Dès février 2025, certaines pratiques d’IA sont devenues illégales en Europe. À partir d’août 2026, les entreprises qui ne respectent pas les règles sur les IA « à haut risque » s’exposeront à des amendes pouvant atteindre 35 millions d’euros ou 7% de leur chiffre d’affaires mondial. L’AI Act, ou Règlement (UE) 2024/1689, n’est pas un simple texte de plus. C’est le premier cadre réglementaire contraignant au monde pour l’intelligence artificielle.
Pour les entreprises françaises, des PME aux grands groupes, ce n’est plus une question de « si », mais de « comment » et « quand » se mettre en conformité. Ce texte impose une nouvelle manière de concevoir, d’acheter et de déployer l’IA.
À retenir :
- L’AI Act est une réglementation « produit » qui classe les systèmes d’IA selon 4 niveaux de risque (inacceptable, haut, limité, minimal).
- Des obligations concrètes s’appliquent : interdiction de certaines pratiques (comme la notation sociale), transparence obligatoire pour les chatbots et deepfakes, et un marquage CE lourd pour les IA « à haut risque » (ex: recrutement, crédit).
- Le calendrier est serré : les interdictions sont en vigueur depuis février 2025, les obligations pour l’IA générative (GPAI) s’appliquent dès août 2025, et la conformité « haut risque » est attendue pour août 2026.
Nous n’assistons pas à une simple mise à jour technique. Nous vivons la naissance d’un cadre légal qui ancre l’IA dans nos réalités métiers et sociétales. Comprendre ce texte n’est plus une option pour juristes ; c’est une nécessité stratégique pour toute manager (comme Sophie, la décisionnaire) et une question centrale pour tout citoyen (comme Marc, le citoyen éclairé). Voici ce que cela signifie concrètement pour vous.
Le contexte stratégique — Qu’est-ce que l’AI Act ?
Pour comprendre l’AI Act, il faut d’abord saisir sa philosophie. Ce n’est pas une loi qui régule « l’IA » en tant que technologie abstraite, mais une loi qui régule les produits et services concrets qui l’utilisent.
Une réglementation « produit » européenne
L’approche européenne est fondée sur le risque : plus un système d’IA peut avoir un impact négatif sur nos droits fondamentaux, notre sécurité ou notre santé, plus les obligations pour le mettre sur le marché sont strictes.
L’analogie la plus simple est celle du marquage CE. De la même manière qu’un jouet ou un appareil électronique doit prouver sa sécurité avant d’être vendu dans l’UE, un logiciel de recrutement « à haut risque » devra désormais obtenir un marquage CE de conformité AI Act. C’est une garantie que le produit a été évalué et respecte les exigences de sécurité, de transparence et de gouvernance des données.
L’état de l’art en 2025
Ce règlement n’arrive pas dans le vide. L’urgence de légiférer s’explique par l’adoption fulgurante de ces technologies. Selon une étude McKinsey de 2025, 71% des organisations utilisent déjà l’IA générative régulièrement. Les investissements privés mondiaux dans ce seul domaine ont atteint 33,9 milliards de dollars en 2024. L’Europe a donc décidé de poser des garde-fous pour que cette révolution se fasse dans un cadre de confiance.
[Élément clé] Encadré « Point de vue expert »
« L’AI Act n’entrave aucunement la révolution en mouvement de l’intelligence artificielle. »
— Thierry Breton, ex-Commissaire européen au Marché intérieur
L’Analyse approfondie — Les 4 niveaux de risque décryptés
Le cœur du texte est une pyramide de risques. Votre niveau de risque détermine vos obligations.
Risque inacceptable = interdictions (février 2025)
Depuis le 2 février 2025, certains systèmes d’IA sont tout simplement bannis du marché européen car jugés contraires à nos valeurs.
Cela inclut :
- Les systèmes de notation sociale (« social scoring ») par les gouvernements.
- La manipulation comportementale cognitive (ex: jouets incitant des enfants à des actes dangereux).
- L’inférence d’émotions en milieu de travail ou scolaire.
- Certaines formes de reconnaissance biométrique en temps réel dans l’espace public (avec des exceptions très strictes pour la sécurité publique).
Haut risque = obligations strictes (août 2026)
C’est la catégorie la plus critique pour la plupart des entreprises (la cible de Sophie). Sont concernés les systèmes listés à l’Annexe III du texte, car ils touchent à des domaines sensibles.
Exemples concrets :
- Recrutement : Les logiciels de tri de CV (ATS) ou d’analyse de candidatures.
- Crédit : Les outils d’évaluation de la solvabilité (« scoring » de crédit).
- Éducation : Les logiciels de surveillance d’examen ou d’orientation.
- Infrastructures critiques, justice, dispositifs médicaux…
Pour ces systèmes, la conformité est un projet d’envergure applicable dès août 2026. Les fournisseurs devront mettre en place une gestion des risques, assurer une haute qualité des données (pour limiter les biais), garantir une supervision humaine et, enfin, apposer le fameux marquage CE.
Risque limité = transparence
Cette catégorie vise à protéger les citoyens de la tromperie. Les obligations sont simples : l’utilisateur doit savoir.
- Chatbots : Si vous utilisez un assistant virtuel, vous devez clairement informer l’utilisateur qu’il interagit avec une machine (application de l’Article 50).
- Deepfakes : Tout contenu audio, image ou vidéo généré ou manipulé artificiellement (un « deepfake ») doit être étiqueté comme tel. C’est un enjeu crucial pour lutter contre la désinformation (une préoccupation clé de Marc).
GPAI = obligations spécifiques
L’AI Act s’attaque aussi aux grands modèles d’IA générative (GPAI), comme ceux de Mistral AI ou OpenAI. Dès août 2025, ils devront respecter des obligations de transparence, notamment en fournissant une documentation technique et un résumé des données protégées par le droit d’auteur utilisées pour leur entraînement.
Un seuil de « risque systémique » est fixé à 10^25 FLOPs (une mesure de puissance de calcul). Les modèles dépassant ce seuil (comme GPT-4) auront des obligations renforcées, comme des évaluations de risques et des audits de sécurité, et devront notifier la Commission européenne.
- Août 2024 : Entrée en vigueur du Règlement.
- Février 2025 : Interdiction des systèmes à risque inacceptable.
- Août 2025 : Application des obligations pour les GPAI (transparence, copyright).
- Août 2026 : Application complète des obligations pour les systèmes à haut risque (Annexe III, marquage CE).
- Août 2027 : Pleine application à tous les systèmes (transition pour les modèles existants).
Impacts concrets pour la France
La traduction de ce texte européen en pratique quotidienne se fera au niveau national. C’est là que Célia, en tant que journaliste de terrain, observe les impacts concrets.
Pour les entreprises françaises
Pour les PME et ETI françaises, l’AI Act n’est pas qu’une contrainte. Des entreprises comme Orange, avec sa charte éthique IA, ou BNP Paribas, qui déploie plus de 800 cas d’usage IA, ont déjà anticipé ce besoin de gouvernance.
Pour aider les entreprises plus modestes (le terrain de Sophie), la France met en place des « bacs à sable réglementaires ». Ce sont des environnements de test gratuits et supervisés où les PME peuvent expérimenter leurs IA et s’assurer de leur conformité avant un lancement coûteux, avec l’appui des autorités. Des allègements, comme des amendes réduites, sont aussi prévus pour les PME.
Pour les citoyens
Pour le citoyen (Marc), le gain est tangible : le droit de savoir. L’AI Act garantit le droit d’être informé lorsque vous interagissez avec une IA (chatbot) ou consommez un contenu généré (deepfake).
Plus important encore, il renforce la protection contre les biais algorithmiques, notamment dans les processus de recrutement ou d’octroi de prêt. Si une décision automatisée « à haut risque » vous affecte, vous aurez des droits de recours et d’explication renforcés.
Autorités compétentes France
Qui contacter en cas de doute ? En France, la supervision sera partagée.
- La CNIL (Commission Nationale de l’Informatique et des Libertés) sera l’autorité de surveillance principale, notamment pour tous les systèmes traitant des données personnelles.
- Elle travaillera avec des autorités sectorielles : la DGCCRF pour les produits de consommation, l’ACPR pour la banque, ou encore l’ANSM pour la santé.
- Le guide officiel de la DGE (entreprises.gouv.fr)
- Le Q&R de la CNIL sur l’entrée en vigueur de l’AI Act
FAQ
Voici les 5 questions que nos lecteurs (comme Sophie) nous posent le plus souvent.
- Mon ATS (logiciel de recrutement) est-il concerné ?
Oui, absolument. Les systèmes utilisés pour le « recrutement ou la sélection de personnes », notamment pour le tri de CV, sont explicitement listés à l’Annexe III comme étant à haut risque.
Action immédiate : Contactez votre fournisseur de logiciel pour exiger sa feuille de route de conformité AI Act et son futur marquage CE (obligatoire avant août 2026).
- Que risque mon entreprise en cas de non-conformité ?
Les sanctions sont les plus lourdes jamais prévues par l’UE. Elles sont graduées :
- Jusqu’à 35 M€ ou 7% du CA mondial pour le non-respect des interdictions.
- Jusqu’à 15 M€ ou 3% du CA pour le non-respect des autres obligations (ex: haut risque). Ces amendes s’appliqueront pleinement dès février 2025 pour les interdictions et août 2026 pour les obligations GPAI.
- Comment savoir si mon IA dépasse le seuil 10^25 FLOPs ?
Ce seuil technique très élevé ne concerne que les plus grands modèles d’IA générative (GPAI) dits « systémiques », de niveau GPT-4 ou supérieur. Si vous développez un modèle de cette envergure, vous avez l’obligation de le notifier à la Commission européenne sous deux semaines. Pour la quasi-totalité des PME, ce seuil ne s’applique pas directement, mais vous dépendez des fournisseurs de ces modèles.
- Où trouver de l’aide pour se mettre en conformité ?
Pour les PME françaises, deux guichets principaux :
- Les guides et Q&R de la DGE (Ministère de l’Économie) et de la CNIL.
- Les bacs à sable réglementaires (« sandboxes ») qui seront mis en place pour tester gratuitement votre solution avec l’aide des régulateurs.
- Dois-je afficher un message quand mon chatbot répond ?
Oui. C’est une obligation de transparence (Article 50). Les utilisateurs doivent être informés « de manière claire et visible » qu’ils interagissent avec un système d’IA. Un simple message d’accueil (« Vous discutez avec notre assistant IA ») est la meilleure pratique pour être conforme.
Conclusion
L’AI Act n’est pas une simple contrainte administrative. C’est une clarification des règles du jeu. Pour les entreprises, il trace une voie vers une innovation digne de confiance, un avantage concurrentiel majeur sur le marché mondial. Pour les citoyens, il offre des garanties concrètes sur l’utilisation de technologies qui façonnent déjà nos vies.
La thèse d’Ikendo est claire : la conformité n’est pas une fin en soi, c’est le moyen de bâtir une IA robuste, éthique et durable. L’anticipation est la clé. Le compte à rebours avant les premières échéances de 2025 et 2026 a déjà commencé. La question n’est plus si vous devez vous mettre en conformité, mais comment vous allez piloter ce changement.
Pour aller plus loin et transformer cette obligation en opportunité stratégique, découvrez notre Guide Conformité AI Act PME ou abonnez-vous à notre newsletter pour ne manquer aucune de nos analyses sur les prochaines étapes réglementaires.
Et vous, quels sont les premiers défis que vous rencontrez dans la mise en œuvre de l’AI Act ? Partagez vos retours d’expérience en commentaire.
À propos de l’auteur
Arnaud Correas est journaliste Tech & Société chez Ikendo.fr, spécialisée dans les usages et les enjeux éthiques du numérique. Formée à la sociologie et au journalisme d’investigation, elle enquête sur le terrain pour révéler comment la technologie transforme concrètement nos métiers, nos compétences et notre vie privée. Au cœur de son travail : donner la parole aux utilisateurs et questionner les angles morts de l’innovation.
