AI Act : obligations, calendrier et périmètre d'application pour les entreprises

SOMMAIRE

• Introduction
• I. L'AI Act en quatre niveaux : comprendre la logique du règlement avant tout
• II. Ce qui est déjà interdit depuis le 2 février 2025
• III. Le calendrier complet des obligations : dates, acteurs, exigences
• IV. Qui est concerné ? La question que personne ne se pose assez tôt
• V. Les obligations concrètes à mettre en œuvre
• VI. L'articulation AI Act / RGPD : deux règlements qui s'additionnent
• VII. Le rôle du DPO face à l'AI Act
• Conclusion

Introduction

En 2018, le Règlement général sur la protection des données est entré en application. Beaucoup d'entreprises l'ont découvert trop tard, dans l'urgence, parfois après une mise en demeure. La mise en conformité s'était alors transformée en opération de rattrapage coûteuse et désorganisée.

L'AI Act est en train de reproduire exactement le même scénario.

Le Règlement européen sur l'intelligence artificielle (Règlement UE 2024/1689), entré en vigueur le 1er août 2024, est le premier cadre juridique mondial dédié à l'IA. Il ne s'adresse pas qu'aux entreprises technologiques. Il concerne toute organisation qui développe, déploie ou utilise un système d'intelligence artificielle dans l'Union européenne — ou dont les systèmes d'IA produisent des effets sur des personnes situées sur le territoire de l'Union.

Autrement dit : si votre entreprise utilise un logiciel de tri de candidatures, un outil de scoring client, une IA d'évaluation de performance ou un chatbot orienté client, elle est très probablement concernée.

Le calendrier d'application est progressif mais les premières obligations sont déjà en vigueur. D'autres arrivent dans les prochains mois. Cet article a pour objectif de présenter clairement ce que le règlement impose, à qui, et comment l'anticiper.

I. L'AI Act en quatre niveaux : comprendre la logique du règlement avant tout

L'AI Act repose sur une approche dite « fondée sur le risque ». Plus l'impact potentiel d'un système d'IA sur les droits fondamentaux, la santé ou la sécurité des personnes est élevé, plus les exigences de conformité sont strictes.

Le règlement distingue quatre niveaux.

Le risque inacceptable correspond aux systèmes d'IA dont l'usage est purement et simplement interdit au sein de l'Union européenne. Ces systèmes portent atteinte aux droits fondamentaux de manière irrémédiable. Ils ne peuvent être ni commercialisés, ni déployés.

Le haut risque regroupe les systèmes d'IA susceptibles d'avoir un impact significatif sur la santé, la sécurité ou les droits fondamentaux des personnes. Ces systèmes sont autorisés, mais soumis à des obligations strictes de documentation, d'évaluation, de traçabilité et de contrôle humain. C'est dans cette catégorie que se situent la plupart des usages professionnels sensibles : recrutement, scoring de crédit, évaluation scolaire, gestion des infrastructures critiques.

Le risque limité concerne principalement les systèmes qui interagissent avec des personnes sans qu'elles en soient nécessairement conscientes, comme les chatbots. Les obligations se concentrent ici sur la transparence : l'utilisateur doit savoir qu'il interagit avec une IA.

Le risque minimal recouvre la majorité des usages courants — filtres anti-spam, recommandations de contenu, jeux vidéo — pour lesquels aucune obligation spécifique n'est imposée au-delà du droit commun.

Cette classification est déterminante. Elle conditionne l'ensemble des obligations auxquelles une organisation est soumise. La première étape de toute démarche de conformité consiste donc à cartographier les systèmes d'IA utilisés et à déterminer leur niveau de risque.

II. Ce qui est déjà interdit depuis le 2 février 2025

Les pratiques classées à risque inacceptable sont interdites depuis le 2 février 2025. Les sanctions pour violation de ces interdictions peuvent être appliquées dès cette date.

Ces pratiques recouvrent notamment :

La manipulation comportementale subliminale : tout système d'IA qui exploite des techniques agissant sur le subconscient d'une personne pour influencer son comportement à son insu ou contre ses intérêts.

L'exploitation des vulnérabilités : les systèmes d'IA qui ciblent délibérément des personnes en raison de leur âge, de leur handicap ou de leur situation sociale pour biaiser leur comportement.

Le scoring social généralisé : la notation des individus par des autorités publiques sur la base de leur comportement général, conduisant à un traitement défavorable dans des domaines sans rapport avec la notation.

La reconnaissance faciale en temps réel dans les espaces publics à des fins d'identification, sauf exceptions très encadrées liées à la sécurité nationale ou à la recherche de personnes disparues.

Le scraping d'images faciales à grande échelle pour constituer des bases de données biométriques.

L'inférence des émotions sur le lieu de travail et dans les établissements d'enseignement, sauf cas médicaux ou de sécurité justifiés.

Si votre organisation utilise l'un de ces systèmes, l'obligation de cessation est immédiate. L'ignorance du règlement ne constitue pas une cause d'exonération.

III. Le calendrier complet des obligations : dates, acteurs, exigences

L'application de l'AI Act est progressive. Voici les jalons à retenir.

1er août 2024 — Entrée en vigueur Le règlement est officiellement en vigueur. Les organisations ont commencé à prendre connaissance de leurs obligations futures.

2 février 2025 — Interdictions et littératie IA (déjà applicable) Les pratiques à risque inacceptable sont interdites. Par ailleurs, l'article 4 du règlement impose à toutes les organisations qui déploient des systèmes d'IA de s'assurer que leur personnel dispose d'un niveau suffisant de compétences pour comprendre et utiliser ces systèmes de manière appropriée. Cette obligation de « littératie IA » est en vigueur depuis cette date.

2 août 2025 — Obligations relatives aux modèles GPAI (déjà applicable) Les modèles d'IA à usage général — les grands modèles de langage comme ceux développés par OpenAI, Google ou Mistral — sont soumis à des obligations de documentation technique, de transparence sur les données d'entraînement et, pour les modèles à impact systémique, d'évaluation des risques renforcée. Pour les organisations qui utilisent ces modèles via des API tierces, cela signifie que leurs fournisseurs doivent être en conformité, ce qui doit être vérifié et intégré dans les contrats.

2 août 2026 — Systèmes à haut risque et transparence (échéance principale) C'est l'échéance la plus structurante pour la majorité des entreprises. Les systèmes d'IA classés à haut risque doivent être pleinement conformes. Les obligations de transparence de l'article 50 — notamment le marquage des contenus générés par IA — entrent également en application. À noter : dans le cadre du Digital Omnibus numérique, le Parlement européen a voté en mars 2026 en faveur d'un report partiel des obligations haut risque vers décembre 2027. Toutefois, ce report ne concerne pas les interdictions, les obligations de littératie IA ni les exigences de transparence. La prudence commande de traiter l'échéance d'août 2026 comme une date cible de préparation, quelle que soit l'issue définitive des négociations.

2 août 2027 — Extension aux systèmes à haut risque liés à des produits réglementés Les systèmes d'IA intégrés dans des produits soumis à une réglementation sectorielle préexistante (dispositifs médicaux, équipements de sécurité) bénéficient d'une période de transition supplémentaire jusqu'à cette date.

IV. Qui est concerné ? La question que personne ne se pose assez tôt

L'AI Act s'applique à toute organisation qui développe, commercialise ou déploie un système d'IA sur le territoire de l'Union européenne, ou dont les systèmes produisent des effets sur des personnes situées dans l'UE — indépendamment du lieu d'établissement de l'organisation.

Le règlement définit plusieurs rôles. Deux d'entre eux concernent la grande majorité des entreprises.

Le fournisseur est l'entité qui développe un système d'IA et le met sur le marché, que ce soit sous son propre nom ou via un tiers. Il supporte les obligations les plus lourdes : documentation technique complète, marquage CE, évaluation de conformité, enregistrement dans la base de données européenne.

Le déployeur est l'entité qui utilise un système d'IA dans un contexte professionnel, sans l'avoir développé. C'est le cas de la très grande majorité des PME et ETI. Être déployeur n'exonère pas d'obligations. Le déployeur doit respecter les instructions du fournisseur, informer les personnes concernées de l'usage d'un système d'IA, garantir un contrôle humain effectif sur les décisions automatisées significatives, et former ses équipes à la maîtrise de l'IA.

La confusion fréquente consiste à croire que l'utilisation d'un outil d'IA tiers — un logiciel de gestion RH avec un module de scoring, une solution de CRM avec des recommandations algorithmiques, un outil de détection de fraude interne — dispense l'organisation de toute responsabilité. C'est inexact. Dès lors que le système d'IA produit des effets sur des personnes physiques, notamment en influençant des décisions de recrutement, d'accès au crédit ou d'évaluation de performance, le déployeur est soumis aux obligations qui correspondent au niveau de risque du système.

Les secteurs particulièrement exposés au régime du haut risque sont les suivants : les ressources humaines et le recrutement, les services financiers et le scoring de crédit, la santé et le diagnostic médical, l'éducation et les systèmes d'évaluation, les infrastructures critiques, la gestion des frontières et le contrôle migratoire, l'administration de la justice.

V. Les obligations concrètes à mettre en œuvre

Pour les organisations déployant des systèmes à haut risque, les obligations sont structurées autour de six axes principaux.

La cartographie des systèmes d'IA Toute démarche de conformité commence par l'identification exhaustive des systèmes d'IA utilisés dans l'organisation. Cette cartographie doit couvrir les outils internes développés en propre, les solutions tierces intégrant des composantes d'IA, et les projets en cours de développement. Pour chaque système identifié, une qualification du niveau de risque doit être réalisée.

Le système de gestion des risques Les systèmes à haut risque doivent être accompagnés d'un système de gestion des risques documenté, mis en place tout au long du cycle de vie du système. Ce système doit identifier les risques prévisibles pour la santé, la sécurité et les droits fondamentaux, évaluer leur probabilité et leur gravité, et prévoir des mesures d'atténuation.

La documentation technique Pour les fournisseurs, une documentation technique complète est obligatoire avant toute mise sur le marché. Pour les déployeurs, l'obligation consiste à exiger contractuellement cette documentation de leurs fournisseurs et à en vérifier le contenu. Cette documentation couvre le fonctionnement du système, les données d'entraînement, les performances, les limites et les mesures de sécurité.

La traçabilité et les journaux d'activité Les systèmes à haut risque doivent être conçus pour permettre la journalisation automatique de leur fonctionnement. Ces journaux doivent permettre de retracer les événements significatifs, notamment lorsque le système produit des résultats ayant un impact sur des personnes.

Le contrôle humain effectif L'article 14 du règlement impose que les systèmes à haut risque soient conçus et déployés de manière à permettre à des personnes physiques de surveiller leur fonctionnement, d'intervenir et, le cas échéant, de neutraliser le système. Ce contrôle doit être réel et non formel. Une supervision purement nominale ne suffit pas.

La transparence envers les personnes concernées Lorsqu'un système d'IA prend ou influence une décision ayant un impact significatif sur une personne — refus d'embauche, refus de crédit, évaluation défavorable — l'organisation doit être en mesure d'expliquer cette décision de manière intelligible. Cette obligation de transparence s'articule directement avec le droit à l'explication prévu par le RGPD pour les décisions automatisées.

La formation des équipes L'obligation de littératie IA, en vigueur depuis février 2025, impose que les personnes travaillant avec des systèmes d'IA disposent d'une formation adaptée à leur niveau d'intervention. Cette formation doit être documentée.

VI. L'articulation AI Act / RGPD : deux règlements qui s'additionnent

Une erreur fréquente consiste à considérer l'AI Act comme une version améliorée du RGPD ou comme un texte qui s'y substitue. Il n'en est rien.

Le RGPD encadre les traitements de données personnelles. L'AI Act encadre les systèmes d'intelligence artificielle. Ces deux périmètres se recoupent très largement, car la quasi-totalité des systèmes d'IA à usage professionnel traitent des données personnelles — données de candidats, données clients, données de salariés.

L'intersection crée des zones de complexité spécifiques. Une analyse d'impact relative à la protection des données (AIPD) peut être requise à la fois au titre du RGPD pour le traitement de données sensibles et au titre de l'AI Act pour l'évaluation d'un système à haut risque. Ces deux démarches, bien que distinctes, doivent être coordonnées pour éviter les redondances et les incohérences.

De même, les droits des personnes — accès, rectification, opposition, explication des décisions automatisées — s'exercent simultanément dans les deux cadres. La gouvernance mise en place doit intégrer cette double dimension.

La bonne nouvelle est que les organisations déjà engagées dans une démarche RGPD disposent d'une base solide. Le registre des traitements, les analyses d'impact et la documentation existante peuvent servir de point de départ pour la cartographie IA et la conformité AI Act. Il s'agit d'étendre et d'adapter un cadre existant, non de repartir de zéro.

VII. Le rôle du DPO face à l'AI Act

La question de savoir qui, dans l'organisation, est chargé de piloter la conformité AI Act est souvent laissée sans réponse claire. Elle mérite pourtant d'être posée dès maintenant.

Le délégué à la protection des données occupe une position naturellement centrale dans cette démarche. Sa connaissance des traitements de données, de l'analyse des risques et du cadre réglementaire européen en fait l'interlocuteur le mieux positionné pour coordonner la mise en conformité AI Act au sein de l'organisation.

Concrètement, le DPO peut contribuer à plusieurs niveaux. Il peut piloter la cartographie des systèmes d'IA et leur qualification par niveau de risque. Il peut coordonner l'articulation entre les analyses d'impact RGPD et les évaluations AI Act. Il peut accompagner la rédaction des clauses contractuelles relatives aux obligations des fournisseurs. Il peut structurer la documentation requise et organiser les procédures de contrôle humain. Il peut enfin assurer la veille réglementaire sur un texte dont les lignes directrices sont encore en cours de publication.

Cette mission suppose une montée en compétence spécifique. L'AI Act introduit des notions nouvelles — qualification des systèmes, gestion du cycle de vie, marquage CE, évaluation de conformité — qui ne font pas partie du corpus traditionnel du droit à la protection des données. Pour les organisations dont le DPO est interne et déjà sollicité sur d'autres sujets, ou pour celles qui ne disposent pas encore d'un DPO désigné, le recours à un DPO externe disposant d'une expertise en droit du numérique et en intelligence artificielle constitue une réponse adaptée à ce double enjeu.

Conclusion

L'AI Act n'est pas un texte d'avenir. Il est en vigueur. Certaines de ses obligations s'appliquent déjà. D'autres arrivent dans les prochains mois.

La tentation est grande d'attendre que le cadre se stabilise — les lignes directrices de la Commission européenne sont encore attendues, certaines échéances font l'objet de discussions dans le cadre du Digital Omnibus. Cette attente est compréhensible. Elle n'est pas sans risque.

Les organisations qui commencent dès maintenant leur démarche de conformité bénéficient d'un avantage décisif : elles peuvent agir de manière méthodique, identifier les zones de risque réelles, former leurs équipes et structurer leur documentation sans pression. Celles qui attendent se retrouveront, comme en 2018, à devoir rattraper en quelques semaines un retard de plusieurs mois.

L'histoire du RGPD a montré que la conformité n'est pas un événement ponctuel. C'est un processus continu, qui s'inscrit dans la durée et qui suppose une gouvernance dédiée. L'AI Act confirme cette logique et l'étend à un nouveau périmètre : celui des systèmes d'intelligence artificielle qui, aujourd'hui, participent déjà au fonctionnement quotidien de la grande majorité des organisations.

Le logiciel RGPD du DPO

Les DPO internes, vous disposez de documentations et d’outils intuitifs, permettant la collaboration avec vos équipes.

Les DPO mutualisés et externes (consultants freelance, cabinets d'avocats ou de conseil, institutions publiques), en plus de disposer des mémes fonctionnalités que les DPO internes pour tous vos clients, vous gérez ensemble sur une seule plateforme.

En savoir plus