Leaders d’opinion

Combien la loi europĂ©enne sur l’IA aura-t-elle rĂ©ellement d’impact sur votre entreprise ?

mm
Publié le
Mis Ă  jour le

Alors que de nouvelles dispositions entrent en vigueur, voici ce que les entreprises doivent vraiment savoir sur la conformité

Le 2 février 2025 a marqué le premier jalon important dans la mise en œuvre de la loi européenne sur l’IA, avec des dispositions interdisant les pratiques d’IA prohibées et obligeant les organisations à s’assurer que leur personnel a suffisamment de connaissances, de compétences et de compréhension sur le fonctionnement de l’IA, ses risques et ses avantages (littératie en IA). Maintenant, le 2 août 2025 représente un autre moment critique, car les obligations pour les modèles d’IA à usage général sont entrées en vigueur.

La loi sur l’IA s’applique à ceux qui vendent, importent ou mettent à disposition des systèmes d’IA ou des modèles d’IA à usage général dans l’UE, qu’ils soient basés dans l’UE ou non. Elle s’applique également aux entreprises basées dans l’UE qui utilisent des systèmes d’IA ou des modèles.

Alors que les entreprises sont réellement préoccupées par les obligations de conformité à l’IA, la réalité pour la plupart des entreprises sera moins dramatique que les dispositions pourraient le laisser croire au premier abord.

En tant que dirigeant d’une entreprise mondiale qui utilise l’IA de manière extensive dans notre plateforme de gestion de documents, j’ai dû naviguer dans cette réglementation en premier lieu. La vérité est que, pour la grande majorité des entreprises, la loi sur l’IA est beaucoup plus gérable qu’elle ne le paraît au premier abord – semblable à la façon dont le RGPD a semblé écrasant d’un point de vue américain mais s’est avéré gérable une fois que les principes ont été compris.

Mais contrairement à la date unique de mise en œuvre du RGPD, la loi sur l’IA est mise en œuvre par phases. Avec des amendes pouvant atteindre 35 millions d’euros ou 7 % du chiffre d’affaires mondial, et une vague de contrôle critique qui vient de passer et un autre délai important à venir, avoir une stratégie de conformité correcte est impératif.

Où nous sommes sur la chronologie

À compter du 2 août 2025, les obligations pour les modèles d’IA à usage général (GPAI) sont maintenant en vigueur – et cela affecte beaucoup plus d’entreprises que la plupart ne le réalisent. Si vous utilisez des modèles de base comme GPT-5, Claude ou Llama dans vos produits, vous pouvez hériter de devoirs de conformité même si vous vous considérez comme un simple “utilisateur” du modèle.

Les obligations comprennent la démonstration de la conformité avec la loi sur le droit d’auteur dans les données de formation, la réalisation de tests adverses pour les vulnérabilités de sécurité, la mise en œuvre de mesures de sécurité robustes et la fourniture d’une documentation technique détaillée sur les capacités et les limites du modèle.

De nombreuses entreprises de logiciels SaaS supposent qu’elles sont exemptées car elles ne développent pas de modèles à partir de zéro. Mais si vous êtes en train de fine-tuner ou de modifier des modèles, vous pouvez vous retrouver soumis aux obligations GPAI. La ligne entre “utiliser” et “fournir” des systèmes d’IA est délibérément large dans la réglementation.

Le 2 août 2026 est la grande étape à surveiller. À cette date, les systèmes d’IA classés comme “à haut risque” doivent répondre à des exigences de conformité complètes. La portée est plus large que ce que de nombreuses entreprises anticipent, et les obligations sont substantielles.

Les classifications à haut risque comprennent les systèmes utilisés pour le recrutement et l’embauche, la notation de crédit et les décisions financières, l’évaluation éducative, le diagnostic médical, les infrastructures de sécurité critiques et les applications de maintien de l’ordre. Si votre outil d’IA aide à déterminer qui est embauché, approuvé pour des prêts, admis à des programmes ou diagnostiqué avec des affections, vous êtes probablement dans le champ d’application.

Il y a une charge qui accompagne cela. Vous aurez besoin de systèmes de gestion des risques complets avec une surveillance continue, d’une documentation technique prouvant la sécurité et la fiabilité de votre système, de normes de qualité de données avec une preuve auditable de l’intégrité des données de formation, d’un enregistrement automatique de toutes les décisions et opérations du système, d’une surveillance humaine significative avec la capacité d’intervenir en temps réel et d’un marquage CE avec une évaluation de la conformité par un tiers.

Ce n’est pas seulement une question d’ajouter un avertissement sur votre site Web. Les systèmes à haut risque nécessitent le type de systèmes de gestion de la qualité que l’on trouve généralement dans la fabrication de dispositifs médicaux ou les systèmes de sécurité automobiles.

Comprendre les catégories de risques

La loi sur l’IA fonctionne sur une approche à quatre niveaux basée sur les risques, plus nuancée que ce que beaucoup réalisent.

  • Risque inacceptable (interdit) : Ces applications d’IA sont interdites purement et simplement – les systèmes de notation sociale, les systèmes d’IA manipulateurs ciblant les groupes vulnérables, l’identification biométrique en temps réel dans les espaces publics (à l’exception limitée de la loi et de l’ordre), et la reconnaissance des émotions sur les lieux de travail ou dans les écoles.
  • Risque élevé (réglementé, mais autorisé) : C’est là que de nombreuses entreprises sont prises au dépourvu. Comme mentionné ci-dessus, les applications à haut risque comprennent les outils de sélection de CV et d’embauche, les systèmes de notation de crédit et de souscription de prêts, les appareils de diagnostic médical, les systèmes de sécurité dans les transports (véhicules autonomes, gestion du trafic), les outils d’évaluation éducative, les applications de maintien de l’ordre et la gestion des infrastructures critiques.
  • Risque limité (transparence requise) : ces systèmes impliquent principalement des IA qui interagissent directement avec les humains ou génèrent du contenu qui pourrait être confondu avec du matériel créé par l’homme. Cela comprend les chatbots, les assistants virtuels et les systèmes d’IA qui créent des médias synthétiques comme les deepfakes ou les images et les vidéos manipulées. Pour ces applications, l’exigence réglementaire principale est la transparence – les utilisateurs doivent être clairement informés lorsqu’ils interagissent avec un système d’IA plutôt qu’avec un humain, ou lorsque le contenu a été généré artificiellement.
  • Risque minimal : La majorité des applications d’IA tombent dans cette catégorie de risque minimal, qui couvre les systèmes qui ne présentent pas de menace significative pour les droits fondamentaux ou la sécurité. Cela comprend des outils commerciaux courants comme les filtres de pourriel, les systèmes de gestion des stocks, les plateformes d’analyse de base, les moteurs de recommandation de contenu ou de produits et les routages de service client automatisés. Pour les systèmes à risque minimal, il n’y a essentiellement aucune obligation réglementaire spécifique en vertu de la loi sur l’IA, au-delà des exigences générales comme la littératie en IA pour le personnel.

Si vous tombez dans les catégories “Risque inacceptable” ou “Risque élevé”, la transparence seule ne suffit pas. Si vous tombez ailleurs, les exigences de conformité sont gérables.

L’effet d’onde des modèles de base

La date butoir GPAI d’août 2025 qui vient de passer mérite une attention particulière car elle crée un effet d’onde dans tout l’écosystème de l’IA. Les fournisseurs de modèles de base comme OpenAI, Anthropic et Meta ont dû mettre en œuvre de nouvelles mesures de conformité, et ces exigences s’appliquent en aval à leurs clients entreprises.

Si vous construisez sur ces modèles, vous devrez comprendre la posture de conformité de votre fournisseur et comment elle affecte vos propres obligations. Certains fournisseurs de modèles peuvent restreindre certains cas d’utilisation, d’autres peuvent faire passer les coûts de conformité sous forme de tarifs plus élevés ou de nouveaux niveaux de service.

Les entreprises devraient auditer leur chaîne d’approvisionnement en IA maintenant si elles ne l’ont pas déjà fait. Documentez quels modèles vous utilisez, comment vous les personnalisez et quels flux de données les traversent. Cet inventaire sera crucial pour comprendre vos obligations GPAI actuelles et vous préparer aux exigences des systèmes à haut risque de 2026.

Devancer la courbe

La loi sur l’IA représente la première réglementation complète de l’IA au monde, et nous sommes maintenant au milieu de sa mise en œuvre par phases. Avec les obligations GPAI maintenant en vigueur et la grande date butoir des systèmes à haut risque qui approche en août 2026, les entreprises qui ont considéré le RGPD comme une charge ont manqué l’occasion de transformer la confidentialité en un facteur de différenciation. Ne faites pas la même erreur avec la gouvernance de l’IA.

Les entreprises qui seront les plus touchées sont celles qui seront prises au dépourvu lorsque les contrôles s’intensifieront. Celles qui construisent de manière responsable aujourd’hui constateront que la conformité améliore plutôt qu’elle n’entrave leur stratégie d’IA. Il est encore temps de devancer la courbe – mais la fenêtre de temps se ferme rapidement.

mm

Stéphan Donzé est le fondateur et PDG d'AODocs, une société de logiciels qu'il a créée à partir de l'idée que le besoin de conformité et de processus efficaces de l'entreprise n'est pas contradictoire avec une bonne expérience utilisateur. Avant de fonder AODocs, il était vice-président de l'ingénierie chez Exalead, une société de recherche d'entreprise leader. AprÚs que Exalead ait été acquis par Dassault SystÚmes en 2010, il a déménagé en Californie de Paris en tant que vice-président de la stratégie produit. Stéphane a un diplÎme d'ingénieur en logiciel de l'Ecole Polytechnique en France (X96). Avec 18 ans d'expérience dans les logiciels d'entreprise, il est passionné par l'expérience utilisateur à travers une organisation.