Le règlement européen sur l'intelligence artificielle (AI Act, règlement UE 2024/1689) s'applique progressivement depuis février 2024. En 2026, les obligations sur les systèmes à haut risque et les modèles d'IA à usage général (GPAI) sont actives. Voici ce qui vous concerne aujourd'hui.
Calendrier d'application
Février 2025 : interdiction des pratiques à risque inacceptable et obligations de littératie IA. Août 2025 : obligations GPAI et gouvernance. Août 2026 : obligations sur les systèmes à haut risque. Août 2027 : application complète aux IA embarquées dans des produits réglementés.
Quatre niveaux de risque
Inacceptable (interdit) : notation sociale, manipulation cognitive, reconnaissance biométrique à distance non encadrée. Élevé (obligations strictes) : RH (sélection, évaluation), crédit, accès aux services essentiels, justice, biométrie, dispositifs médicaux. Limité (transparence) : chatbots, deepfakes, systèmes interagissant avec des personnes. Minimal (libre) : la plupart des autres usages PME.
Obligations pour systèmes à haut risque
Système de gestion de la qualité, gestion des risques, données représentatives et de qualité, journalisation, documentation technique, transparence aux utilisateurs, supervision humaine effective, robustesse et cybersécurité, évaluation de conformité préalable, marquage CE.
Obligations transparence pour tous
Information des utilisateurs lors d'interactions avec une IA, marquage des contenus générés ou modifiés par IA (deepfakes), registre des traitements automatisés, évaluation d'impact pour les systèmes à risque, recommandations CNIL.
Sanctions
Jusqu'à 35 M€ ou 7 % du CA mondial pour les violations majeures (pratiques interdites). Jusqu'à 15 M€ ou 3 % pour les autres violations. Régime parmi les plus sévères du droit européen.
Articulation avec le RGPD
L'AI Act ne remplace pas le RGPD ; il s'y ajoute. Tout système IA traitant des données personnelles cumule les deux régimes. Une analyse d'impact AIPD reste obligatoire en cas de traitement à risque élevé. Voir aussi les recommandations CNIL sur l'IA.
GPAI : modèles à usage général
Obligations de documentation technique, transparence sur les données d'entraînement, respect du droit d'auteur. Pour les modèles à risque systémique (calcul > 10^25 FLOPS) : évaluation, gestion des risques systémiques, signalement des incidents graves.
Questions fréquentes
Mon chatbot est-il concerné ?
Oui pour l'obligation de transparence (informer que l'utilisateur interagit avec une IA).
Le règlement vise-t-il les éditeurs ou les utilisateurs ?
Les deux : fournisseur (provider) et déployeur (deployer) ont des obligations distinctes mais cumulatives.
Faut-il un référent IA ?
Non obligatoire pour les PME, mais recommandé pour gouverner la conformité et la veille.
Voir aussi notre article contrats SaaS B2B et notre article RGPD PME.