AI Act : c’est quoi ?

ai act c'est quoi

En bref

L’AI Act (règlement UE 2024/1689) est la première loi au monde encadrant l’intelligence artificielle. Adopté par l’Union européenne et entré en vigueur le 1er août 2024, il fixe des règles pour le développement, la mise sur le marché et l’utilisation des systèmes d’IA en Europe.

Son principe : une approche par les risques. Plus un usage de l’IA menace la sécurité ou les droits des personnes, plus les règles sont strictes — jusqu’à l’interdiction. Quatre niveaux existent : risque inacceptable (interdit), haut risque (obligations lourdes), risque limité (transparence) et risque minimal (libre). Il s’applique à toute organisation qui développe ou utilise de l’IA dont les effets touchent l’UE, sans condition de taille, avec des sanctions allant jusqu’à 35 millions d’euros ou 7 % du chiffre d’affaires mondial.

On en entend parler partout depuis l’explosion de ChatGPT, mais le sujet reste flou pour beaucoup : l’AI Act, de quoi s’agit-il réellement, et qu’est-ce que ça change pour une entreprise ? Ce guide explique le règlement européen sur l’intelligence artificielle de façon claire et complète : sa définition, sa logique, son champ d’application, son calendrier et ce qu’il implique concrètement pour vous.

L’AI Act, c’est quoi exactement ?

L’AI Act — officiellement le règlement (UE) 2024/1689, aussi appelé « Règlement sur l’intelligence artificielle » ou RIA — est le premier cadre juridique complet au monde dédié à l’intelligence artificielle. Adopté par le Parlement européen le 13 mars 2024 et entré en vigueur le 1er août 2024, il encadre le développement, la mise sur le marché et l’utilisation des systèmes d’IA dans l’Union européenne.

Un point essentiel pour bien le comprendre : c’est une réglementation « produit », pas une réglementation de la technologie. Autrement dit, l’AI Act ne régule pas l’intelligence artificielle « en soi », mais les usages qui en sont faits et les produits qui l’intègrent, selon le risque qu’ils représentent. Ce choix est volontaire : réguler la technologie elle-même rendrait le texte obsolète à chaque innovation, alors que réguler les usages le garde pertinent dans le temps.

Son ambition tient en une phrase : permettre à l’IA de se développer en Europe sans compromettre la sécurité, les droits fondamentaux et la confiance. Le règlement est dit « horizontal » : il s’applique à tous les secteurs, publics comme privés.

Qu’est-ce qu’un « système d’IA » au sens de la loi ?

C’est la question que presque personne ne traite clairement — alors qu’elle conditionne tout. Si votre outil n’est pas un « système d’IA » au sens du règlement, vous n’êtes pas concerné. L’article 3 du règlement en donne une définition large : un système d’IA est un système automatisé conçu pour fonctionner avec des niveaux d’autonomie variables, qui peut faire preuve d’une capacité d’adaptation, et qui, à partir des entrées qu’il reçoit, déduit la manière de générer des résultats (prédictions, contenus, recommandations, décisions) pouvant influencer des environnements physiques ou virtuels.

En clair, le critère central est l’inférence : le système ne se contente pas d’appliquer des règles écrites à la main par un humain, il « déduit » ses résultats à partir de données. Cela englobe l’apprentissage automatique (machine learning), les réseaux de neurones, mais aussi certaines approches logiques et statistiques. Un simple tableur avec des formules, ou un logiciel qui applique mécaniquement des règles fixes, n’est en principe pas concerné.

L’erreur classique. Beaucoup d’entreprises pensent « ne pas faire d’IA » parce qu’elles ne développent pas de modèles. Mais utiliser un outil qui en contient (un CRM avec scoring prédictif, un ATS qui trie des CV, un chatbot) suffit à entrer dans le champ du règlement. La question n’est pas « est-ce que je crée de l’IA ? » mais « est-ce que j’en utilise ? ».

Pourquoi l’Europe a-t-elle créé l’AI Act ?

L’IA est devenue capable du meilleur (diagnostic médical, productivité, accessibilité) comme du plus préoccupant (discriminations algorithmiques, surveillance de masse, manipulation de l’opinion, deepfakes). Face à cette double réalité, l’Union européenne a voulu un cadre qui protège les citoyens tout en sécurisant l’innovation. Trois objectifs structurent le texte :

  • Protéger la santé, la sécurité et les droits fondamentaux des personnes face aux risques de l’IA ;
  • Instaurer la confiance, condition de l’adoption de l’IA par la société et les entreprises ;
  • Créer un cadre juridique clair et harmonisé dans toute l’UE, pour que les entreprises innovent avec des règles prévisibles plutôt que 27 réglementations nationales différentes.

La proposition initiale date de 2021. L’arrivée de ChatGPT fin 2022, puis des IA génératives d’images et de sons, a accéléré et complexifié les débats — au point d’ajouter au texte un volet spécifique sur les modèles à usage général (voir plus bas).

À qui s’applique l’AI Act ?

À beaucoup plus de monde qu’on ne le croit. Le règlement concerne toute organisation — entreprise, association, administration — qui fournit, utilise, importe ou distribue un système d’IA, dès lors que ses effets se produisent dans l’Union européenne. Il distingue principalement deux rôles :

  • le fournisseur (provider), qui développe un système d’IA ou le commercialise sous son nom ;
  • le déployeur (deployer), qui utilise un système d’IA dans un cadre professionnel — c’est le cas de la grande majorité des entreprises.

S’y ajoutent les importateurs et distributeurs. Le rôle est déterminant, car il commande les obligations : nous l’expliquons en détail dans notre article Fournisseur ou déployeur : quel est votre rôle ?

Deux précisions importantes. D’abord, la portée est extraterritoriale : une entreprise hors UE est concernée si les résultats de son IA sont utilisés dans l’Union — comme un éditeur américain vendant un logiciel d’IA à des clients européens. Ensuite, certaines activités sont exclues : l’IA développée à des fins exclusivement militaires, et la recherche et le prototypage avant mise sur le marché.

Les 4 niveaux de risque de l’AI Act

C’est le cœur du règlement. Plutôt que d’imposer les mêmes règles à tous, l’AI Act gradue les obligations selon le risque de chaque usage. Quatre niveaux, du plus dangereux au plus anodin.

Inacceptable Haut risque Risque limité Risque minimal Interdit Obligations lourdes Transparence Libre + littératie IA
L’approche par les risques de l’AI Act, du sommet (interdit) à la base (libre).

Risque inacceptable — interdit

Certains usages sont jugés contraires aux valeurs européennes et purement et simplement interdits depuis février 2025 : la notation sociale (social scoring), la manipulation subliminale ou exploitant les vulnérabilités des personnes, la reconnaissance des émotions sur le lieu de travail et dans l’éducation, ou encore certaines formes d’identification biométrique de masse.

Haut risque — obligations lourdes

Ce sont les systèmes utilisés dans des domaines sensibles listés à l’annexe III : recrutement, scoring de crédit, éducation, santé, biométrie, infrastructures critiques, justice… Ils restent autorisés mais soumis à des exigences strictes : gestion des risques, documentation, journalisation, supervision humaine. C’est le niveau qui demande le plus de travail. Pour le détail, voyez notre article sur les systèmes à haut risque (annexe III).

Risque limité — transparence

Les systèmes comme les chatbots ou les générateurs de contenu doivent respecter des obligations de transparence : informer l’utilisateur qu’il interagit avec une IA, et marquer les contenus générés artificiellement (notamment les deepfakes).

Risque minimal — libre

La grande majorité des usages (filtres anti-spam, recommandation, IA de productivité) ne sont soumis à aucune obligation spécifique… à une exception près, qui concerne tout le monde : la littératie IA.

L’obligation transversale : la littératie IA (article 4). Quel que soit le niveau de risque, dès qu’une organisation utilise l’IA, elle doit garantir un niveau suffisant de compétence de ses équipes. C’est déjà obligatoire depuis février 2025. Découvrez notre formation à la littératie IA.

Pas sûr de savoir où se situe votre entreprise ?

Le diagnostic OpenPath identifie vos usages d’IA, leur niveau de risque et vos obligations réelles.

Les modèles à usage général (ChatGPT, Claude, Gemini…)

L’essor de l’IA générative a conduit l’Europe à ajouter un volet spécifique aux modèles d’IA à usage général (GPAI, pour General Purpose AI). Ce sont les grands modèles entraînés sur d’immenses volumes de données, capables d’exécuter une large variété de tâches : GPT, Claude, Gemini, Llama, Mistral en sont les exemples emblématiques.

Depuis le 2 août 2025, leurs fournisseurs sont soumis à des obligations propres : publier une documentation technique sur le modèle, respecter le droit d’auteur, fournir un résumé des données d’entraînement, et transmettre aux entreprises qui intègrent le modèle les informations nécessaires à un usage conforme. Les modèles les plus puissants, considérés comme présentant un « risque systémique », ont des obligations renforcées (évaluation, tests, cybersécurité).

Ce qu’il faut retenir si vous êtes une entreprise utilisatrice : ces obligations pèsent d’abord sur les fournisseurs du modèle, pas sur vous. Mais vous restez responsable de l’usage que vous en faites — et si vous intégrez un tel modèle dans votre propre produit pour le commercialiser, vous pouvez devenir fournisseur à votre tour. C’est un point clé pour les éditeurs SaaS et startups.

Depuis quand l’AI Act s’applique-t-il ?

Le règlement ne s’applique pas d’un coup : il se déploie par étapes. Voici les échéances clés, en tenant compte des derniers ajustements (accord « Digital Omnibus » du 7 mai 2026).

Date Ce qui s’applique Statut
2 février 2025 Pratiques interdites + obligation de littératie IA ✅ En vigueur
2 août 2025 Obligations des modèles à usage général (GPAI) ✅ En vigueur
2 nov. 2026 (proposé) Transparence et marquage des contenus générés ⏳ En cours d’adoption
2 déc. 2027 (proposé) Systèmes à haut risque de l’annexe III ⏳ Reporté par l’Omnibus
2 août 2028 (proposé) IA intégrée à des produits réglementés (annexe I) ⏳ En cours d’adoption
Attention. Le report des obligations haut risque à fin 2027 (accord du 7 mai 2026) n’est pas encore définitivement adopté : tant qu’il n’est pas publié au Journal officiel, les dates d’origine font foi. Et il ne concerne ni les pratiques interdites, ni la littératie IA, ni les obligations GPAI, déjà applicables.

Pour le suivi détaillé et actualisé, consultez notre calendrier complet de l’AI Act.

Quelles sanctions en cas de non-respect ?

Comme le RGPD, l’AI Act prévoit des sanctions dissuasives, calculées en pourcentage du chiffre d’affaires mondial :

  • jusqu’à 35 millions d’euros ou 7 % du CA mondial pour l’usage d’une pratique interdite ;
  • jusqu’à 15 millions d’euros ou 3 % pour le non-respect des autres obligations ;
  • des montants moindres pour la fourniture d’informations inexactes aux autorités.

Au-delà de l’amende, le risque le plus immédiat est commercial et réputationnel : vos clients et partenaires intègrent déjà la conformité IA dans leurs exigences. En savoir plus sur les sanctions de l’AI Act.

Quelle différence avec le RGPD ?

La confusion est fréquente. RGPD et AI Act sont deux règlements distincts mais complémentaires :

RGPD AI Act
Objet Les données personnelles Les systèmes d’IA
Déclencheur Traitement de données personnelles Usage d’un système d’IA (avec ou sans données personnelles)
Logique Protection de la vie privée Approche par les risques
En vigueur Depuis 2018 Depuis 2024 (par paliers)

Un système d’IA qui traite des données personnelles relève des deux régimes en même temps. La bonne nouvelle : ils partagent une logique de preuve par la documentation, et une mise en conformité AI Act bien menée s’appuie sur votre dispositif RGPD existant plutôt que de le dupliquer.

Concrètement, que doit faire mon entreprise ?

Comprendre l’AI Act, c’est bien ; savoir par où commencer, c’est mieux. La démarche tient en quelques étapes :

1

Cartographier vos usages d’IA

Recensez tous vos systèmes, y compris la Shadow AI et les fonctions IA cachées dans vos outils.

2

Qualifier votre rôle et classer le risque

Êtes-vous fournisseur ou déployeur ? Chaque système est-il à risque minimal, limité ou haut ?

3

Former vos équipes

La littératie IA est déjà obligatoire : c’est la première brique, et la plus rapide.

4

Documenter, encadrer, maintenir

Registre, politique d’usage, transparence, supervision humaine — puis une veille continue.

Cette feuille de route est détaillée dans notre guide Conformité AI Act : par où commencer. Et si vous préférez être accompagné de bout en bout, découvrez notre prestation complète ou demandez un diagnostic.

Questions fréquentes

L’AI Act, c’est quoi en une phrase ?
C’est le règlement européen (UE 2024/1689) qui encadre le développement et l’utilisation de l’intelligence artificielle dans l’Union, selon une approche par les risques : plus un usage est dangereux pour les personnes, plus les règles sont strictes, jusqu’à l’interdiction.
Quand l’AI Act est-il entré en vigueur ?
Le 1ᵉʳ août 2024, avec une application progressive : pratiques interdites et littératie IA depuis février 2025, modèles à usage général depuis août 2025, obligations haut risque attendues en 2027 (après le report de l’accord Omnibus).
Mon entreprise est-elle concernée par l’AI Act ?
Très probablement, dès lors qu’elle utilise un système d’IA (ChatGPT, un CRM prédictif, un chatbot, un outil de tri de CV…), sans condition de taille. La plupart des entreprises sont « déployeurs » et ont au minimum l’obligation de littératie IA.
Quelle est la différence entre l’AI Act et le RGPD ?
Le RGPD encadre les données personnelles ; l’AI Act encadre les systèmes d’IA, qu’ils traitent ou non des données personnelles. Ils sont complémentaires et s’appliquent souvent en même temps.
ChatGPT est-il concerné par l’AI Act ?
Oui, en tant que modèle à usage général (GPAI) : depuis août 2025, son fournisseur a des obligations de transparence et de documentation. Une entreprise qui l’utilise est, elle, soumise notamment à l’obligation de littératie IA et aux règles de transparence.
Quelles sont les sanctions prévues par l’AI Act ?
Jusqu’à 35 millions d’euros ou 7 % du chiffre d’affaires mondial pour une pratique interdite, et jusqu’à 15 millions d’euros ou 3 % pour les autres manquements.

Vous voulez savoir ce que l’AI Act change pour vous ?

OpenPath vous accompagne de l’audit à la mise en conformité : cartographie, documentation, implémentation technique, formation et suivi. Diagnostic gratuit.

OP

OpenPath accompagne les entreprises dans leur mise en conformité avec l’AI Act, de l’audit à l’implémentation technique, en passant par la formation et le suivi. Le volet juridique est assuré par un cabinet d’avocats partenaire.


Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Retour en haut