IA Act : que dit cette loi européenne sur l'intelligence artificielle ?

En 2024, 10 % des entreprises françaises de 10 salariés ou plus déclaraient utiliser au moins une technologie d'intelligence artificielle, contre 6 % en 2023, (INSEE). Cette progression de 67 % en un seul exercice illustre la vitesse à laquelle l'IA s'est installée dans les processus métier. L'Union européenne a répondu à cette accélération par le premier cadre légal mondial dédié à l'IA : le Règlement (UE) 2024/1689, dit IA Act, entré en vigueur le 1er août 2024.

Ses obligations entrent progressivement en application, et les plus lourdes s'imposent dès 2026. Pour les DSI, les DRH et les directions IT qui déploient ou achètent des solutions d'IA, la question n'est plus de savoir si ce règlement les concerne, mais dans quelle mesure et à quelle échéance.

‍

Qu'est-ce que l'IA Act ?

L'IA Act est le Règlement (UE) 2024/1689, adopté par le Parlement européen et le Conseil de l'Union européenne et entré en vigueur le 1er août 2024. C'est le premier texte législatif complet au monde à encadrer la conception, la mise sur le marché et l'utilisation des systèmes d'intelligence artificielle.

Son fondement est simple : traiter l'IA comme tout autre produit ou service mis sur le marché européen, en appliquant des règles de sécurité, de transparence et de responsabilité proportionnées au niveau de risque qu'il représente pour les personnes.

‍

Pourquoi l'Union européenne a-t-elle créé ce règlement ?

L'Union européenne a constaté que les textes existants (RGPD, directives sectorielles) ne couvraient pas les risques spécifiques à l'IA : biais algorithmiques, opacité des décisions automatisées, surveillance de masse, manipulation comportementale. L'IA Act vient combler ce vide en posant un cadre horizontal applicable à tous les secteurs.

L'objectif n'est pas d'interdire l'IA, mais d'en encadrer les usages selon leur dangerosité. Les systèmes présentant peu de risques peuvent être déployés librement. Ceux qui exposent les personnes à des décisions lourdes de conséquences, dans des domaines comme le recrutement, le crédit, la santé ou la justice, sont soumis à des obligations strictes.

‍

IA Act et RGPD : deux textes complémentaires, deux objets différents

Une confusion fréquente consiste à assimiler l'IA Act au RGPD. Les deux textes coexistent et se complètent, mais leurs objets sont distincts.

Le RGPD protège les données personnelles : il encadre la collecte, le traitement et la conservation des données des individus. L'IA Act, lui, encadre les systèmes d'IA en tant que tels : leur conception, leur mise sur le marché et leur utilisation, qu'ils traitent ou non des données personnelles.

Un système de recommandation de contenu peut être soumis à l'IA Act sans pour autant traiter de données personnelles au sens du RGPD. À l'inverse, un fichier de contacts géré dans un tableur est soumis au RGPD mais pas à l'IA Act. Dans la plupart des déploiements IA en entreprise, les deux textes s'appliquent conjointement et appellent une gouvernance coordonnée.

‍

Les 4 niveaux de risque : comment les systèmes d'IA sont classifiés

L'IA Act repose sur une approche graduée : plus un système présente de risques pour les droits fondamentaux ou la sécurité des personnes, plus les obligations sont lourdes. Le règlement définit quatre catégories.

‍

Risque inacceptable : les usages interdits depuis février 2025

Certaines applications de l'IA sont considérées comme incompatibles avec les valeurs européennes. Elles sont purement et simplement interdites depuis le 2 février 2025. Les principales pratiques visées sont les suivantes :

‍

• Manipulation subliminale ou exploitation de vulnérabilités : systèmes qui influencent le comportement d'une personne à son insu, en exploitant une faiblesse psychologique ou une situation de dépendance.
• Notation sociale généralisée (social scoring) : évaluation des personnes par les pouvoirs publics sur la base de leur comportement, pour leur attribuer des droits ou les restreindre.
• Identification biométrique en temps réel dans les espaces publics, avec des exceptions très encadrées pour les forces de l'ordre.
• Prédiction du risque de récidive criminelle uniquement fondée sur le profilage.
• Inférence des émotions dans les contextes professionnels et éducatifs.

‍

Ces interdictions sont d'application immédiate, sans période de transition.

‍

Haut risque : les obligations les plus lourdes

La catégorie "haut risque" concerne les systèmes d'IA utilisés dans des domaines où une décision erronée peut avoir des conséquences sérieuses sur la vie des personnes. L'IA Act dresse une liste exhaustive dans ses Annexes I et III.

Sont classés haut risque, entre autres : les systèmes de sélection et d'évaluation dans le recrutement, les outils de scoring de crédit, les logiciels de décision médicale, les systèmes d'évaluation scolaire, les outils d'aide à la décision pour les forces de l'ordre, et les systèmes biométriques d'identification a posteriori.

Les obligations pour ces systèmes incluent une documentation technique exhaustive, des journaux d'événements automatiques (logs), une évaluation des risques avant déploiement, un contrôle humain effectif sur les décisions, et un enregistrement auprès d'une base de données européenne.

‍

Risque limité : transparence obligatoire

Les systèmes à risque limité ne présentent pas de danger direct pour les droits fondamentaux, mais peuvent induire une confusion chez les personnes qui les utilisent. Le règlement impose ici une obligation de transparence.

Concrètement, les chatbots doivent se signaler comme non humains, et les contenus générés par IA (images, vidéos, textes) doivent être identifiés comme tels. Les deepfakes sont soumis à des règles d'étiquetage spécifiques.

‍

Risque minimal : la majorité des outils courants

La grande majorité des outils IA utilisés en entreprise, des filtres anti-spam aux assistants de rédaction en passant par les outils de traduction, entrent dans la catégorie "risque minimal". Aucune obligation spécifique n'est prévue par le règlement pour ces usages, au-delà des textes existants comme le RGPD.

‍

Les modèles d'IA à usage général (GPAI) : un régime spécifique

L'IA Act introduit une catégorie particulière pour les modèles entraînés sur de larges volumes de données et utilisables dans de nombreux contextes : les modèles GPAI (General-Purpose AI). ChatGPT, Mistral AI, Claude ou Google Gemini entrent dans cette catégorie.

Ces modèles sont soumis à des obligations de transparence depuis le 2 août 2025 : documentation technique, politique de respect du droit d'auteur, résumé des données d'entraînement. Les modèles GPAI présentant un "risque systémique", ceux dont la puissance de calcul d'entraînement dépasse 10^25 FLOPs, sont soumis à des exigences renforcées, dont une évaluation adversariale et une déclaration à l'AI Office.

‍

Qui est concerné par l'IA Act ?

L'IA Act s'applique à toute organisation qui conçoit, met sur le marché ou utilise un système d'IA sur le territoire de l'Union européenne, qu'elle soit établie dans l'UE ou non. Le critère déterminant est l'impact dans l'UE, pas la localisation du siège.

‍

Fournisseur, déployeur, distributeur : trois rôles, trois niveaux de responsabilité

Le règlement distingue plusieurs catégories d'acteurs, dont les obligations diffèrent.

‍

‍

Un point critique pour les entreprises : il est possible d'être simultanément fournisseur et déployeur. Une organisation qui adapte un modèle GPAI existant pour un usage interne spécifique, que ce soit pour la sélection de CV, le scoring client ou le triage médical, devient fournisseur du système adapté et hérite des obligations correspondantes.

‍

Votre entreprise est-elle directement visée ?

La taille de l'entreprise n'est pas le critère discriminant de l'IA Act. Ce qui compte, c'est la nature des systèmes utilisés. Une ETI qui utilise un outil de recrutement automatisé ou un logiciel de scoring de crédit peut être soumise aux obligations les plus lourdes du règlement, même si elle n'a jamais développé une ligne de code d'IA.

Le Digital Omnibus, accord provisoire Conseil-Parlement du 7 mai 2026, a toutefois étendu les mesures d'allègement initialement réservées aux PME aux entreprises de moins de 750 salariés : accès facilité aux bacs à sable réglementaires (regulatory sandboxes), documentation simplifiée, accompagnement national.

‍

Le calendrier d'application : ce qui est déjà en vigueur, ce qui arrive

L'IA Act ne s'est pas appliqué en une seule fois. Son calendrier est progressif et a été partiellement revu depuis son adoption initiale.

‍

*Accord provisoire Conseil-Parlement du 7 mai 2026, sous réserve de publication au Journal officiel de l'UE.

‍

Ce que change le Digital Omnibus

Le Digital Omnibus est un texte d'ajustement dont un accord provisoire a été conclu le 7 mai 2026 entre le Conseil et le Parlement européen. Sa principale conséquence pour les entreprises : les obligations pour les systèmes d'IA à haut risque listés à l'Annexe III, dont les outils de recrutement automatisé, les systèmes de scoring de crédit et les dispositifs biométriques, sont repoussées du 2 août 2026 au 2 décembre 2027.

Ce report ne signifie pas que la conformité peut attendre. Les entreprises dont les systèmes relèvent de l'Annexe III ont jusqu'à fin 2027 pour compléter leur documentation technique, mettre en place la supervision humaine requise et s'enregistrer dans la base de données européenne.

‍

Les obligations concrètes pour les entreprises

L'IA Act ne se limite pas à une grille de classification. Pour les systèmes classés haut risque, il impose des mesures concrètes que les organisations doivent mettre en place avant déploiement et maintenir tout au long du cycle de vie du système.

‍

Documentation technique et traçabilité

Tout système d'IA à haut risque doit être accompagné d'une documentation technique exhaustive : description du système, des données d'entraînement, des performances attendues, des limites connues et des mesures de correction disponibles. Cette documentation doit être tenue à jour et accessible aux autorités nationales de surveillance sur demande.

La journalisation automatique des événements (logs) est obligatoire. Le règlement exige que les systèmes conservent une trace de leur fonctionnement suffisante pour permettre une surveillance après déploiement, condition nécessaire pour identifier l'origine d'une décision contestée.

Les systèmes à haut risque doivent obtenir un marquage CE avant mise sur le marché ou mise en service, ce qui implique une évaluation de conformité selon les procédures définies par le règlement.

‍

Supervision humaine et gouvernance IA

L'IA Act insiste sur la supervision humaine comme principe cardinal pour les systèmes à haut risque. Les organisations déployeuses doivent désigner des personnes physiques responsables du contrôle du système, former ces personnes aux risques liés au système, et s'assurer qu'elles disposent des moyens techniques d'intervenir ou d'interrompre le système.

Ce principe de supervision humaine ne se cantonne pas à un rôle formel. Il doit se traduire dans les processus métier : une décision de recrutement assistée par IA doit rester révisable et traçable, pas simplement validée par un responsable qui n'a pas lu la documentation du système.

Chez Ozitem, les projets d'intégration IA que nous accompagnons intègrent systématiquement ce principe dès la phase de cadrage : qui est responsable du système ? Qui peut le suspendre ? Comment les décisions sont-elles documentées ? Ces questions ne sont pas accessoires, elles conditionnent directement la conformité des entreprises déployeuses.

‍

Les sanctions financières prévues

Le règlement prévoit trois niveaux de sanctions selon la gravité des infractions, définis à l'[Article 99 du Règlement (UE) 2024/1689](https://artificialintelligenceact.eu/article/99/).

‍

Dans chaque cas, le montant le plus élevé est retenu. Pour les PME et startups, le règlement prévoit que l'amende est plafonnée au montant le plus bas entre les deux seuils, une exception qui ne s'applique pas aux grandes entreprises.

‍

ESN et prestataires IT : une double responsabilité à gérer

Les ESN, intégrateurs et prestataires IT occupent une position particulière face à l'IA Act, largement sous-estimée dans les guides de conformité généralistes. En 2025, 81 % des ESN et ICT identifient l'IA générative comme la première opportunité de marché, selon l'étude Grand Angle ESN & ICT de Numeum x KPMG. Ce chiffre est aussi une mesure de leur exposition réglementaire.

‍

Quand votre prestataire est fournisseur ET déployeur d'IA

Une ESN qui intègre un modèle GPAI dans une solution sur mesure pour son client n'est pas un simple distributeur. Elle adapte le modèle, en définit les paramètres et en contrôle les sorties : elle devient, au sens de l'IA Act, fournisseur du système adapté. Les obligations de documentation technique, d'évaluation des risques et de marquage CE lui incombent.

La même ESN qui déploie ensuite cette solution dans l'environnement de son client endosse également le rôle de déployeur. Cette double position est la règle dans les projets d'intégration IA, pas l'exception. Elle implique de distinguer contractuellement les responsabilités entre l'ESN et le client donneur d'ordre sur chaque obligation du règlement.

Le secteur IT concentre cette exposition de manière particulièrement marquée : selon l'INSEE, 42 % des entreprises du secteur information-communication déclaraient employer des technologies d'IA en 2024, soit quatre fois la moyenne nationale des entreprises françaises.

‍

Conformité AI Act et ISO 27001 : des synergies concrètes

Pour les organisations déjà certifiées ISO 27001, la mise en conformité avec l'IA Act n'est pas un départ de zéro. Les deux référentiels partagent des exigences proches : gestion documentaire des risques, traçabilité des décisions, contrôles de sécurité sur les systèmes d'information, supervision des acteurs tiers.

Les entreprises qui disposent d'un Système de Management de la Sécurité de l'Information (SMSI) solide ont déjà établi les fondations de la gouvernance IA requise par le règlement : cartographie des actifs, évaluation des risques, plan de traitement, revue de direction. L'extension aux systèmes d'IA représente un effort d'adaptation, pas une reconstruction complète.

‍

Conclusion

‍

L'IA Act n'est pas un texte de plus dans la liste des réglementations IT à surveiller. C'est un cadre qui va structurer, pour les dix prochaines années, la façon dont les entreprises européennes conçoivent, achètent et déploient des systèmes d'intelligence artificielle. Avec 10 % des entreprises françaises de 10 salariés ou plus déclarant utiliser au moins une technologie d'IA en 2024, contre 6 % un an plus tôt selon l'INSEE, la question de la conformité devient concrète pour un nombre croissant d'organisations.

Pour les DSI et les équipes IT, l'enjeu n'est pas de devenir experts juridiques. C'est de cartographier les systèmes d'IA en place ou en projet, d'identifier ceux qui entrent dans les catégories à risque, et de s'assurer que les processus de gouvernance et de supervision sont en place avant les échéances qui s'appliquent.

{{cta-accompagnez-votre-it="/cta"}}

‍

FAQ

Qu'est-ce que l'IA Act ?

L'IA Act (ou AI Act) est le Règlement (UE) 2024/1689, entré en vigueur le 1er août 2024. C'est le premier texte législatif complet au monde encadrant la conception, la mise sur le marché et l'utilisation des systèmes d'intelligence artificielle dans l'Union européenne.

‍

À qui s'applique l'IA Act ?

L'IA Act s'applique à toute organisation qui conçoit (fournisseur), utilise (déployeur), distribue ou importe des systèmes d'IA sur le marché européen, qu'elle soit établie dans l'UE ou en dehors. Le critère est l'impact sur le territoire de l'Union, pas la localisation du siège social.

‍

Quelle différence entre l'IA Act et le RGPD ?

Le RGPD encadre le traitement des données personnelles des individus. L'IA Act encadre les systèmes d'IA en tant que tels, indépendamment du type de données traitées. Les deux textes sont complémentaires et s'appliquent souvent conjointement dans les projets d'IA impliquant des données personnelles.

‍

Qu'est-ce qu'un système d'IA à haut risque ?

Un système d'IA à haut risque est un système utilisé dans des domaines où une erreur de décision peut avoir des conséquences sérieuses sur les droits ou la sécurité des personnes. Les domaines concernés sont listés à l'Annexe III du règlement : recrutement, crédit, santé, éducation, justice, biométrie, infrastructure critique. Ces systèmes sont soumis aux obligations les plus strictes du règlement.

‍

Quelles sont les sanctions de l'IA Act ?

Les sanctions sont graduées selon la gravité de l'infraction. Elles vont de 7 500 000 € pour les informations trompeuses à 35 000 000 € ou 7 % du chiffre d'affaires mondial annuel pour les pratiques classées "inacceptables". Pour les violations des obligations générales, le plafond est de 15 000 000 € ou 3 % du CA mondial.

‍

Quel est le calendrier d'application en France ?

L'IA Act s'applique progressivement. Les interdictions pour les pratiques "inacceptables" sont en vigueur depuis le 2 février 2025. Les obligations pour les modèles GPAI s'appliquent depuis le 2 août 2025. Les obligations de transparence s'appliquent pleinement au 2 août 2026. Les obligations pour les systèmes à haut risque de l'Annexe III sont repoussées au 2 décembre 2027 selon l'accord provisoire Digital Omnibus du 7 mai 2026. La CNIL est l'une des autorités nationales compétentes en France pour les systèmes impliquant des données personnelles.

‍

Comment une entreprise se met-elle en conformité avec l'IA Act ?

La mise en conformité commence par un inventaire des systèmes d'IA utilisés ou fournis, suivi d'une classification de chacun selon les niveaux de risque du règlement. Pour les systèmes à haut risque, il faut produire la documentation technique, mettre en place la supervision humaine, établir les logs requis et, si applicable, s'enregistrer dans la base de données EU. Les organisations déjà certifiées ISO 27001 disposent d'un socle documentaire réutilisable. Pour les autres, un audit de conformité IA mené par un partenaire expert constitue le point de départ le plus structurant.