En bref

Qu'est-ce que l'AI Act et que doit faire une organisation avant le 2 août 2026 ?

L'AI Act (règlement UE 2024/1689) est la première réglementation horizontale au monde sur l'intelligence artificielle. Il classe les systèmes d'IA en quatre niveaux de risque — inacceptable (interdit), élevé, limité et minimal — et impose des obligations croissantes selon ce niveau. Les pratiques interdites et l'obligation de littératie en IA s'appliquent depuis le 2 février 2025 ; les obligations pour les modèles à usage général depuis le 2 août 2025 ; les exigences pour les systèmes à haut risque (annexe III) et la transparence (article 50) deviennent applicables le 2 août 2026. Les sanctions atteignent 35 M€ ou 7 % du chiffre d'affaires mondial. Avant août 2026, une organisation doit : inventorier ses systèmes d'IA, déterminer leur classe de risque, documenter les systèmes à haut risque, désigner les responsabilités et former ses équipes.

Définition

AI Act (règlement UE 2024/1689) — Règlement européen sur l'intelligence artificielle, adopté en 2024, qui encadre la mise sur le marché et l'usage des systèmes d'IA dans l'Union selon une approche fondée sur le risque. Il s'applique aux fournisseurs comme aux déployeurs, y compris hors UE dès lors que les résultats du système sont utilisés dans l'Union.

2 fév. 2025
Pratiques interdites + littératie IA
2 août 2025
Modèles à usage général (GPAI)
2 août 2026
Systèmes à haut risque + transparence
35 M€ / 7 %
Sanction maximale (CA mondial)

Êtes-vous concerné ?

Si votre organisation conçoit, intègre ou utilise un système d'IA dont les résultats sont exploités dans l'Union européenne, vous êtes dans le champ du règlement — qu'il s'agisse d'un modèle développé en interne, d'un copilote acheté sur étagère ou d'une fonctionnalité IA enfouie dans un logiciel métier. Le statut de « déployeur » suffit à déclencher des obligations. La première étape est toujours un inventaire : on ne peut pas se conformer à ce qu'on n'a pas recensé.

Les quatre niveaux de risque

  • Risque inacceptable — pratiques interdites (notation sociale, manipulation, identification biométrique de masse). Interdiction effective depuis février 2025.
  • Risque élevé — IA dans le recrutement, le crédit, l'éducation, les infrastructures critiques, la justice (annexe III). Documentation, gestion des risques, supervision humaine et enregistrement obligatoires.
  • Risque limité — chatbots, contenus générés, deepfakes. Obligation de transparence : l'utilisateur doit savoir qu'il interagit avec une IA (article 50).
  • Risque minimal — la grande majorité des usages (filtres anti-spam, recommandations). Aucune obligation contraignante, bonnes pratiques encouragées.

Notre approche

Nous partons de votre contexte et de bonnes pratiques d'ingénierie pour rendre l'AI Act concret, plutôt qu'un rapport qui dort. Chaque système est situé, les obligations sont clarifiées avec un responsable et une échéance, et la documentation à prévoir est identifiée. Pour le volet strictement juridique, nous travaillons avec un spécialiste. Nous traitons l'AI Act conjointement avec le RGPD : les deux régimes se recoupent largement.

Ce que vous obtenez

  • Aide à l'inventaire des systèmes d'IA (développés, intégrés, achetés)
  • Aide à la classification par niveau de risque
  • Points de vigilance et documentation à prévoir (annexe IV)
  • Recommandations de supervision humaine et de gestion des risques
  • Clarification des rôles fournisseur / déployeur
  • Sensibilisation des équipes (littératie IA)
  • Feuille de route de préparation vers l'échéance du 2 août 2026
FAQ

Questions courantes

Réponses aux questions les plus fréquentes — délais, secteurs, conformité, hébergement, méthodologie.

À partir de quand l'AI Act est-il contraignant ?

Par paliers. Les pratiques interdites et l'obligation de littératie en IA s'appliquent depuis le 2 février 2025. Les obligations pour les modèles à usage général depuis le 2 août 2025. Les exigences pour les systèmes à haut risque et la transparence deviennent applicables le 2 août 2026. Des délais étendus existent jusqu'en 2027–2030 pour certains systèmes intégrés à des produits réglementés.

Mon entreprise n'« édite » pas d'IA, juste un copilote acheté. Suis-je concerné ?

Oui. Le règlement vise aussi les « déployeurs » — les organisations qui utilisent un système d'IA. Vos obligations sont plus légères que celles d'un fournisseur, mais elles existent : information des personnes, supervision humaine, respect des conditions d'usage, et littératie IA pour vos équipes.

Combien de temps prend une mise en conformité ?

L'inventaire et la classification se font en 2 à 4 semaines. La documentation et la remédiation d'un système à haut risque prennent 6 à 12 semaines selon la complexité. Nous priorisons par risque réglementaire et par exposition pour que les chantiers critiques soient traités avant l'échéance.

Traitez-vous l'AI Act et le RGPD ensemble ?

Oui, systématiquement. Les deux régimes partagent l'essentiel de leur documentation (analyses d'impact, registres, bases légales). Les traiter conjointement évite de produire deux fois les mêmes livrables et garantit la cohérence entre conformité IA et protection des données.

Prêt à valoriser
vos données ?

Échangeons sur vos enjeux de transformation. Un premier échange, sans engagement, pour cadrer votre besoin et voir comment avancer.