L’IA Act (règlement (UE) 2024/1689) est le premier cadre légal mondial sur l’intelligence artificielle. Voté en 2024, en vigueur progressivement depuis 2025. Il s’applique à toute entreprise opérant dans l’Union Européenne.
| Niveau de risque | Exemples | Obligations principales |
|---|---|---|
| Inacceptable (interdit) | Scoring social, manipulation comportementale, reconnaissance biométrique temps réel public | Usage prohibé depuis février 2025 |
| Élevé | IA en RH (CV, promotions), scoring crédit, IA dans l’éducation, dispositifs médicaux | Documentation technique, gestion du risque, supervision humaine, registre, marquage CE |
| Limité | Chatbots, deepfakes, génération de contenu | Transparence : informer l’utilisateur qu’il interagit avec une IA |
| Minimal | Filtres anti-spam, IA dans les jeux vidéo, recommandation produit standard | Aucune obligation spécifique (RGPD reste applicable) |
Calendrier d’application
Février 2025 : pratiques interdites (manipulation, scoring social). Août 2025 : modèles à usage général (GPT, Claude, Mistral). Août 2026 : systèmes à haut risque (RH, scoring crédit, etc.). Août 2027 : obligations résiduelles.
Classification par risque
4 niveaux : (1) inacceptable (interdit), (2) élevé (obligations strictes : doc, audit, gouvernance), (3) limité (transparence : informer l’utilisateur), (4) minimal (libre). La plupart des usages PME sont en niveau 3 ou 4.
Obligations concrètes
Inventaire de vos systèmes IA. Évaluation des risques. Documentation technique. Supervision humaine pour les systèmes à haut risque. Information transparente des utilisateurs. Conformité RGPD appliquée à l’IA.
Calendrier d’entrée en vigueur (détaillé)
Le règlement IA Act a été publié au JOUE le 12 juillet 2024 et entre en vigueur progressivement. (1) 2 février 2025, les pratiques interdites deviennent illégales (scoring social, manipulation cognitive, reconnaissance biométrique temps réel dans les espaces publics). (2) 2 août 2025, obligations applicables aux fournisseurs de modèles à usage général (GPT-5, Claude 4, Mistral, Gemini, Llama) : documentation technique, transparence des données d’entraînement, conformité copyright. (3) 2 août 2026, obligations sur les systèmes à haut risque (RH, éducation, scoring, dispositifs médicaux, justice, infrastructure critique). (4) 2 août 2027, pleine application incluant les systèmes intégrés à des produits réglementés.
Sanctions et amendes
Les sanctions varient selon la gravité de la violation. (a) Usage d’une pratique interdite : jusqu’à 35 M€ ou 7 % du CA mondial annuel (le plus élevé des deux). (b) Non-conformité d’un système à haut risque : jusqu’à 15 M€ ou 3 % du CA. (c) Fourniture d’informations incorrectes aux autorités : jusqu’à 7,5 M€ ou 1 % du CA. La taille de la PME compte : pour les TPE/PME, les sanctions sont plafonnées au pourcentage du CA (moins élevé). Source : articles 99-101 du règlement.
Articulation avec le RGPD et autres textes
L’IA Act ne remplace pas le RGPD, il s’y ajoute. Pour un système IA traitant des données personnelles, les deux régulations s’appliquent en parallèle. L’IA Act complète aussi les régulations sectorielles : DORA (finance), MDR (dispositifs médicaux), CSRD (reporting extra-financier). En cas de conflit apparent, la régulation sectorielle prime sur l’IA Act sur son périmètre, mais les exigences IA Act s’y empilent.
Les pièges à éviter
Erreurs courantes en entreprise
Croire que "on n’est pas concerné parce qu’on est une PME"
L’IA Act s’applique à TOUTE entreprise utilisant ou déployant un système IA dans l’UE, sans seuil de taille. Une PME qui utilise un chatbot client doit informer ses utilisateurs (niveau Limité). Une PME qui utilise une IA pour trier des CV est en niveau Élevé et a des obligations significatives.
Oublier que vos fournisseurs SaaS comptent
Vous êtes responsable de l’usage que vous faites d’un outil IA, même si l’outil est fourni par un tiers. Avant d’intégrer un SaaS IA, vérifier sa conformité documentée (à demander dans le DPA et le contrat).
Penser que la conformité est un projet ponctuel
La conformité IA Act est un process continu : inventaire à jour, évaluations régulières, mise à jour de la documentation à chaque évolution du système. Le pire scénario : faire une mise en conformité initiale puis laisser dériver pendant 12 mois.
Quand ne PAS l’utiliser
Si vos seuls usages IA sont des outils SaaS génériques (Microsoft Copilot, ChatGPT public utilisé occasionnellement), vous restez majoritairement en niveau Minimal, pas besoin de plan de conformité complet, juste de bonnes pratiques d’usage et un cadre interne (charte IA). Le besoin d’une démarche structurée commence dès que vous déployez ou intégrez de l’IA dans vos propres outils ou process clients.
🇫🇷 Contexte français
En France, l’autorité de contrôle pour l’IA Act sera coordonnée entre la CNIL (volet données personnelles), la DGCCRF (protection des consommateurs) et les autorités sectorielles (ACPR pour la finance, HAS pour la santé, etc.). La CNIL a publié dès 2024 plusieurs guides sur l’usage de l’IA en respect du RGPD ; ces guides sont aujourd’hui le meilleur point d’entrée pour une PME française qui veut anticiper les obligations IA Act. Sources : cnil.fr/fr/intelligence-artificielle.
Questions fréquentes
Mon entreprise est-elle concernée par l’IA Act ?
Si vous opérez dans l’UE ou y vendez des produits/services intégrant de l’IA, oui. L’IA Act s’applique sans seuil de taille. Pour une PME, la question est surtout : à quel niveau de risque sont vos usages ? La plupart sont en niveau Limité ou Minimal et nécessitent peu d’actions ; certains (RH, scoring, biométrie) sont en niveau Élevé et nécessitent une démarche structurée.
Quelle amende risquons-nous ?
Pour une pratique interdite : jusqu’à 35 M€ ou 7 % du CA mondial. Pour un système à haut risque non conforme : jusqu’à 15 M€ ou 3 % du CA. Pour des informations incorrectes aux autorités : jusqu’à 7,5 M€ ou 1 % du CA. Les sanctions sont plafonnées pour les PME (article 99). Source : Règlement (UE) 2024/1689.
Quand l’IA Act entre-t-il vraiment en vigueur ?
Progressivement : pratiques interdites depuis février 2025, modèles à usage général depuis août 2025, systèmes à haut risque à partir d’août 2026, pleine application en août 2027. La date qui compte pour la majorité des PME : août 2026 (systèmes à haut risque), il faut commencer à se préparer en 2026.
Comment se mettre en conformité IA Act ?
Quatre étapes : (1) inventaire, lister tous les systèmes IA utilisés ou déployés ; (2) classification, déterminer le niveau de risque de chacun ; (3) gap analysis, comparer obligations vs pratiques actuelles ; (4) plan de mise en conformité, documentation, supervision humaine, gouvernance. Pour une PME, comptez 2-4 semaines de travail si vous avez 5-10 usages IA.
Exemple concret
Un système IA qui filtre des CV est classé "haut risque". Il doit être documenté, audité, et un humain doit pouvoir reprendre la main sur chaque décision.
À retenir
L’IA Act n’attend pas. En 2026, vos clients vont commencer à exiger des preuves de conformité avant de signer. Mieux vaut s’y mettre maintenant.