Combien l’Acte IA de l’UE aura-t-il réellement d’impact sur votre entreprise ?

Alors que de nouvelles dispositions entrent en vigueur, voici ce que les entreprises doivent vraiment savoir sur la conformité

Le 2 février 2025 a marqué le premier jalon important dans le déploiement de l’Acte IA de l’Union européenne, avec des dispositions interdisant les pratiques d’IA prohibées et exigeant que les organisations s’assurent que leur personnel ait suffisamment de connaissances, de compétences et de compréhension de la façon dont fonctionne l’IA, de ses risques et de ses avantages (littératie en IA). Maintenant, le 2 août 2025 représente un autre tournant critique, car les obligations pour les modèles d’IA à usage général sont entrées en vigueur. 

L’Acte IA s’applique à ceux qui vendent, importent ou mettent à disposition des systèmes d’IA ou des modèles d’IA à usage général dans l’UE, qu’ils soient basés dans l’UE ou non. Il s’applique également aux entreprises basées dans l’UE qui utilisent des systèmes d’IA ou des modèles.

Alors que les entreprises sont réellement préoccupées par les obligations de conformité en matière d’IA, la réalité pour la plupart des entreprises sera moins dramatique que les dispositions ne le laissent paraître au premier abord.

En tant que personne qui dirige une entreprise mondiale qui utilise l’IA de manière extensive dans notre plateforme de gestion de documents, j’ai dû naviguer dans cette réglementation en premier lieu. La vérité est que, pour la grande majorité des entreprises, l’Acte IA est beaucoup plus gérable qu’il n’y paraît au premier abord – similaire à la façon dont le RGPD semblait accablant d’un point de vue américain mais s’est avéré fonctionnel une fois que l’on a compris les principes.

Mais contrairement à la date unique de mise en œuvre du RGPD, l’Acte IA est déployé par phases. Avec des amendes pouvant atteindre 35 millions d’euros ou 7 % du chiffre d’affaires mondial, et une vague d’application critique qui vient de passer et une autre échéance importante à venir, il est essentiel de bien définir sa stratégie de conformité.

Où nous sommes sur le calendrier

À compter d’août 2025, les obligations pour les modèles d’IA à usage général (GPAI) sont maintenant en vigueur – et cela affecte beaucoup plus d’entreprises que la plupart ne le réalisent. Si vous utilisez des modèles de base comme GPT-5, Claude ou Llama dans vos produits, vous pouvez hériter de devoirs de conformité même si vous vous considérez comme un simple “utilisateur” du modèle.

Les obligations incluent la démonstration de la conformité avec la loi sur le droit d’auteur dans les données de formation, la réalisation de tests d’adversité pour les vulnérabilités de sécurité, la mise en œuvre de mesures de sécurité robustes et la fourniture d’une documentation technique détaillée sur les capacités et les limites du modèle.

De nombreuses entreprises SaaS supposent qu’elles sont exemptées car elles ne développent pas de modèles à partir de zéro. Mais si vous êtes en train de fine-tuner ou de modifier autrement les modèles, vous pouvez vous retrouver soumis aux obligations GPAI. La ligne entre “utiliser” et “fournir” des systèmes d’IA est délibérément large dans la réglementation.

Le 2 août 2026 est le grand jalon à surveiller. À cette date, les systèmes d’IA classés comme “à haut risque” doivent répondre à des exigences de conformité complètes. La portée est plus large que ce que de nombreuses entreprises anticipent, et les obligations sont substantielles.

Les classifications à haut risque incluent les systèmes utilisés pour le recrutement et l’embauche, la notation de crédit et les décisions financières, l’évaluation éducative, le diagnostic médical, les infrastructures critiques et les applications de maintien de l’ordre. Si votre outil d’IA aide à déterminer qui est embauché, approuvé pour des prêts, admis à des programmes ou diagnostiqué avec des affections, vous êtes probablement dans le champ d’application.

Il y a un fardeau qui vient avec cela. Vous aurez besoin de systèmes de gestion des risques complets avec une surveillance continue, d’une documentation technique prouvant la sécurité et la fiabilité de votre système, de normes de qualité de données avec une preuve auditable de l’intégrité des données de formation, d’un enregistrement automatique de toutes les décisions et les opérations du système, d’une surveillance humaine significative avec la capacité d’intervenir en temps réel, et d’un marquage CE avec une évaluation de la conformité par un tiers.

Ce n’est pas seulement une question d’ajouter un avertissement sur votre site Web. Les systèmes à haut risque nécessitent le type de systèmes de gestion de la qualité généralement vu dans la fabrication de dispositifs médicaux ou les systèmes de sécurité automobile.

Comprendre les catégories de risque

L’Acte IA fonctionne sur une approche à quatre niveaux basée sur les risques qui est plus nuancée que beaucoup ne le réalisent.

• Risque inacceptable (interdit) : Ces applications d’IA sont interdites purement et simplement – les systèmes de notation sociale, les IA manipulatrices ciblant les groupes vulnérables, l’identification biométrique en temps réel dans les espaces publics (avec des exceptions limitées pour les forces de l’ordre), et la reconnaissance des émotions sur les lieux de travail ou dans les écoles.
• Risque élevé (réglementé, mais autorisé) : C’est là que de nombreuses entreprises sont prises au dépourvu. Comme mentionné ci-dessus, les applications à haut risque incluent les outils de sélection de CV et d’embauche, les systèmes de notation de crédit et d’octroi de prêts, les appareils de diagnostic médical, les systèmes de sécurité dans les transports (véhicules autonomes, gestion du trafic), les outils d’évaluation éducative, les applications de maintien de l’ordre et la gestion des infrastructures critiques.
• Risque limité (transparence requise) : ces systèmes impliquent principalement des IA qui interagissent directement avec les humains ou génèrent du contenu qui pourrait être confondu avec du matériel créé par des humains. Cela inclut les chatbots, les assistants virtuels et les systèmes d’IA qui créent des médias synthétiques comme les deepfakes ou les images et les vidéos manipulées. Pour ces applications, l’exigence réglementaire principale est la transparence – les utilisateurs doivent être clairement informés lorsqu’ils interagissent avec un système d’IA plutôt qu’avec un humain, ou lorsque le contenu a été généré de manière artificielle.
• Risque minimal : La majorité des applications d’IA tombent dans cette catégorie de risque minimal, qui couvre les systèmes qui représentent peu de menace pour les droits fondamentaux ou la sécurité. Cela inclut des outils commerciaux courants comme les filtres de spam, les systèmes de gestion des stocks, les plateformes d’analyse de base, les moteurs de recommandation de contenu ou de produits, et les systèmes de routage du service client automatisé. Pour les systèmes à risque minimal, il n’y a essentiellement aucune obligation réglementaire spécifique en vertu de l’Acte IA au-delà des exigences générales comme la littératie en IA pour le personnel.

Si vous tombez dans les catégories “Inacceptable” ou “à haut risque”, la transparence seule ne suffit pas. Si vous tombez ailleurs, les exigences de conformité sont gérables.

L’effet d’entraînement du modèle de base

La date butoir GPAI d’août 2025 qui vient de passer mérite une attention particulière car elle crée un effet d’entraînement dans tout l’écosystème de l’IA. Les fournisseurs de modèles de base comme OpenAI, Anthropic et Meta ont dû mettre en œuvre de nouvelles mesures de conformité, et ces exigences sont transmises en aval à leurs clients entreprises.

Si vous construisez sur ces modèles, vous devrez comprendre la posture de conformité de votre fournisseur et comment elle affecte vos propres obligations. Certains fournisseurs de modèles peuvent restreindre certains cas d’utilisation, d’autres peuvent transmettre les coûts de conformité sous forme de tarifs plus élevés ou de nouveaux niveaux de service.

Les entreprises devraient auditer leur chaîne d’approvisionnement en IA dès maintenant si elles ne l’ont pas déjà fait. Documentez quels modèles vous utilisez, comment vous les personnalisez et quels flux de données les traversent. Cet inventaire sera crucial pour comprendre vos obligations GPAI actuelles et se préparer aux exigences des systèmes à haut risque de 2026.

Devancer la courbe

L’Acte IA représente la première réglementation d’IA complète au monde, et nous sommes maintenant au milieu de son déploiement par phases. Avec les obligations GPAI maintenant en vigueur et la grande échéance des systèmes à haut risque qui approche en août 2026, les entreprises qui considéraient le RGPD comme une charge ont manqué l’occasion de transformer la confidentialité en un facteur de différenciation. Ne faites pas la même erreur avec la gouvernance de l’IA.

Les entreprises qui auront le plus de mal seront celles qui seront prises au dépourvu lorsque l’application des règles sera renforcée. Ceux qui construisent de manière responsable aujourd’hui constateront que la conformité améliore plutôt qu’elle n’entrave leur stratégie d’IA. Il est encore temps de devancer la courbe – mais la fenêtre de temps se ferme rapidement.