systèmes d'IA utilisés dans votre organisation :
- Chatbots sur le site web (ChatGPT, Intercom, Drift...)
- Outils de génération de contenu (Jasper, Copy.ai...)
- Systèmes de scoring ou de recommandation
- Outils d'analyse de données avec composante IA
- Assistants IA intégrés dans vos outils (Copilot, Notion AI...)
Étape 2 : Classifier chaque système par niveau de risque
Pour chaque système, déterminez s'il est interdit, haut risque, risque limité ou minimal. Vérifiez l'Annexe III du règlement pour la liste des domaines haut risque.
Étape 3 : Mettre en conformité la transparence
Pour chaque chatbot ou système d'IA en interaction avec le public :
- Ajoutez une mention claire « Ce service utilise l'intelligence artificielle »
- Précisez le fournisseur du modèle et l'usage qui en est fait
- Offrez une alternative humaine quand c'est possible
Étape 4 : Mettre à jour vos documents légaux
Vos mentions légales et votre politique de confidentialité doivent déclarer :
- Les systèmes d'IA utilisés et leur finalité
- Le niveau de risque de chaque système
- Les mesures de contrôle humain en place
- Les droits des personnes concernées (article 86 de l'AI Act)
Le Legal Builder COCORRIDOR intègre automatiquement les déclarations AI Act dans vos documents légaux.
Étape 5 : Former vos équipes
L'article 4 de l'AI Act impose une obligation de maîtrise de l'IA (AI literacy) : les personnes impliquées dans le fonctionnement et l'utilisation de systèmes d'IA doivent avoir un niveau de formation suffisant.
Étape 6 : Privilégier les fournisseurs d'IA souverains
Choisir un fournisseur d'IA européen (comme Mistral AI) simplifie la conformité :
- Pas de transfert de données hors UE
- Conformité RGPD native
- Documentation technique accessible
- Soumis au droit européen en cas de litige
Foire aux questions
Mon entreprise utilise ChatGPT via l'API OpenAI. Suis-je concerné ?
Oui. Vous êtes un « deployer » au sens du règlement. Vos obligations : informer vos utilisateurs qu'ils interagissent avec une IA, déclarer l'usage dans vos mentions légales, et utiliser le système conformément aux instructions d'OpenAI. Si vous utilisez ChatGPT pour un usage haut risque (comme le scoring de candidats), des obligations supplémentaires s'appliquent.
Les PME bénéficient-elles d'exemptions ?
L'AI Act prévoit des mesures de soutien (article 62) : accès prioritaire aux « bacs à sable réglementaires » (sandboxes) organisés par les autorités nationales, frais réduits, et canaux de communication dédiés. Les obligations fondamentales (interdictions, transparence, haut risque) s'appliquent à toutes les entreprises, sans exception de taille.
Quelle différence entre l'AI Act et le RGPD ?
Le RGPD protège les données personnelles. L'AI Act encadre les systèmes d'IA dans leur ensemble, y compris quand ils ne traitent pas de données personnelles. Les deux règlements sont complémentaires : un système d'IA traitant des données personnelles doit respecter les deux. Le scan COCORRIDOR évalue les deux dimensions (score de souveraineté + conformité juridique).
Comment prouver ma conformité AI Act ?
Pour les systèmes à risque limité : conservez un registre de vos systèmes d'IA, les mentions de transparence, et les déclarations dans vos documents légaux. Pour les systèmes haut risque : maintenez une documentation technique complète, un système de gestion des risques, et une évaluation de conformité. L'article 86 confère aux personnes concernées un droit à l'explication des décisions prises par des systèmes d'IA à haut risque.