Aller au contenu principal

AI Act : qui est concerné, par quoi, et comment être conforme

Make IT Safe ·
AI Act — règlement européen sur l'intelligence artificielle, illustration des quatre niveaux de risque (interdit, haut, limité, minimal).
Webinar Make IT Safe × ALL4TEC — « Conformité maîtrisée et risques pilotés : EBIOS RM, TPRM, ISP, découvrez une GRC unifiée ». Mardi 9 juin 2026 à 09h30. Cliquez pour vous inscrire.

Le règlement européen sur l’intelligence artificielle, dit « AI Act », n’est plus un texte à anticiper. Une partie de ses obligations s’applique depuis février 2025, une autre depuis août 2025, et la vague principale — celle qui concerne les systèmes d’IA à haut risque — entre en vigueur le 2 août 2026. Si votre organisation utilise, intègre ou commercialise des systèmes d’IA, le sujet n’est plus de se préparer mais d’être conforme.

Adopté en juin 2024 et entré en vigueur le 1ᵉʳ août 2024, l’AI Act est le premier cadre juridique global au monde dédié à l’intelligence artificielle. Il fixe des règles communes à tous les États membres de l’Union européenne pour encadrer le développement, la mise sur le marché et l’utilisation des systèmes d’IA. Son approche est fondée sur les risques : plus un système est susceptible de porter atteinte aux droits fondamentaux, à la santé ou à la sécurité des personnes, plus les obligations sont strictes.

Pour les RSSI, DPO et Risk Managers, ce nouveau règlement n’arrive pas dans un terrain vierge. Il s’ajoute au RGPD, à DORA, à NIS2 et à l’ensemble des cadres déjà en place. La question n’est donc pas « comment intégrer un nouveau texte » mais « comment cartographier ses usages d’IA, qualifier les risques et structurer une démarche de conformité cohérente avec le reste du dispositif GRC ». Cet article répond aux trois questions essentielles : qui est concerné, par quoi, et comment être conforme.

Qui est concerné par l’AI Act

L’AI Act distingue plusieurs catégories d’acteurs, dont les obligations diffèrent selon le rôle joué dans la chaîne de valeur d’un système d’IA. Toutes les organisations qui interagissent avec un système d’IA mis sur le marché ou utilisé dans l’UE peuvent être concernées, même si elles sont établies hors de l’Union.

Les fournisseurs (providers) développent un système d’IA et le mettent sur le marché sous leur propre nom, qu’ils l’aient conçu eux-mêmes ou fait développer par un tiers. Ce sont eux qui portent l’essentiel des obligations, notamment pour les systèmes à haut risque : évaluation de conformité, documentation technique, gestion de la qualité, transparence.

Les déployeurs (deployers) utilisent un système d’IA dans le cadre de leur activité professionnelle. Une banque qui utilise un outil de scoring crédit basé sur l’IA, un hôpital qui déploie un dispositif d’aide au diagnostic, un service RH qui s’appuie sur un outil de tri de candidatures : tous sont des déployeurs. La majorité des entreprises françaises se trouvent dans cette catégorie, et leurs obligations sont moins lourdes que celles des fournisseurs — mais bien réelles, en particulier pour les systèmes à haut risque.

Les importateurs et distributeurs mettent à disposition sur le marché européen des systèmes d’IA développés en dehors de l’UE. Ils doivent vérifier que les obligations applicables au fournisseur ont bien été respectées.

Les fabricants de produits qui intègrent un système d’IA dans un produit physique (par exemple un dispositif médical contenant une IA d’assistance au diagnostic) endossent les obligations du fournisseur pour ce système.

Les mandataires représentent en Europe les fournisseurs établis hors UE.

Le champ d’application est volontairement extraterritorial : un fournisseur basé aux États-Unis qui propose un système d’IA à des entreprises européennes doit se conformer à l’AI Act, exactement comme c’est le cas avec le RGPD. Cette logique vise à éviter le contournement par délocalisation.

Le règlement prévoit néanmoins plusieurs exclusions. Les systèmes d’IA utilisés exclusivement à des fins militaires, de défense ou de sécurité nationale ne sont pas concernés. Les activités purement personnelles, la recherche scientifique et le développement avant mise sur le marché bénéficient également d’une exonération partielle ou totale.

Par quoi l’AI Act vous oblige : les quatre niveaux de risque

L’architecture du règlement repose sur une classification des systèmes d’IA selon leur niveau de risque pour les droits fondamentaux, la santé ou la sécurité des personnes. Quatre niveaux sont définis, chacun appelant un régime juridique distinct.

Risque inacceptable : interdiction pure et simple

Certains usages de l’IA sont jugés incompatibles avec les valeurs européennes et purement et simplement interdits. Cette catégorie est entrée en application dès le 2 février 2025, soit six mois après l’entrée en vigueur du règlement.

Sont notamment prohibés : la notation sociale par les autorités publiques (à la manière du système chinois), les techniques de manipulation subliminale exploitant les vulnérabilités psychologiques, l’identification biométrique à distance en temps réel dans les espaces publics à des fins de maintien de l’ordre (sous réserve d’exceptions strictement encadrées), le profilage prédictif d’infractions pénales sur la seule base d’une analyse algorithmique, la reconnaissance des émotions sur le lieu de travail ou dans les établissements scolaires, et l’extraction non ciblée d’images faciales sur internet pour constituer des bases de reconnaissance faciale.

Si votre organisation envisage ou utilise un système relevant de cette catégorie, la mise en conformité ne consiste pas à documenter ou à déclarer : il faut cesser l’usage.

Haut risque : la grosse vague d’août 2026

C’est la catégorie qui mobilise l’essentiel des obligations du règlement, et celle qui concerne le plus grand nombre d’entreprises. Un système est qualifié à haut risque dans deux cas.

D’une part, les systèmes d’IA intégrés à des produits déjà soumis à des règles européennes d’évaluation de conformité (dispositifs médicaux, machines, jouets, équipements automobiles, équipements de protection individuelle, etc.) basculent automatiquement en haut risque.

D’autre part, l’annexe III du règlement liste explicitement des domaines d’usage classés à haut risque, parmi lesquels : la biométrie et la reconnaissance des émotions hors cas interdits, les infrastructures critiques (énergie, transport, eau), l’éducation et la formation professionnelle (sélection d’étudiants, évaluation de résultats), l’emploi et la gestion des travailleurs (tri de CV, évaluation, attribution de tâches), l’accès aux services essentiels publics et privés (scoring crédit, attribution d’aides sociales, tarification d’assurance vie ou santé), le maintien de l’ordre, la migration et le contrôle aux frontières, l’administration de la justice et les processus démocratiques.

Pour ces systèmes, les obligations sont denses. Elles incluent la mise en place d’un système de gestion des risques tout au long du cycle de vie, la gouvernance des données d’entraînement et de test, une documentation technique exhaustive, des registres d’activité (journalisation automatique), des informations claires destinées aux déployeurs, un dispositif de supervision humaine effective, un niveau approprié de robustesse, d’exactitude et de cybersécurité, et un système de gestion de la qualité du côté du fournisseur.

Côté déployeur, les obligations sont allégées mais réelles : utiliser le système conformément à sa notice, garantir la supervision humaine, surveiller le fonctionnement, conserver les journaux, informer les personnes concernées dans certains cas, et réaliser une analyse d’impact sur les droits fondamentaux pour les organismes publics et certains acteurs privés.

L’essentiel des obligations relatives aux systèmes à haut risque devient applicable le 2 août 2026.

Risque limité : exigence de transparence

Cette catégorie regroupe des systèmes qui ne présentent pas de risque substantiel mais qui peuvent induire l’utilisateur en erreur sur la nature ou l’origine d’un contenu. Les chatbots et assistants conversationnels, les systèmes de reconnaissance des émotions hors usages interdits ou à haut risque, et les générateurs de contenus synthétiques (deepfakes, images, audios, vidéos générés par IA) en font partie.

L’obligation principale est la transparence : l’utilisateur doit être informé qu’il interagit avec une IA, et tout contenu synthétique doit être identifiable comme tel, y compris par des marqueurs techniques lisibles par machine.

Risque minimal : aucune obligation

La très grande majorité des systèmes d’IA actuellement déployés relève de cette catégorie : filtres antispam, IA embarquées dans les jeux vidéo, optimisation logistique, recommandations produits, etc. Aucune obligation n’est imposée, mais les fournisseurs sont encouragés à adopter volontairement des codes de conduite.

Le cas particulier des modèles d’IA à usage général

Au-delà des systèmes finalisés, l’AI Act encadre également les modèles d’IA à usage général (general-purpose AI, ou GPAI) — typiquement les grands modèles de langage type GPT, Claude, Gemini, Mistral. Les fournisseurs de ces modèles doivent publier une documentation technique, une politique de respect du droit d’auteur, et un résumé suffisamment détaillé des données utilisées pour l’entraînement.

Pour les modèles à risque systémique (ceux dont la capacité de calcul d’entraînement dépasse un certain seuil), des obligations supplémentaires s’ajoutent : évaluation des risques, tests adversariaux, signalement des incidents graves, niveau de cybersécurité renforcé. Ces obligations sont applicables depuis le 2 août 2025.

Le calendrier d’application en synthèse

ÉtapeDate d’application
Entrée en vigueur du règlement1ᵉʳ août 2024
Interdictions (pratiques inacceptables)2 février 2025
Modèles d’IA à usage général + dispositions sur la gouvernance2 août 2025
Systèmes d’IA à haut risque (annexe III) + sanctions2 août 2026
Systèmes d’IA à haut risque intégrés à des produits réglementés2 août 2027

À la date de publication de cet article, deux des cinq étapes sont déjà effectives. La troisième arrive dans quelques semaines. Pour la majorité des entreprises, l’échéance opérationnelle est donc bien le 2 août 2026.

Comment être conforme : démarche en sept étapes

La mise en conformité avec l’AI Act n’est pas un projet ponctuel. C’est la construction d’un dispositif durable, articulé avec les autres exigences GRC déjà en place. Voici les sept étapes structurantes que l’on retrouve dans la plupart des méthodes éprouvées.

1. Cartographier les systèmes d’IA utilisés

C’est la fondation. Avant de qualifier ou de documenter, il faut savoir où l’IA est présente dans l’organisation. Cette cartographie doit couvrir les outils SaaS embarquant de l’IA (suites bureautiques, outils RH, marketing, support client), les modules d’IA intégrés aux logiciels métier, les développements internes, les API exposées à des modèles externes, et les usages individuels validés ou tolérés (assistants conversationnels utilisés par les collaborateurs).

L’expérience montre que cette première étape révèle systématiquement plus de cas d’usage que ce que la DSI ou le RSSI imaginaient. C’est aussi le moment d’identifier les responsabilités : qui est le métier sponsor, qui est le déployeur effectif, quel fournisseur est en amont.

2. Qualifier le niveau de risque de chaque système

Pour chaque système identifié, déterminer s’il relève d’une pratique interdite, d’un usage à haut risque (annexe III ou produit réglementé), d’une obligation de transparence ou d’un risque minimal. Cette qualification conditionne toutes les actions suivantes. En cas de doute, le réflexe est de basculer en haut risque pour ne pas sous-évaluer les obligations.

3. Désigner une gouvernance et un référent

L’AI Act n’impose pas de fonction « Chief AI Officer » comme le RGPD impose un DPO, mais la coordination de la conformité doit être portée par une instance identifiée. Dans la plupart des organisations, ce rôle s’ajoute aux missions du DPO, du RSSI ou d’un risk manager. Les sujets sont à la croisée de la donnée, du juridique, de la sécurité et du métier — la gouvernance doit l’être également.

4. Construire la documentation et les registres

Pour chaque système à haut risque, le fournisseur doit produire une documentation technique exhaustive (objectif du système, données utilisées, méthodes d’entraînement, mesures de gestion des risques, performances). Le déployeur doit pour sa part conserver les journaux générés par le système et tenir un registre des décisions prises avec son aide. Cette documentation alimente directement les audits et les preuves de conformité.

5. Évaluer la conformité avant mise en service

Avant qu’un système à haut risque ne soit déployé en production, une procédure d’évaluation de la conformité doit être conduite. Pour la plupart des cas, il s’agit d’une auto-évaluation par le fournisseur, fondée sur un système de gestion de la qualité. Pour certaines catégories (biométrie notamment), l’intervention d’un organisme notifié est requise.

6. Mettre en place la supervision humaine et la formation

L’AI Act n’admet pas qu’une décision à fort impact soit entièrement automatisée sans qu’une personne puisse comprendre, contester ou écraser l’output du système. Cela suppose à la fois une conception qui rende cette supervision possible (transparence des recommandations, accès aux logs, possibilité d’interrompre) et une formation effective des opérateurs humains. Le règlement impose par ailleurs un niveau de littératie IA suffisant pour l’ensemble du personnel concerné.

7. Surveiller en continu et déclarer les incidents

La conformité n’est pas un état figé. Les systèmes d’IA évoluent (mise à jour des modèles, dérive des données), et leur conformité doit être réévaluée à mesure. Les incidents graves liés à un système à haut risque doivent être signalés à l’autorité compétente. Une procédure de monitoring continu, couplée à un dispositif de gestion des incidents, est donc indispensable.

L’articulation avec le RGPD

L’AI Act et le RGPD partagent un terrain commun mais ne se substituent pas l’un à l’autre. Dès lors qu’un système d’IA traite des données personnelles — ce qui est fréquent — le RGPD reste pleinement applicable, en parallèle de l’AI Act.

La CNIL, dans ses premières prises de position publiées en 2024, a clarifié plusieurs points. La base légale du traitement doit être identifiée et documentée. Une analyse d’impact relative à la protection des données (AIPD) est obligatoire pour la plupart des systèmes à haut risque. Le principe de minimisation impose de questionner la pertinence des données d’entraînement. Les droits des personnes (information, accès, opposition) doivent être effectifs, ce qui suppose une transparence sur le fonctionnement du système.

L’AIPD du RGPD et l’analyse d’impact sur les droits fondamentaux de l’AI Act ne se confondent pas, mais peuvent et doivent être articulées dans une démarche unique. C’est précisément le type de chantier où une plateforme GRC unifiée permet d’éviter le doublonnage documentaire.

Les sanctions prévues

L’AI Act prévoit trois niveaux d’amendes administratives, applicables depuis le 2 août 2026 :

  • Jusqu’à 35 millions d’euros ou 7 % du chiffre d’affaires mondial annuel (le plus élevé des deux) pour le non-respect des interdictions
  • Jusqu’à 15 millions d’euros ou 3 % du chiffre d’affaires mondial annuel pour le non-respect des autres obligations applicables aux fournisseurs, déployeurs, importateurs et autres acteurs
  • Jusqu’à 7,5 millions d’euros ou 1 % du chiffre d’affaires mondial annuel pour la fourniture d’informations inexactes aux autorités

Ces plafonds sont calibrés sur le modèle du RGPD, à un niveau supérieur. Pour les PME et les start-ups, les plafonds sont les montants les plus bas des deux pourcentages, ce qui adapte la sanction à la taille de l’organisation.

En France, l’autorité de surveillance n’est pas encore désignée à date de publication, plusieurs scénarios étant à l’étude (CNIL, Arcom, autorité dédiée). Le règlement impose en tout état de cause à chaque État membre de désigner cette autorité.

Conclusion

L’AI Act n’est pas une réglementation que l’on peut traiter en silo. Pour les organisations qui ont déjà structuré leur dispositif RGPD, NIS2 ou DORA, le bon réflexe consiste à intégrer la conformité IA dans le programme GRC existant : cartographie unifiée des actifs, registres communs, gouvernance partagée, supervision continue. C’est la voie la plus économique en temps et en énergie, et c’est aussi celle qui produit une conformité durable.

Make IT Safe accompagne ses clients sur ce type de démarche transverse — cartographie des risques, pilotage des conformités multiples, supervision continue. La conformité AI Act trouve naturellement sa place dans une logique de pilotage cyber-conformité unifiée.

Sources utilisées pour cet article

Articles similaires

9 meilleures pratiques pour renforcer la cybersécurité dans votre entreprise

9 meilleures pratiques pour renforcer la cybersécurité dans votre entreprise

Lire →
Analyse de risque cybersécurité : comment identifier, évaluer et maîtriser les menaces pour votre entreprise

Analyse de risque cybersécurité : comment identifier, évaluer et maîtriser les menaces pour votre entreprise

Lire →
Audit cybersécurité des fournisseurs : comment protéger votre entreprise des risques externes

Audit cybersécurité des fournisseurs : comment protéger votre entreprise des risques externes

Lire →