ConformitéJuillet 20268 min de lecture
L'IA Act expliqué aux entreprises : ce qui vous concerne vraiment
L'IA Act fait peur de loin et beaucoup moins de près. Voici ce qui vous concerne vraiment, ce qui s'applique déjà, ce qui a été repoussé, et par où commencer sans mobiliser un cabinet d'avocats.
L'IA Act en trois phrases, sans jargon juridique
L'IA Act est le règlement européen qui encadre l'usage de l'intelligence artificielle, pas la technologie elle-même. Sa logique tient en une idée : plus un usage de l'IA peut porter atteinte aux personnes, plus les obligations sont lourdes. Le reste, l'immense majorité des cas d'entreprise, relève surtout de bon sens et de transparence. Je ne suis pas juriste et cet article n'est pas un avis juridique : c'est une lecture de terrain pour savoir où vous vous situez et quoi faire en premier.
Êtes-vous concerné ? Utilisateur, déployeur, fournisseur
Le règlement ne traite pas tout le monde pareil. Votre première question n'est pas « suis-je concerné » mais « à quel titre ». Trois rôles à distinguer, et vous pouvez en cumuler plusieurs selon les projets.
- Simple utilisateur, à titre personnel : vous utilisez ChatGPT ou un assistant pour vous, hors cadre pro. Vous êtes en dehors du champ des obligations d'entreprise.
- Déployeur : vous faites tourner un système d'IA dans votre activité (un assistant support, un tri de candidatures, une aide à la décision). C'est le cas de la grande majorité des entreprises, et ce rôle porte des obligations, surtout quand l'usage est sensible.
- Fournisseur : vous développez un système d'IA, ou vous mettez votre marque dessus, ou vous le modifiez en profondeur. Là, les obligations sont les plus lourdes. Beaucoup d'entreprises deviennent fournisseurs sans le savoir, par exemple en habillant un modèle sous leur propre produit.
La logique par niveau de risque, sans jargon
Le règlement range les usages en quatre étages. Vous n'avez pas besoin de connaître les articles, juste de savoir sur quel étage tombe chacun de vos cas.
- Risque inacceptable : interdit, point. Notation sociale, manipulation, certaines surveillances. Si vous êtes là-dedans, ce n'est pas un sujet de conformité, c'est un sujet à abandonner.
- Haut risque : autorisé mais très encadré. Recrutement, crédit, santé, éducation, sécurité, RH. C'est là que se concentrent les vraies obligations : documentation, supervision humaine, qualité des données, traçabilité.
- Risque limité : autorisé avec transparence. Un chatbot, une image ou un texte générés doivent être signalés comme tels. C'est le cas le plus fréquent en entreprise.
- Risque minimal : autorisé sans obligation particulière. La majorité des usages bureautiques et d'automatisation. Rien de spécial à faire, au-delà du bon sens.
Le calendrier réel : ce qui s'applique, ce qui arrive, ce qui a été repoussé
C'est le point où l'on vous vend le plus de panique. La réalité : le règlement s'applique par vagues étalées sur plusieurs années, et le calendrier a même été assoupli fin 2025. Ces dates ont déjà bougé et peuvent encore bouger, donc ne calez pas toute votre stratégie sur un jour précis. Retenez surtout que rien ne vous tombe dessus d'un coup.
- Depuis février 2025 : les usages interdits (risque inacceptable) le sont déjà, et une obligation de culture IA (former vos équipes aux bases) est entrée en vigueur.
- Depuis août 2025 : les obligations sur les modèles à usage général (les grands modèles type GPT, Claude, Gemini) s'appliquent, côté fournisseurs de ces modèles surtout.
- Décembre 2026 : les obligations de transparence et de marquage des contenus générés (chatbots signalés, contenus IA identifiables). C'est ce qui touche le plus d'entreprises au quotidien.
- Décembre 2027 : le gros des obligations haut risque, repoussé par rapport au calendrier initial. Vous avez du temps devant vous, à condition de ne pas attendre le dernier moment.
Les obligations concrètes : transparence, marquage, inventaire
Derrière le vocabulaire, les obligations qui toucheront le plus d'entreprises sont assez simples. La transparence : dire à un utilisateur qu'il parle à une IA et non à un humain. Le marquage : signaler qu'un contenu (texte, image, voix) a été généré ou modifié par une IA. Et, en amont de tout, l'inventaire : savoir quels systèmes d'IA tournent chez vous, pour quoi, avec quelles données. Beaucoup d'entreprises ne peuvent répondre à aucune de ces trois questions aujourd'hui, et c'est précisément là qu'il faut commencer. Une charte d'usage de l'IA en interne règle déjà une bonne partie du sujet côté équipes.
Les sanctions, pour situer l'enjeu (sans paniquer)
Les montants font les gros titres : jusqu'à 35 millions d'euros ou 7 % du chiffre d'affaires mondial pour les usages interdits, jusqu'à 15 millions ou 3 % pour le reste des manquements. Ce sont des plafonds, pensés pour les cas graves et délibérés, avec de la proportionnalité et des seuils adaptés aux petites structures. L'idée n'est pas de vous faire peur : c'est de rappeler que le sujet mérite une vraie attention, pas une nuit blanche.
L'IA Act ne sanctionne pas le fait d'utiliser l'IA. Il sanctionne le fait de ne pas savoir ce que fait la vôtre.
Par où commencer : l'inventaire, puis la gap analysis
Deux gestes, dans cet ordre. D'abord l'inventaire : lister tous les usages d'IA dans l'entreprise, y compris ceux que personne n'a officialisés (les outils que les équipes utilisent déjà de leur côté). Pour chacun : à quoi il sert, quelles données il touche, sur quel étage de risque il tombe, êtes-vous déployeur ou fournisseur. Ensuite la gap analysis : comparer ce que vous faites à ce que le règlement demande pour cet étage, et lister les écarts à combler. C'est un travail que je mène souvent dans le cadre d'un audit IA orienté conformité et coûts, parce que les deux sujets se recoupent : le même inventaire sert à réduire la facture et à cadrer le risque.
Ce que ça change pour vos choix techniques
Le règlement récompense ceux qui savent montrer patte blanche. Trois choix techniques vous mettent d'avance en règle, indépendamment des dates. La traçabilité d'abord : garder une trace de qui a demandé quoi, ce que le modèle a répondu, sur quelles sources, pour pouvoir expliquer une décision après coup. C'est le cœur de la fiabilité en production. Le sourcing ensuite : savoir d'où viennent vos données et vos modèles, et l'assumer. La souveraineté enfin : pour les données sensibles, un modèle hébergé en UE ou installé chez vous plutôt que dans un cloud lointain simplifie beaucoup la conformité, et le sommeil du dirigeant. Si vous voulez un état des lieux honnête de votre exposition et un plan sans jargon, parlons-en.