La conformité à l’AI Act (règlement UE 2024/1689) repose sur une logique simple : les obligations s’appliquent à chaque système d’IA, pas à l’entreprise dans son ensemble, et elles dépendent de deux facteurs — votre rôle (fournisseur ou déployeur) et le niveau de risque du système (inacceptable, haut, limité, minimal).
Pour vous mettre en conformité, suivez 6 étapes : (1) cartographier vos usages d’IA, (2) qualifier votre rôle, (3) classer chaque système par niveau de risque, (4) former vos équipes (obligation déjà en vigueur depuis février 2025), (5) documenter et encadrer techniquement, (6) maintenir la conformité dans le temps. Toute entreprise utilisant l’IA est concernée, quelle que soit sa taille.
L’AI Act est entré en vigueur le 1er août 2024 et déploie ses obligations par paliers jusqu’en 2027-2028. Pour beaucoup de dirigeants, le sujet reste abstrait : « suis-je vraiment concerné ? par où je commence ? combien ça coûte ? ». Ce guide répond précisément à ces questions, avec une feuille de route concrète, le calendrier réellement applicable après les derniers reports, et un exemple chiffré. Objectif : vous permettre de passer de l’inquiétude diffuse à un plan d’action clair.
Mon entreprise est-elle concernée par l’AI Act ?
Très probablement oui. Le règlement s’applique à toute organisation qui développe, utilise, importe ou distribue un système d’IA dont les effets se produisent dans l’Union européenne — sans seuil de taille. Dès que vos équipes utilisent ChatGPT, Copilot, un CRM prédictif, un outil de tri de CV ou un chatbot, vous entrez dans le champ du règlement.
Le point le plus mal compris : la conformité ne se raisonne pas « au niveau de l’entreprise » mais système par système. Une même société peut avoir un outil à risque minimal (un correcteur orthographique IA), un autre à risque limité (un chatbot) et un troisième à haut risque (un logiciel de scoring de candidats). Chacun appelle un niveau d’obligation différent. C’est pourquoi la toute première action utile n’est pas de « se mettre en conformité » en bloc, mais de recenser et qualifier chaque usage.
La portée du règlement est également extraterritoriale, à l’image du RGPD : une entreprise établie hors de l’Union est concernée dès lors que les résultats produits par son système d’IA sont utilisés dans l’UE. Une société américaine vendant un logiciel de recrutement par IA à des entreprises françaises est donc soumise à l’AI Act.
Étapes 1 & 2 — Cartographier vos usages et qualifier votre rôle
Avant toute chose, il faut savoir ce que l’on possède. La première étape est une cartographie exhaustive de vos systèmes d’IA : les outils déclarés, les fonctions IA cachées dans vos logiciels métiers (votre CRM, votre ATS, votre outil de support intègrent souvent de l’IA sans que ce soit affiché), et la « Shadow AI » — ces outils que vos équipes utilisent de leur propre initiative, sans gouvernance. Cet inventaire révèle presque toujours des usages insoupçonnés : dans la pratique, une organisation découvre régulièrement deux à trois fois plus de systèmes d’IA qu’elle ne pensait en avoir.
Pour chaque système identifié, vous devez ensuite déterminer votre rôle, car c’est lui qui commande vos obligations. Le règlement distingue principalement quatre qualifications.
Les quatre rôles définis par le règlement
- Fournisseur (provider) — vous développez un système d’IA (ou le faites développer) et le mettez sur le marché sous votre propre nom ou marque. Ce sont les obligations les plus lourdes.
- Déployeur (deployer) — vous utilisez un système d’IA sous votre autorité dans un cadre professionnel, sans l’avoir développé. C’est le rôle de la grande majorité des entreprises.
- Importateur — vous mettez sur le marché de l’Union un système d’IA portant le nom d’une entité établie hors UE.
- Distributeur — vous participez à la chaîne d’approvisionnement et mettez un système à disposition sur le marché, sans être ni fournisseur ni importateur.
Attention à un piège majeur : la qualification n’est pas figée. Un déployeur peut devenir fournisseur dans plusieurs situations — notamment s’il appose sa marque sur un système à haut risque, s’il le modifie substantiellement, ou s’il en change la destination vers un usage à haut risque. Concrètement, une entreprise qui intègre l’API d’un modèle tiers (OpenAI, Anthropic, Mistral) dans son propre produit et le commercialise peut basculer dans le statut de fournisseur, avec des obligations bien plus exigeantes. Si vous êtes éditeur de logiciel, ce point est central : nous le détaillons sur notre page dédiée aux éditeurs SaaS et startups IA.
Fournisseur ou déployeur : qui fait quoi ?
La distinction étant déterminante, voici un comparatif synthétique des principales obligations selon le rôle, pour un système à haut risque.
| Obligation | Fournisseur | Déployeur |
|---|---|---|
| Système de gestion des risques | Oui (le conçoit) | Non (mais en bénéficie) |
| Documentation technique (annexe IV) | Oui | Conserve celle reçue |
| Journalisation des événements (logs) | Conçoit la capacité | Conserve les journaux générés |
| Supervision humaine | Prévoit les mesures | Met en œuvre et l’assure réellement |
| Usage conforme à la notice | — | Oui |
| Information des personnes concernées | — | Oui |
| Analyse d’impact (selon les cas) | — | Oui pour certains déployeurs |
| Littératie IA des équipes (art. 4) | Oui | Oui |
La leçon : même en tant que simple utilisateur d’un outil acheté « sur étagère », vous conservez des obligations propres. L’argument « c’est l’outil de l’éditeur, c’est son problème » ne tient pas : la supervision humaine, la conservation des journaux et l’information des personnes vous incombent en tant que déployeur. Pour approfondir, voyez notre article Fournisseur ou déployeur : quel est votre rôle ?.
Étape 3 — Classer chaque système par niveau de risque
L’AI Act repose sur une approche par les risques : plus un système est susceptible de porter atteinte aux droits ou à la sécurité des personnes, plus les obligations sont strictes. Quatre niveaux structurent le règlement.
| Niveau | Exemples d’usages | Ce que ça implique |
|---|---|---|
| Inacceptable | Scoring social, manipulation subliminale, reconnaissance des émotions au travail | Interdit purement et simplement |
| Haut risque | Tri de CV, scoring crédit, tarification assurance, évaluation d’élèves, biométrie | Gestion des risques, documentation, journalisation, supervision humaine |
| Risque limité | Chatbots, contenus générés par IA, deepfakes | Obligations de transparence (informer, marquer les contenus) |
| Risque minimal | Filtres anti-spam, recommandation, IA de productivité | Aucune obligation spécifique… sauf la littératie IA |
Pour aller plus loin sur cette grille, consultez nos articles dédiés aux 4 niveaux de risque et aux systèmes à haut risque de l’annexe III.
Les 8 domaines à haut risque (annexe III)
L’annexe III du règlement liste les domaines dans lesquels un système d’IA est présumé à haut risque. Si votre activité touche à l’un d’eux, c’est le signal d’une vigilance maximale.
- Biométrie — identification et catégorisation biométriques (hors usages interdits).
- Infrastructures critiques — gestion de l’eau, du gaz, de l’électricité, du trafic.
- Éducation et formation professionnelle — sélection, évaluation des apprenants, surveillance d’examens. Voir le secteur formation →
- Emploi et gestion des travailleurs — tri de CV, scoring, décisions RH. Voir le secteur RH →
- Accès aux services essentiels — scoring crédit, tarification d’assurance, aides sociales. Voir le secteur finance →
- Répression (forces de l’ordre) — évaluation des risques, analyse de preuves.
- Migration, asile et contrôle des frontières.
- Administration de la justice et processus démocratiques.
La santé occupe une place particulière : l’IA médicale relève souvent du haut risque par le jeu de la réglementation des dispositifs médicaux (MDR), qui s’articule avec l’AI Act. Voir le secteur santé →
Vous ne savez pas où vous en êtes ?
Le diagnostic OpenPath cartographie vos usages d’IA, identifie vos systèmes à risque et vous donne un plan d’action clair.
Les obligations concrètes d’un système à haut risque
C’est le cœur technique du règlement, et c’est là que la plupart des organisations sous-estiment l’effort. Un système classé à haut risque doit satisfaire un ensemble d’exigences cumulatives :
- Système de gestion des risques — un processus itératif, tenu à jour sur toute la durée de vie du système, pour identifier et réduire les risques pour la santé, la sécurité et les droits fondamentaux.
- Gouvernance des données — des jeux de données d’entraînement, de validation et de test pertinents, représentatifs et, dans la mesure du possible, exempts d’erreurs et de biais.
- Documentation technique — un dossier (proche de l’annexe IV) décrivant le système, sa logique, ses données, ses performances et ses mesures de maîtrise des risques.
- Journalisation (logs) — l’enregistrement automatique des événements pour assurer la traçabilité du fonctionnement et des décisions.
- Transparence et information — des instructions d’utilisation claires permettant au déployeur de comprendre et d’utiliser correctement le système.
- Supervision humaine — des mesures permettant à une personne d’intervenir, de superviser et, le cas échéant, de passer outre la décision du système.
- Exactitude, robustesse et cybersécurité — un niveau de performance approprié et une résilience face aux erreurs et aux tentatives de manipulation.
La nuance qui fait toute la différence : ces exigences ne sont pas que documentaires. La journalisation, la supervision humaine et la traçabilité doivent être réellement configurées dans vos outils — pas seulement décrites dans un classeur. C’est précisément l’écart entre un accompagnement qui remet un rapport et un accompagnement qui implémente techniquement la conformité.
Le calendrier de l’AI Act, à jour après l’Omnibus
C’est le point qui prête le plus à confusion, car le calendrier a été modifié récemment. Voici l’état réel des échéances en 2026.
| Date | Ce qui s’applique | Statut |
|---|---|---|
| 2 février 2025 | Pratiques interdites (art. 5) + obligation de littératie IA (art. 4) | ✅ En vigueur |
| 2 août 2025 | Obligations des modèles à usage général (GPAI) + gouvernance | ✅ En vigueur |
| 2 nov. 2026 (proposé) | Transparence / marquage des contenus générés (watermarking) | ⏳ En cours d’adoption |
| 2 déc. 2027 (proposé) | Systèmes à haut risque de l’annexe III (RH, crédit, santé, éducation…) | ⏳ Reporté par l’Omnibus |
| 2 août 2028 (proposé) | IA intégrée à des produits réglementés (annexe I) | ⏳ En cours d’adoption |
La raison de ce report est d’ailleurs instructive : les normes harmonisées (élaborées par le CEN-CENELEC) qui doivent guider la mise en conformité des systèmes à haut risque ne seront pas prêtes à temps. Autrement dit, le délai supplémentaire sert à aligner le calendrier sur la disponibilité des outils de soutien — pas à alléger les obligations de fond. La bonne lecture stratégique : utiliser cette fenêtre pour structurer sa conformité sereinement. Pour le détail des dates et leurs évolutions, suivez notre calendrier complet de l’AI Act, tenu à jour.
La feuille de route en 6 étapes
Voici la démarche concrète pour passer de « je ne sais pas si je suis concerné » à « je suis en conformité, et je peux le prouver ».
Cartographier tous vos usages d’IA
Recensez chaque système, y compris la Shadow AI et les fonctions IA intégrées à vos outils. Sans inventaire, pas de conformité possible.
Qualifier votre rôle pour chaque système
Fournisseur ou déployeur ? La réponse détermine vos obligations — et peut changer selon les systèmes.
Classer chaque système par niveau de risque
Appliquez la grille (inacceptable, haut, limité, minimal) et priorisez : les pratiques interdites en premier, puis le haut risque.
Former vos équipes (déjà obligatoire)
L’obligation de littératie IA est en vigueur. C’est souvent la première brique à poser — et la plus rapide à mettre en œuvre.
Documenter et encadrer techniquement
Registre des systèmes, politique d’usage, dossiers techniques — et surtout l’implémentation réelle : journalisation, supervision humaine, traçabilité.
Maintenir la conformité dans le temps
Le cadre évolue, vos outils aussi. Veille réglementaire, audits périodiques et documentation à jour transforment la conformité en processus continu.
Bonne nouvelle : ces étapes ne dépendent pas des normes harmonisées encore en cours d’élaboration. La gouvernance, la cartographie, la formation et la documentation peuvent être engagées dès aujourd’hui, en s’appuyant sur des référentiels existants comme l’ISO/IEC 42001. Découvrez le détail de notre méthode ou l’ensemble de notre prestation de bout en bout.
Exemple concret : une PME de 40 salariés
Prenons une entreprise de services de 40 personnes, sans IA « maison », persuadée au départ de ne pas être concernée. La cartographie révèle en réalité quatre usages d’IA :
- un logiciel de tri de candidatures dans le processus de recrutement → Haut risque ;
- un chatbot sur le site web → Risque limité (transparence) ;
- l’usage quotidien de ChatGPT et Copilot par les équipes → Risque minimal, mais littératie obligatoire ;
- une fonction de scoring intégrée au CRM, jusque-là ignorée → à qualifier.
Le plan d’action qui en découle : encadrer en priorité l’outil de recrutement (supervision humaine sur les rejets, journalisation des décisions, information des candidats) ; ajouter une mention de transparence au chatbot ; former les équipes et publier une charte d’usage de l’IA ; et trancher le statut de la fonction CRM. En quelques semaines, cette PME passe d’une exposition non maîtrisée à une situation documentée et défendable — sans avoir à bouleverser son activité. C’est exactement le type de parcours que suit un accompagnement structuré.
AI Act et RGPD : comment ils s’articulent
C’est la question que se pose tout DPO. AI Act et RGPD ne se contredisent pas : ils se superposent. Le RGPD encadre le traitement des données personnelles ; l’AI Act encadre les systèmes d’IA, qu’ils traitent ou non des données personnelles. Un système d’IA à haut risque qui traite des données personnelles relève donc des deux régimes simultanément.
En pratique, les deux cadres partagent une même logique — celle de la preuve par la documentation — et plusieurs obligations se recoupent : cartographie (registre des traitements RGPD ↔ registre des systèmes d’IA), analyse d’impact (AIPD ↔ analyse d’impact sur les droits fondamentaux), information des personnes, et gouvernance des données. Bien menée, une mise en conformité AI Act capitalise sur votre dispositif RGPD existant plutôt que de créer un chantier parallèle. C’est l’un des leviers d’efficacité les plus importants — et l’une des raisons pour lesquelles le volet juridique gagne à être traité en coordination avec un cabinet d’avocats partenaire.
Les 7 erreurs les plus fréquentes
- « On est trop petits pour être concernés. » Faux : la taille allège les procédures, elle n’exonère pas.
- Oublier la Shadow AI. Les outils utilisés par les équipes sans validation sont le premier angle mort d’un audit.
- Croire que le report d’août 2026 est un répit. Les pratiques interdites et la littératie IA sont déjà applicables.
- Se reposer entièrement sur l’éditeur du logiciel. En tant que déployeur, vous gardez des obligations propres.
- Confondre documentation et conformité. Un beau classeur sans journalisation ni supervision réelle ne résiste pas à un contrôle.
- Traiter l’AI Act en silo du RGPD. Les deux se mutualisent ; les séparer double inutilement le travail.
- Attendre les normes harmonisées pour commencer. La gouvernance, la cartographie et la formation se mettent en place dès maintenant.
Que risque-t-on en cas de non-conformité ?
Les sanctions de l’AI Act sont calibrées sur le modèle du RGPD, et elles sont dissuasives :
- Jusqu’à 35 millions d’euros ou 7 % du chiffre d’affaires mondial pour le recours à une pratique interdite ;
- jusqu’à 15 millions d’euros ou 3 % du CA pour le non-respect des autres obligations ;
- des montants moindres pour la fourniture d’informations inexactes aux autorités.
Au-delà de l’amende, l’enjeu est commercial : vos clients grands comptes intègrent désormais la conformité AI Act dans leurs appels d’offres et leurs audits fournisseurs. Une conformité démontrable devient un argument de vente ; son absence, un frein. Pour le détail, voyez notre article sur les sanctions de l’AI Act.
Questions fréquentes
Une PME qui utilise seulement ChatGPT est-elle concernée par l’AI Act ?
Par quelle étape faut-il commencer ?
Les obligations haut risque sont-elles vraiment repoussées à 2027 ?
Quelle est la différence entre fournisseur et déployeur ?
Peut-on gérer la conformité AI Act en interne ?
Combien coûte une mise en conformité AI Act ?
L’AI Act remplace-t-il le RGPD ?
Mettez votre entreprise en conformité, sereinement
OpenPath vous accompagne de l’audit à la preuve : audit, documentation, implémentation technique, formation et suivi. Le diagnostic est gratuit.

