L’AI Act, premier cadre européen dédié à l’intelligence artificielle, impose à votre entreprise de classer chaque système d’IA selon son niveau de risque et de documenter sa conformité. Selon cette classification, vous devez respecter des obligations précises : transparence, contrôle humain, gestion des risques ou documentation technique. Les premières interdictions s’appliquent depuis février 2025 et les obligations pour les systèmes à haut risque arrivent en août 2026. Anticiper cette mise en conformité vous évite des sanctions pouvant atteindre 35 millions d’euros.
Ce que l’AI Act impose à votre entreprise
L’AI Act est le règlement européen qui encadre la conception et l’usage des systèmes d’intelligence artificielle sur le marché de l’Union. Il ne vise pas seulement les éditeurs de modèles : si vous déployez un outil d’IA dans vos processus, vous entrez dans son champ d’application. La logique du texte repose sur le risque, pas sur la technologie elle-même.
Concrètement, vous devez identifier chaque système d’IA que vous utilisez, déterminer son niveau de risque, puis appliquer les obligations correspondantes. Cette démarche suppose un inventaire documenté et tenu à jour, que les autorités ou vos partenaires peuvent vous demander de prouver.
Pour comprendre en détail le périmètre de la conformité AI Act et structurer votre approche, vous pouvez consulter une ressource et un logiciel dédié proposé par Wiitk en cliquant ici.
L’enjeu n’est pas uniquement juridique. Une IA mal encadrée peut produire des décisions biaisées, fragiliser la confiance de vos clients et exposer vos dirigeants. La conformité devient ainsi un levier de gouvernance autant qu’une contrainte réglementaire.
Identifiez le niveau de risque de vos systèmes d’IA
L’AI Act répartit les systèmes d’IA en quatre niveaux de risque, et chacun déclenche un régime d’obligations différent. Votre première tâche consiste donc à qualifier correctement chaque outil que vous exploitez. Une erreur de classement vous expose soit à des coûts inutiles, soit à un défaut de conformité.
Recourir à une pratique d'IA interdite vous expose à une amende pouvant atteindre 35 millions d'euros ou 7 % de votre chiffre d'affaires mondial annuel.
Les systèmes à haut risque et leurs obligations
Les systèmes à haut risque concernent des usages sensibles listés à l’annexe III du règlement : tri de CV et recrutement, scoring de crédit, biométrie, éducation ou accès aux services essentiels. Si l’un de vos outils entre dans ces catégories, vous portez les obligations les plus lourdes du texte. Le non-respect peut coûter jusqu’à 15 millions d’euros ou 3 % de votre chiffre d’affaires mondial.
Pour ces systèmes, vous devez mettre en place un dispositif de gestion des risques et une gouvernance des données solide. Vous devez aussi garantir un contrôle humain, produire une documentation technique, assurer la robustesse et la cybersécurité, apposer le marquage CE et enregistrer le système dans la base européenne. Ces exigences se rapprochent de celles que vous connaissez déjà pour la protection des données personnelles.
Les systèmes à risque limité ou minime
Les systèmes à risque limité, comme un chatbot ou un générateur de contenu, vous imposent surtout une obligation de transparence. Vous devez informer vos utilisateurs qu’ils interagissent avec une IA et signaler les contenus générés artificiellement. Le manquement reste sanctionnable, jusqu’à 7,5 millions d’euros ou 1 % du chiffre d’affaires.
Les systèmes à risque minime, tels qu’un filtre anti-spam ou un correcteur orthographique, ne déclenchent aucune obligation contraignante. Vous pouvez néanmoins adopter volontairement de bonnes pratiques pour anticiper les évolutions du cadre. Cette posture proactive renforce la confiance de vos parties prenantes.
Anticipez le calendrier qui s’applique à vous
L’AI Act s’applique par étapes, et certaines obligations vous concernent déjà. Vous avez donc intérêt à situer chacun de vos systèmes sur cette trajectoire pour planifier vos chantiers. Le tableau ci-dessous résume les échéances clés à intégrer dans votre feuille de route.
| Échéance | Ce qui s’applique |
|---|---|
| 2 février 2025 | Interdiction des pratiques d’IA inacceptables |
| 2 août 2025 | Obligations des modèles d’IA à usage général (GPAI) |
| 2 août 2026 | Systèmes à haut risque de l’annexe III et obligations de transparence |
| 2 août 2027 | Systèmes à haut risque intégrés aux produits réglementés (annexe I) |
Repérer dès maintenant où se situent vos outils vous laisse le temps de combler les écarts. Plus vous attendez, plus la mise en conformité d’un système à haut risque devient coûteuse et difficile à mener dans les délais.
Structurez votre mise en conformité étape par étape
La conformité AI Act ne se règle pas en une fois : elle s’organise comme une démarche continue et documentée. Vous gagnez à la traiter comme un projet transverse, associant vos équipes juridiques, techniques et métiers. Voici les étapes structurantes à suivre.
- Cartographiez l’ensemble de vos systèmes d’IA, en production comme en projet.
- Évaluez et classez chaque système selon son niveau de risque.
- Mettez en conformité vos systèmes à haut risque et documentez chaque décision.
- Formez vos équipes aux exigences d’AI literacy prévues par le règlement.
- Faites converger votre conformité IA avec votre conformité aux données personnelles.
Cette convergence avec le RGPD est centrale, car la plupart de vos systèmes d’IA traitent des données personnelles. Si vous avez déjà engagé une démarche de protection des données, vous disposez d’une base solide à étendre. Pour cadrer ce socle, vous pouvez vous appuyer sur les étapes de mise en conformité RGPD avant d’y greffer le volet IA.
Pour fiabiliser cette démarche, des plateformes spécialisées centralisent le registre de vos systèmes d’IA, automatisent la qualification du risque et tracent vos évaluations. Un outil comme Witik relie chaque système d’IA à votre registre des traitements et transforme vos obligations en plans d’action suivis. Vous documentez ainsi votre conformité de façon vérifiable face aux régulateurs, aux auditeurs et à votre DPO.
