- L'IA Act europeen est entre en vigueur en aout 2024 avec un calendrier progressif : les premieres obligations contraignantes s'appliquent depuis fevrier 2025
- La grande majorite des systemes IA utilises en entreprise sont classes a risque limite ou minimal et ont peu d'obligations formelles
- Les systemes IA haut risque (RH, credit, sante, infrastructures critiques) sont soumis aux obligations les plus lourdes : documentation, audit, supervision humaine
- Les sanctions peuvent atteindre 35 millions d'euros ou 7 % du chiffre d'affaires mondial pour les violations les plus graves
- Pour etre accompagne dans votre mise en conformite IA Act, consultez YouFeel - Agences IA
Sommaire : L'IA Act en bref · Le calendrier d'application · Les categories de risque · Les obligations par categorie · Se mettre en conformite · Les sanctions · FAQ
Etre accompagne dans votre conformite IA Act
Mise en relation gratuite · Sans engagement · Reponse sous 24h
L'IA Act europeen : ce que c'est et qui est concerne
Le reglement europeen sur l'intelligence artificielle (IA Act, reglement UE 2024/1689) est entre en vigueur le 1er aout 2024. C'est le premier cadre reglementaire complet au monde sur l'IA, adopte par l'Union europeenne pour encadrer le developpement et l'utilisation des systemes IA dans un objectif de protection des droits fondamentaux, de securite et de confiance.
L'IA Act s'applique de maniere extraterritoriale : tout systeme IA deploye dans l'Union europeenne est concerne, qu'il soit developpe par une entreprise europeenne ou non. Une PME française qui deploie un outil IA americain dans ses processus est soumise a l'IA Act. Un editeur americain qui vend un logiciel IA en Europe doit respecter l'IA Act.
Le calendrier progressif de l'IA Act
| Date | Ce qui entre en application |
|---|---|
| 1er aout 2024 | Entree en vigueur du reglement |
| 2 fevrier 2025 | Interdiction des pratiques IA inacceptables (manipulation subliminale, scoring social, reconnaissance faciale en temps reel dans l'espace public sauf exceptions) |
| 2 aout 2025 | Obligations pour les modeles IA a usage general (GPAI) dont les LLM comme GPT, Claude, Gemini, Mistral |
| 2 aout 2026 | Obligations pour les systemes IA haut risque (recrutement, credit, sante, securite) et les systemes IA dans les produits reglements |
| 2 aout 2027 | Obligations pour les systemes IA haut risque integres dans des produits relevant d'autres directives sectorielles |
En 2026, les entreprises francaises sont donc deja soumises aux interdictions (depuis fevrier 2025) et doivent se preparer activement aux obligations haut risque qui entrent en application en aout 2026.
Les 4 categories de risque de l'IA Act
Niveau 1 : Risque inacceptable (interdit)
Ces systemes sont purement et simplement interdits dans l'UE. La liste inclut : les systemes de manipulation subliminale qui exploitent les failles psychologiques des personnes, les systemes d'exploitation des vulnerabilites de groupes specifiques (enfants, personnes agees, handicapees), les systemes de scoring social par les autorites publiques, la reconnaissance biometrique en temps reel dans l'espace public par les forces de l'ordre (sauf exceptions tres encadrees), et les systemes qui inferent des emotions dans des contextes professionnels ou educatifs (sauf exceptions medicales ou securite).
Niveau 2 : Risque eleve (haut risque)
Ces systemes sont autorises mais soumis aux obligations les plus strictes. Deux categories : les systemes IA integres dans des produits soumis a des legislations sectorielles (dispositifs medicaux, vehicules, jouets, machines), et les systemes IA autonomes dans des domaines specifiques. Pour cette seconde categorie, l'Annexe III de l'IA Act liste 8 domaines : biometrie, infrastructures critiques, education, emploi, services essentiels (credit, assurance), maintien de l'ordre, migration et asile, administration de la justice.
Niveau 3 : Risque limite
Principalement les systemes IA qui interagissent directement avec des humains : chatbots, systemes de generation de contenu, deepfakes. L'obligation principale est la transparence : les utilisateurs doivent etre informes qu'ils interagissent avec une IA, pas avec un humain. Le contenu genere par IA doit etre marque comme tel (sauf exceptions artistiques).
Niveau 4 : Risque minimal
La grande majorite des systemes IA tombent dans cette categorie : filtres antispam, IA dans les jeux videos, systemes de recommandation de contenus, outils de productivite IA. Aucune obligation specifique sous l'IA Act, mais les autres reglementations (RGPD, droit de la concurrence) continuent de s'appliquer.
Les obligations par categorie de risque
Pour les systemes haut risque (deployeurs)
En tant que deployeur d'un systeme IA haut risque, vos obligations principales sont :
- Utiliser uniquement des systemes conformes IA Act : vous ne pouvez deployer que des systemes IA haut risque qui ont ete valides par leur fournisseur selon les procedures IA Act
- Supervision humaine effective : mettre en place une supervision humaine reelle sur les decisions issues du systeme IA. Pas une supervision nominale mais une veritable capacite d'intervention et de correction humaine
- Formation des operateurs : les personnes qui utilisent le systeme IA haut risque doivent etre formees a son fonctionnement, ses limites et les procedures de supervision
- Monitoring en production : surveiller les performances du systeme en production et signaler les incidents graves a l'autorite nationale competente
- Conservation des logs : conserver les logs de fonctionnement du systeme pendant la duree minimale prevue par la reglementation
- Evaluation des droits fondamentaux : avant tout deploiement d'un systeme haut risque, realiser une evaluation de l'impact sur les droits fondamentaux (FRIA - Fundamental Rights Impact Assessment)
Pour les systemes a risque limite (chatbots et IA generative)
- Informer les utilisateurs qu'ils interagissent avec une IA (pas un humain)
- Marquer le contenu genere par IA comme tel (watermarking ou mention explicite)
- Pour les deep fakes : informer que le contenu est artificiel sauf contexte artistique clairement etabli
Pour les fournisseurs de modeles IA a usage general (GPAI)
Les fournisseurs de modeles GPAI (dont les LLM comme GPT-4, Claude, Gemini, Mistral) ont des obligations specifiques entrees en vigueur en aout 2025 : documentation technique detaillee, politique d'utilisation acceptable, respect du droit d'auteur, resume des donnees d'entrainement. Pour les modeles GPAI a risque systemique (les plus puissants), des obligations supplementaires s'ajoutent : evaluation adversariale, notification a la Commission europeenne, protection contre les risques systemiques.
Se mettre en conformite : les etapes pratiques
Etape 1 : Inventorier vos systemes IA
La premiere etape est d'inventorier tous les systemes IA utilises dans votre organisation : outils achetes aupres d'editeurs tiers (CRM avec IA, ATS, systemes de scoring), systemes IA developpes en interne, LLM et outils d'IA generative utilises par les collaborateurs. Cet inventaire est la base de votre demarche de conformite.
Etape 2 : Qualifier chaque systeme selon les categories de risque
Pour chaque systeme inventorie, determiner sa categorie de risque IA Act. La question cle : ce systeme est-il utilise dans l'un des 8 domaines listes dans l'Annexe III (biometrie, education, emploi, credit, sante, securite, migration, justice) ? Si oui, une analyse plus fine est necessaire pour determiner s'il remplit les criteres du haut risque.
Etape 3 : Mettre en place les obligations pour chaque categorie
Une fois la qualification etablie, mettre en oeuvre les obligations correspondantes. Pour les systemes haut risque : documentation, formation des operateurs, supervision humaine, monitoring. Pour les chatbots et IA generative : information des utilisateurs, marquage des contenus. Pour les systemes a risque minimal : aucune obligation specifique IA Act mais veiller a la conformite RGPD.
Etape 4 : Former les equipes et mettre a jour les contrats
Former les DPO, les juristes et les responsables SI sur les obligations IA Act. Revoir les contrats avec les fournisseurs de systemes IA haut risque pour s'assurer qu'ils vous fournissent la documentation de conformite requise (declaration de conformite, notice d'utilisation, logs). Mettre a jour les politiques internes d'utilisation de l'IA.
Les sanctions prevues par l'IA Act
| Type de violation | Sanction maximale |
|---|---|
| Utilisation d'un systeme IA interdit (risque inacceptable) | 35 millions d'euros ou 7 % du CA mondial annuel (le plus eleve des deux) |
| Non-conformite pour un systeme haut risque | 15 millions d'euros ou 3 % du CA mondial annuel |
| Fourniture d'informations inexactes aux autorites | 7,5 millions d'euros ou 1,5 % du CA mondial annuel |
| Violation des obligations de transparence | 15 millions d'euros ou 3 % du CA mondial annuel |
Pour les PME et startups, les sanctions sont proportionnees : le reglement prevoit explicitement de tenir compte de la taille de l'entreprise et de ses ressources financieres. Les autorites nationales auront une marge d'appreciation pour adapter les sanctions aux petites structures.
FAQ - IA Act obligations entreprise
- Mon entreprise utilise ChatGPT ou Claude : suis-je soumis a l'IA Act ?
- En tant que deployeur d'un outil d'IA generative (risque limite), vous avez une obligation de transparence vis-a-vis de vos utilisateurs si ces outils interagissent avec des tiers (clients, usagers). Si vous utilisez ces outils uniquement en interne pour augmenter la productivite de vos collaborateurs, les obligations sont minimales. En revanche, si vous integrez un LLM dans un produit ou service que vous commercialisez, vous devenez potentiellement fournisseur au sens de l'IA Act, ce qui engendre des obligations supplementaires.
- Mon systeme IA de scoring de credit est-il systematiquement haut risque ?
- Oui selon l'Annexe III de l'IA Act. Les systemes IA utilises pour evaluer la solvabilite des personnes physiques ou classer le risque credit des personnes physiques sont explicitement listes comme haut risque. Cette classification s'applique que le scoring soit realise par votre systeme propre ou par un systeme tiers que vous deployez. Les obligations haut risque (supervision humaine, documentation, monitoring) s'appliquent a partir d'aout 2026.
- Quelle est l'autorite française competente pour l'IA Act ?
- La France a designe la CNIL comme autorite nationale de surveillance pour les aspects lies aux donnees personnelles, et plusieurs autres autorites sectorielles selon les domaines (ACPR pour la finance, ANSM pour la sante, etc.). Une coordination nationale est en cours de structuration pour assurer une application coherente de l'IA Act en France. La CNIL a deja publie des ressources d'orientation sur son site pour aider les entreprises a comprendre leurs obligations.
- Comment trouver une agence pour accompagner la conformite IA Act de mon entreprise ?
- Le guide YouFeel agences IA recense les agences et cabinets français proposant des services d'accompagnement a la conformite IA Act, combinant expertise juridique et expertise IA.

