L’AI Act (règlement UE 2024/1689) est la première loi au monde encadrant l’intelligence artificielle. Adopté par l’Union européenne et entré en vigueur le 1er août 2024, il fixe des règles pour le développement, la mise sur le marché et l’utilisation des systèmes d’IA en Europe.
Son principe : une approche par les risques. Plus un usage de l’IA menace la sécurité ou les droits des personnes, plus les règles sont strictes — jusqu’à l’interdiction. Quatre niveaux existent : risque inacceptable (interdit), haut risque (obligations lourdes), risque limité (transparence) et risque minimal (libre). Il s’applique à toute organisation qui développe ou utilise de l’IA dont les effets touchent l’UE, sans condition de taille, avec des sanctions allant jusqu’à 35 millions d’euros ou 7 % du chiffre d’affaires mondial.
On en entend parler partout depuis l’explosion de ChatGPT, mais le sujet reste flou pour beaucoup : l’AI Act, de quoi s’agit-il réellement, et qu’est-ce que ça change pour une entreprise ? Ce guide explique le règlement européen sur l’intelligence artificielle de façon claire et complète : sa définition, sa logique, son champ d’application, son calendrier et ce qu’il implique concrètement pour vous.
L’AI Act, c’est quoi exactement ?
L’AI Act — officiellement le règlement (UE) 2024/1689, aussi appelé « Règlement sur l’intelligence artificielle » ou RIA — est le premier cadre juridique complet au monde dédié à l’intelligence artificielle. Adopté par le Parlement européen le 13 mars 2024 et entré en vigueur le 1er août 2024, il encadre le développement, la mise sur le marché et l’utilisation des systèmes d’IA dans l’Union européenne.
Un point essentiel pour bien le comprendre : c’est une réglementation « produit », pas une réglementation de la technologie. Autrement dit, l’AI Act ne régule pas l’intelligence artificielle « en soi », mais les usages qui en sont faits et les produits qui l’intègrent, selon le risque qu’ils représentent. Ce choix est volontaire : réguler la technologie elle-même rendrait le texte obsolète à chaque innovation, alors que réguler les usages le garde pertinent dans le temps.
Son ambition tient en une phrase : permettre à l’IA de se développer en Europe sans compromettre la sécurité, les droits fondamentaux et la confiance. Le règlement est dit « horizontal » : il s’applique à tous les secteurs, publics comme privés.
Qu’est-ce qu’un « système d’IA » au sens de la loi ?
C’est la question que presque personne ne traite clairement — alors qu’elle conditionne tout. Si votre outil n’est pas un « système d’IA » au sens du règlement, vous n’êtes pas concerné. L’article 3 du règlement en donne une définition large : un système d’IA est un système automatisé conçu pour fonctionner avec des niveaux d’autonomie variables, qui peut faire preuve d’une capacité d’adaptation, et qui, à partir des entrées qu’il reçoit, déduit la manière de générer des résultats (prédictions, contenus, recommandations, décisions) pouvant influencer des environnements physiques ou virtuels.
En clair, le critère central est l’inférence : le système ne se contente pas d’appliquer des règles écrites à la main par un humain, il « déduit » ses résultats à partir de données. Cela englobe l’apprentissage automatique (machine learning), les réseaux de neurones, mais aussi certaines approches logiques et statistiques. Un simple tableur avec des formules, ou un logiciel qui applique mécaniquement des règles fixes, n’est en principe pas concerné.
Pourquoi l’Europe a-t-elle créé l’AI Act ?
L’IA est devenue capable du meilleur (diagnostic médical, productivité, accessibilité) comme du plus préoccupant (discriminations algorithmiques, surveillance de masse, manipulation de l’opinion, deepfakes). Face à cette double réalité, l’Union européenne a voulu un cadre qui protège les citoyens tout en sécurisant l’innovation. Trois objectifs structurent le texte :
- Protéger la santé, la sécurité et les droits fondamentaux des personnes face aux risques de l’IA ;
- Instaurer la confiance, condition de l’adoption de l’IA par la société et les entreprises ;
- Créer un cadre juridique clair et harmonisé dans toute l’UE, pour que les entreprises innovent avec des règles prévisibles plutôt que 27 réglementations nationales différentes.
La proposition initiale date de 2021. L’arrivée de ChatGPT fin 2022, puis des IA génératives d’images et de sons, a accéléré et complexifié les débats — au point d’ajouter au texte un volet spécifique sur les modèles à usage général (voir plus bas).
À qui s’applique l’AI Act ?
À beaucoup plus de monde qu’on ne le croit. Le règlement concerne toute organisation — entreprise, association, administration — qui fournit, utilise, importe ou distribue un système d’IA, dès lors que ses effets se produisent dans l’Union européenne. Il distingue principalement deux rôles :
- le fournisseur (provider), qui développe un système d’IA ou le commercialise sous son nom ;
- le déployeur (deployer), qui utilise un système d’IA dans un cadre professionnel — c’est le cas de la grande majorité des entreprises.
S’y ajoutent les importateurs et distributeurs. Le rôle est déterminant, car il commande les obligations : nous l’expliquons en détail dans notre article Fournisseur ou déployeur : quel est votre rôle ?
Deux précisions importantes. D’abord, la portée est extraterritoriale : une entreprise hors UE est concernée si les résultats de son IA sont utilisés dans l’Union — comme un éditeur américain vendant un logiciel d’IA à des clients européens. Ensuite, certaines activités sont exclues : l’IA développée à des fins exclusivement militaires, et la recherche et le prototypage avant mise sur le marché.
Les 4 niveaux de risque de l’AI Act
C’est le cœur du règlement. Plutôt que d’imposer les mêmes règles à tous, l’AI Act gradue les obligations selon le risque de chaque usage. Quatre niveaux, du plus dangereux au plus anodin.
Risque inacceptable — interdit
Certains usages sont jugés contraires aux valeurs européennes et purement et simplement interdits depuis février 2025 : la notation sociale (social scoring), la manipulation subliminale ou exploitant les vulnérabilités des personnes, la reconnaissance des émotions sur le lieu de travail et dans l’éducation, ou encore certaines formes d’identification biométrique de masse.
Haut risque — obligations lourdes
Ce sont les systèmes utilisés dans des domaines sensibles listés à l’annexe III : recrutement, scoring de crédit, éducation, santé, biométrie, infrastructures critiques, justice… Ils restent autorisés mais soumis à des exigences strictes : gestion des risques, documentation, journalisation, supervision humaine. C’est le niveau qui demande le plus de travail. Pour le détail, voyez notre article sur les systèmes à haut risque (annexe III).
Risque limité — transparence
Les systèmes comme les chatbots ou les générateurs de contenu doivent respecter des obligations de transparence : informer l’utilisateur qu’il interagit avec une IA, et marquer les contenus générés artificiellement (notamment les deepfakes).
Risque minimal — libre
La grande majorité des usages (filtres anti-spam, recommandation, IA de productivité) ne sont soumis à aucune obligation spécifique… à une exception près, qui concerne tout le monde : la littératie IA.
Pas sûr de savoir où se situe votre entreprise ?
Le diagnostic OpenPath identifie vos usages d’IA, leur niveau de risque et vos obligations réelles.
Les modèles à usage général (ChatGPT, Claude, Gemini…)
L’essor de l’IA générative a conduit l’Europe à ajouter un volet spécifique aux modèles d’IA à usage général (GPAI, pour General Purpose AI). Ce sont les grands modèles entraînés sur d’immenses volumes de données, capables d’exécuter une large variété de tâches : GPT, Claude, Gemini, Llama, Mistral en sont les exemples emblématiques.
Depuis le 2 août 2025, leurs fournisseurs sont soumis à des obligations propres : publier une documentation technique sur le modèle, respecter le droit d’auteur, fournir un résumé des données d’entraînement, et transmettre aux entreprises qui intègrent le modèle les informations nécessaires à un usage conforme. Les modèles les plus puissants, considérés comme présentant un « risque systémique », ont des obligations renforcées (évaluation, tests, cybersécurité).
Ce qu’il faut retenir si vous êtes une entreprise utilisatrice : ces obligations pèsent d’abord sur les fournisseurs du modèle, pas sur vous. Mais vous restez responsable de l’usage que vous en faites — et si vous intégrez un tel modèle dans votre propre produit pour le commercialiser, vous pouvez devenir fournisseur à votre tour. C’est un point clé pour les éditeurs SaaS et startups.
Depuis quand l’AI Act s’applique-t-il ?
Le règlement ne s’applique pas d’un coup : il se déploie par étapes. Voici les échéances clés, en tenant compte des derniers ajustements (accord « Digital Omnibus » du 7 mai 2026).
| Date | Ce qui s’applique | Statut |
|---|---|---|
| 2 février 2025 | Pratiques interdites + obligation de littératie IA | ✅ En vigueur |
| 2 août 2025 | Obligations des modèles à usage général (GPAI) | ✅ En vigueur |
| 2 nov. 2026 (proposé) | Transparence et marquage des contenus générés | ⏳ En cours d’adoption |
| 2 déc. 2027 (proposé) | Systèmes à haut risque de l’annexe III | ⏳ Reporté par l’Omnibus |
| 2 août 2028 (proposé) | IA intégrée à des produits réglementés (annexe I) | ⏳ En cours d’adoption |
Pour le suivi détaillé et actualisé, consultez notre calendrier complet de l’AI Act.
Quelles sanctions en cas de non-respect ?
Comme le RGPD, l’AI Act prévoit des sanctions dissuasives, calculées en pourcentage du chiffre d’affaires mondial :
- jusqu’à 35 millions d’euros ou 7 % du CA mondial pour l’usage d’une pratique interdite ;
- jusqu’à 15 millions d’euros ou 3 % pour le non-respect des autres obligations ;
- des montants moindres pour la fourniture d’informations inexactes aux autorités.
Au-delà de l’amende, le risque le plus immédiat est commercial et réputationnel : vos clients et partenaires intègrent déjà la conformité IA dans leurs exigences. En savoir plus sur les sanctions de l’AI Act.
Quelle différence avec le RGPD ?
La confusion est fréquente. RGPD et AI Act sont deux règlements distincts mais complémentaires :
| RGPD | AI Act | |
|---|---|---|
| Objet | Les données personnelles | Les systèmes d’IA |
| Déclencheur | Traitement de données personnelles | Usage d’un système d’IA (avec ou sans données personnelles) |
| Logique | Protection de la vie privée | Approche par les risques |
| En vigueur | Depuis 2018 | Depuis 2024 (par paliers) |
Un système d’IA qui traite des données personnelles relève des deux régimes en même temps. La bonne nouvelle : ils partagent une logique de preuve par la documentation, et une mise en conformité AI Act bien menée s’appuie sur votre dispositif RGPD existant plutôt que de le dupliquer.
Concrètement, que doit faire mon entreprise ?
Comprendre l’AI Act, c’est bien ; savoir par où commencer, c’est mieux. La démarche tient en quelques étapes :
Cartographier vos usages d’IA
Recensez tous vos systèmes, y compris la Shadow AI et les fonctions IA cachées dans vos outils.
Qualifier votre rôle et classer le risque
Êtes-vous fournisseur ou déployeur ? Chaque système est-il à risque minimal, limité ou haut ?
Former vos équipes
La littératie IA est déjà obligatoire : c’est la première brique, et la plus rapide.
Documenter, encadrer, maintenir
Registre, politique d’usage, transparence, supervision humaine — puis une veille continue.
Cette feuille de route est détaillée dans notre guide Conformité AI Act : par où commencer. Et si vous préférez être accompagné de bout en bout, découvrez notre prestation complète ou demandez un diagnostic.
Questions fréquentes
L’AI Act, c’est quoi en une phrase ?
Quand l’AI Act est-il entré en vigueur ?
Mon entreprise est-elle concernée par l’AI Act ?
Quelle est la différence entre l’AI Act et le RGPD ?
ChatGPT est-il concerné par l’AI Act ?
Quelles sont les sanctions prévues par l’AI Act ?
Vous voulez savoir ce que l’AI Act change pour vous ?
OpenPath vous accompagne de l’audit à la mise en conformité : cartographie, documentation, implémentation technique, formation et suivi. Diagnostic gratuit.

