Conformité AI Act : par où commencer pour votre entreprise ?

conformité ai act

En bref

La conformité à l’AI Act (règlement UE 2024/1689) repose sur une logique simple : les obligations s’appliquent à chaque système d’IA, pas à l’entreprise dans son ensemble, et elles dépendent de deux facteurs — votre rôle (fournisseur ou déployeur) et le niveau de risque du système (inacceptable, haut, limité, minimal).

Pour vous mettre en conformité, suivez 6 étapes : (1) cartographier vos usages d’IA, (2) qualifier votre rôle, (3) classer chaque système par niveau de risque, (4) former vos équipes (obligation déjà en vigueur depuis février 2025), (5) documenter et encadrer techniquement, (6) maintenir la conformité dans le temps. Toute entreprise utilisant l’IA est concernée, quelle que soit sa taille.

L’AI Act est entré en vigueur le 1er août 2024 et déploie ses obligations par paliers jusqu’en 2027-2028. Pour beaucoup de dirigeants, le sujet reste abstrait : « suis-je vraiment concerné ? par où je commence ? combien ça coûte ? ». Ce guide répond précisément à ces questions, avec une feuille de route concrète, le calendrier réellement applicable après les derniers reports, et un exemple chiffré. Objectif : vous permettre de passer de l’inquiétude diffuse à un plan d’action clair.

Mon entreprise est-elle concernée par l’AI Act ?

Très probablement oui. Le règlement s’applique à toute organisation qui développe, utilise, importe ou distribue un système d’IA dont les effets se produisent dans l’Union européenne — sans seuil de taille. Dès que vos équipes utilisent ChatGPT, Copilot, un CRM prédictif, un outil de tri de CV ou un chatbot, vous entrez dans le champ du règlement.

Le point le plus mal compris : la conformité ne se raisonne pas « au niveau de l’entreprise » mais système par système. Une même société peut avoir un outil à risque minimal (un correcteur orthographique IA), un autre à risque limité (un chatbot) et un troisième à haut risque (un logiciel de scoring de candidats). Chacun appelle un niveau d’obligation différent. C’est pourquoi la toute première action utile n’est pas de « se mettre en conformité » en bloc, mais de recenser et qualifier chaque usage.

La portée du règlement est également extraterritoriale, à l’image du RGPD : une entreprise établie hors de l’Union est concernée dès lors que les résultats produits par son système d’IA sont utilisés dans l’UE. Une société américaine vendant un logiciel de recrutement par IA à des entreprises françaises est donc soumise à l’AI Act.

Le réflexe à retenir. La taille de votre entreprise vous donne des allègements de procédure, jamais des exemptions. Une PME de 15 personnes utilisant un ATS qui trie des CV a les mêmes obligations de fond qu’un grand groupe sur ce système.

Étapes 1 & 2 — Cartographier vos usages et qualifier votre rôle

Avant toute chose, il faut savoir ce que l’on possède. La première étape est une cartographie exhaustive de vos systèmes d’IA : les outils déclarés, les fonctions IA cachées dans vos logiciels métiers (votre CRM, votre ATS, votre outil de support intègrent souvent de l’IA sans que ce soit affiché), et la « Shadow AI » — ces outils que vos équipes utilisent de leur propre initiative, sans gouvernance. Cet inventaire révèle presque toujours des usages insoupçonnés : dans la pratique, une organisation découvre régulièrement deux à trois fois plus de systèmes d’IA qu’elle ne pensait en avoir.

Pour chaque système identifié, vous devez ensuite déterminer votre rôle, car c’est lui qui commande vos obligations. Le règlement distingue principalement quatre qualifications.

Les quatre rôles définis par le règlement

  • Fournisseur (provider) — vous développez un système d’IA (ou le faites développer) et le mettez sur le marché sous votre propre nom ou marque. Ce sont les obligations les plus lourdes.
  • Déployeur (deployer) — vous utilisez un système d’IA sous votre autorité dans un cadre professionnel, sans l’avoir développé. C’est le rôle de la grande majorité des entreprises.
  • Importateur — vous mettez sur le marché de l’Union un système d’IA portant le nom d’une entité établie hors UE.
  • Distributeur — vous participez à la chaîne d’approvisionnement et mettez un système à disposition sur le marché, sans être ni fournisseur ni importateur.

Attention à un piège majeur : la qualification n’est pas figée. Un déployeur peut devenir fournisseur dans plusieurs situations — notamment s’il appose sa marque sur un système à haut risque, s’il le modifie substantiellement, ou s’il en change la destination vers un usage à haut risque. Concrètement, une entreprise qui intègre l’API d’un modèle tiers (OpenAI, Anthropic, Mistral) dans son propre produit et le commercialise peut basculer dans le statut de fournisseur, avec des obligations bien plus exigeantes. Si vous êtes éditeur de logiciel, ce point est central : nous le détaillons sur notre page dédiée aux éditeurs SaaS et startups IA.

Fournisseur ou déployeur : qui fait quoi ?

La distinction étant déterminante, voici un comparatif synthétique des principales obligations selon le rôle, pour un système à haut risque.

Obligation Fournisseur Déployeur
Système de gestion des risques Oui (le conçoit) Non (mais en bénéficie)
Documentation technique (annexe IV) Oui Conserve celle reçue
Journalisation des événements (logs) Conçoit la capacité Conserve les journaux générés
Supervision humaine Prévoit les mesures Met en œuvre et l’assure réellement
Usage conforme à la notice Oui
Information des personnes concernées Oui
Analyse d’impact (selon les cas) Oui pour certains déployeurs
Littératie IA des équipes (art. 4) Oui Oui

La leçon : même en tant que simple utilisateur d’un outil acheté « sur étagère », vous conservez des obligations propres. L’argument « c’est l’outil de l’éditeur, c’est son problème » ne tient pas : la supervision humaine, la conservation des journaux et l’information des personnes vous incombent en tant que déployeur. Pour approfondir, voyez notre article Fournisseur ou déployeur : quel est votre rôle ?.

Étape 3 — Classer chaque système par niveau de risque

L’AI Act repose sur une approche par les risques : plus un système est susceptible de porter atteinte aux droits ou à la sécurité des personnes, plus les obligations sont strictes. Quatre niveaux structurent le règlement.

Inacceptable Haut risque Risque limité Risque minimal Interdit Obligations lourdes Transparence Libre + littératie IA
Les 4 niveaux de risque de l’AI Act, du plus restrictif (sommet) au plus libre (base).
Niveau Exemples d’usages Ce que ça implique
Inacceptable Scoring social, manipulation subliminale, reconnaissance des émotions au travail Interdit purement et simplement
Haut risque Tri de CV, scoring crédit, tarification assurance, évaluation d’élèves, biométrie Gestion des risques, documentation, journalisation, supervision humaine
Risque limité Chatbots, contenus générés par IA, deepfakes Obligations de transparence (informer, marquer les contenus)
Risque minimal Filtres anti-spam, recommandation, IA de productivité Aucune obligation spécifique… sauf la littératie IA

Pour aller plus loin sur cette grille, consultez nos articles dédiés aux 4 niveaux de risque et aux systèmes à haut risque de l’annexe III.

L’obligation qui concerne absolument tout le monde : la littératie IA (article 4). Dès qu’une organisation utilise un système d’IA, quel que soit son niveau de risque, elle doit garantir un niveau suffisant de compétence de ses équipes — et c’est déjà en vigueur depuis février 2025.

Les 8 domaines à haut risque (annexe III)

L’annexe III du règlement liste les domaines dans lesquels un système d’IA est présumé à haut risque. Si votre activité touche à l’un d’eux, c’est le signal d’une vigilance maximale.

  • Biométrie — identification et catégorisation biométriques (hors usages interdits).
  • Infrastructures critiques — gestion de l’eau, du gaz, de l’électricité, du trafic.
  • Éducation et formation professionnelle — sélection, évaluation des apprenants, surveillance d’examens. Voir le secteur formation →
  • Emploi et gestion des travailleurs — tri de CV, scoring, décisions RH. Voir le secteur RH →
  • Accès aux services essentiels — scoring crédit, tarification d’assurance, aides sociales. Voir le secteur finance →
  • Répression (forces de l’ordre) — évaluation des risques, analyse de preuves.
  • Migration, asile et contrôle des frontières.
  • Administration de la justice et processus démocratiques.

La santé occupe une place particulière : l’IA médicale relève souvent du haut risque par le jeu de la réglementation des dispositifs médicaux (MDR), qui s’articule avec l’AI Act. Voir le secteur santé →

Vous ne savez pas où vous en êtes ?

Le diagnostic OpenPath cartographie vos usages d’IA, identifie vos systèmes à risque et vous donne un plan d’action clair.

Les obligations concrètes d’un système à haut risque

C’est le cœur technique du règlement, et c’est là que la plupart des organisations sous-estiment l’effort. Un système classé à haut risque doit satisfaire un ensemble d’exigences cumulatives :

  1. Système de gestion des risques — un processus itératif, tenu à jour sur toute la durée de vie du système, pour identifier et réduire les risques pour la santé, la sécurité et les droits fondamentaux.
  2. Gouvernance des données — des jeux de données d’entraînement, de validation et de test pertinents, représentatifs et, dans la mesure du possible, exempts d’erreurs et de biais.
  3. Documentation technique — un dossier (proche de l’annexe IV) décrivant le système, sa logique, ses données, ses performances et ses mesures de maîtrise des risques.
  4. Journalisation (logs) — l’enregistrement automatique des événements pour assurer la traçabilité du fonctionnement et des décisions.
  5. Transparence et information — des instructions d’utilisation claires permettant au déployeur de comprendre et d’utiliser correctement le système.
  6. Supervision humaine — des mesures permettant à une personne d’intervenir, de superviser et, le cas échéant, de passer outre la décision du système.
  7. Exactitude, robustesse et cybersécurité — un niveau de performance approprié et une résilience face aux erreurs et aux tentatives de manipulation.

La nuance qui fait toute la différence : ces exigences ne sont pas que documentaires. La journalisation, la supervision humaine et la traçabilité doivent être réellement configurées dans vos outils — pas seulement décrites dans un classeur. C’est précisément l’écart entre un accompagnement qui remet un rapport et un accompagnement qui implémente techniquement la conformité.

Le calendrier de l’AI Act, à jour après l’Omnibus

C’est le point qui prête le plus à confusion, car le calendrier a été modifié récemment. Voici l’état réel des échéances en 2026.

Date Ce qui s’applique Statut
2 février 2025 Pratiques interdites (art. 5) + obligation de littératie IA (art. 4) ✅ En vigueur
2 août 2025 Obligations des modèles à usage général (GPAI) + gouvernance ✅ En vigueur
2 nov. 2026 (proposé) Transparence / marquage des contenus générés (watermarking) ⏳ En cours d’adoption
2 déc. 2027 (proposé) Systèmes à haut risque de l’annexe III (RH, crédit, santé, éducation…) ⏳ Reporté par l’Omnibus
2 août 2028 (proposé) IA intégrée à des produits réglementés (annexe I) ⏳ En cours d’adoption
Attention — le report n’est pas un répit. L’accord « Digital Omnibus » du 7 mai 2026 repousse les obligations haut risque de l’annexe III du 2 août 2026 au 2 décembre 2027. Mais cet accord n’est pas encore définitivement adopté : tant qu’il n’est pas publié au Journal officiel, les dates d’origine gardent force de loi. Surtout, ce report ne touche ni les pratiques interdites, ni la littératie IA, ni les obligations GPAI — tout cela est déjà applicable. Et les exigences de documentation et de traçabilité, elles, ne cessent de se renforcer.

La raison de ce report est d’ailleurs instructive : les normes harmonisées (élaborées par le CEN-CENELEC) qui doivent guider la mise en conformité des systèmes à haut risque ne seront pas prêtes à temps. Autrement dit, le délai supplémentaire sert à aligner le calendrier sur la disponibilité des outils de soutien — pas à alléger les obligations de fond. La bonne lecture stratégique : utiliser cette fenêtre pour structurer sa conformité sereinement. Pour le détail des dates et leurs évolutions, suivez notre calendrier complet de l’AI Act, tenu à jour.

La feuille de route en 6 étapes

Voici la démarche concrète pour passer de « je ne sais pas si je suis concerné » à « je suis en conformité, et je peux le prouver ».

1

Cartographier tous vos usages d’IA

Recensez chaque système, y compris la Shadow AI et les fonctions IA intégrées à vos outils. Sans inventaire, pas de conformité possible.

→ Notre prestation d’audit & classification

2

Qualifier votre rôle pour chaque système

Fournisseur ou déployeur ? La réponse détermine vos obligations — et peut changer selon les systèmes.

3

Classer chaque système par niveau de risque

Appliquez la grille (inacceptable, haut, limité, minimal) et priorisez : les pratiques interdites en premier, puis le haut risque.

4

Former vos équipes (déjà obligatoire)

L’obligation de littératie IA est en vigueur. C’est souvent la première brique à poser — et la plus rapide à mettre en œuvre.

→ Notre formation littératie IA (certifiante & finançable)

5

Documenter et encadrer techniquement

Registre des systèmes, politique d’usage, dossiers techniques — et surtout l’implémentation réelle : journalisation, supervision humaine, traçabilité.

→ Notre implémentation technique

6

Maintenir la conformité dans le temps

Le cadre évolue, vos outils aussi. Veille réglementaire, audits périodiques et documentation à jour transforment la conformité en processus continu.

→ Notre suivi de conformité

Bonne nouvelle : ces étapes ne dépendent pas des normes harmonisées encore en cours d’élaboration. La gouvernance, la cartographie, la formation et la documentation peuvent être engagées dès aujourd’hui, en s’appuyant sur des référentiels existants comme l’ISO/IEC 42001. Découvrez le détail de notre méthode ou l’ensemble de notre prestation de bout en bout.

Exemple concret : une PME de 40 salariés

Prenons une entreprise de services de 40 personnes, sans IA « maison », persuadée au départ de ne pas être concernée. La cartographie révèle en réalité quatre usages d’IA :

  • un logiciel de tri de candidatures dans le processus de recrutement → Haut risque ;
  • un chatbot sur le site web → Risque limité (transparence) ;
  • l’usage quotidien de ChatGPT et Copilot par les équipes → Risque minimal, mais littératie obligatoire ;
  • une fonction de scoring intégrée au CRM, jusque-là ignorée → à qualifier.

Le plan d’action qui en découle : encadrer en priorité l’outil de recrutement (supervision humaine sur les rejets, journalisation des décisions, information des candidats) ; ajouter une mention de transparence au chatbot ; former les équipes et publier une charte d’usage de l’IA ; et trancher le statut de la fonction CRM. En quelques semaines, cette PME passe d’une exposition non maîtrisée à une situation documentée et défendable — sans avoir à bouleverser son activité. C’est exactement le type de parcours que suit un accompagnement structuré.

AI Act et RGPD : comment ils s’articulent

C’est la question que se pose tout DPO. AI Act et RGPD ne se contredisent pas : ils se superposent. Le RGPD encadre le traitement des données personnelles ; l’AI Act encadre les systèmes d’IA, qu’ils traitent ou non des données personnelles. Un système d’IA à haut risque qui traite des données personnelles relève donc des deux régimes simultanément.

En pratique, les deux cadres partagent une même logique — celle de la preuve par la documentation — et plusieurs obligations se recoupent : cartographie (registre des traitements RGPD ↔ registre des systèmes d’IA), analyse d’impact (AIPD ↔ analyse d’impact sur les droits fondamentaux), information des personnes, et gouvernance des données. Bien menée, une mise en conformité AI Act capitalise sur votre dispositif RGPD existant plutôt que de créer un chantier parallèle. C’est l’un des leviers d’efficacité les plus importants — et l’une des raisons pour lesquelles le volet juridique gagne à être traité en coordination avec un cabinet d’avocats partenaire.

Les 7 erreurs les plus fréquentes

  1. « On est trop petits pour être concernés. » Faux : la taille allège les procédures, elle n’exonère pas.
  2. Oublier la Shadow AI. Les outils utilisés par les équipes sans validation sont le premier angle mort d’un audit.
  3. Croire que le report d’août 2026 est un répit. Les pratiques interdites et la littératie IA sont déjà applicables.
  4. Se reposer entièrement sur l’éditeur du logiciel. En tant que déployeur, vous gardez des obligations propres.
  5. Confondre documentation et conformité. Un beau classeur sans journalisation ni supervision réelle ne résiste pas à un contrôle.
  6. Traiter l’AI Act en silo du RGPD. Les deux se mutualisent ; les séparer double inutilement le travail.
  7. Attendre les normes harmonisées pour commencer. La gouvernance, la cartographie et la formation se mettent en place dès maintenant.

Que risque-t-on en cas de non-conformité ?

Les sanctions de l’AI Act sont calibrées sur le modèle du RGPD, et elles sont dissuasives :

  • Jusqu’à 35 millions d’euros ou 7 % du chiffre d’affaires mondial pour le recours à une pratique interdite ;
  • jusqu’à 15 millions d’euros ou 3 % du CA pour le non-respect des autres obligations ;
  • des montants moindres pour la fourniture d’informations inexactes aux autorités.

Au-delà de l’amende, l’enjeu est commercial : vos clients grands comptes intègrent désormais la conformité AI Act dans leurs appels d’offres et leurs audits fournisseurs. Une conformité démontrable devient un argument de vente ; son absence, un frein. Pour le détail, voyez notre article sur les sanctions de l’AI Act.

Questions fréquentes

Une PME qui utilise seulement ChatGPT est-elle concernée par l’AI Act ?
Oui. En utilisant un outil d’IA générative dans un cadre professionnel, la PME est « déployeur » au sens du règlement. Elle est au minimum soumise à l’obligation de littératie IA (déjà en vigueur), et doit respecter la transparence et documenter ses usages selon le contexte. La taille n’exonère pas.
Par quelle étape faut-il commencer ?
Par la cartographie de vos usages d’IA et la formation de vos équipes. La cartographie vous dit où vous en êtes ; la formation remplit une obligation déjà applicable et se met en place rapidement. Le reste (documentation, implémentation, suivi) se priorise ensuite à partir du niveau de risque de chaque système.
Les obligations haut risque sont-elles vraiment repoussées à 2027 ?
L’accord Digital Omnibus du 7 mai 2026 propose de reporter les obligations de l’annexe III au 2 décembre 2027. Mais cet accord doit encore être formellement adopté et publié : tant que ce n’est pas le cas, les dates d’origine restent juridiquement applicables. Et ce report ne concerne ni les pratiques interdites, ni la littératie IA, déjà en vigueur.
Quelle est la différence entre fournisseur et déployeur ?
Le fournisseur développe et met sur le marché un système d’IA sous son nom ; le déployeur l’utilise dans un cadre professionnel sans l’avoir développé. La majorité des entreprises sont déployeurs. Mais intégrer un modèle tiers dans son produit et le commercialiser peut faire basculer une entreprise vers le statut, plus exigeant, de fournisseur.
Peut-on gérer la conformité AI Act en interne ?
C’est possible si vous réunissez trois compétences simultanément : la compréhension réglementaire, l’expertise technique sur l’IA, et la connaissance opérationnelle de vos processus. Dans la plupart des PME et ETI, ces trois dimensions ne coexistent pas en interne ; c’est là qu’un accompagnement externe fait gagner du temps et sécurise la démarche.
Combien coûte une mise en conformité AI Act ?
Le coût dépend du nombre de systèmes d’IA, de leur niveau de risque et de la complexité de l’organisation. C’est pourquoi un diagnostic préalable est nécessaire pour chiffrer sur un périmètre précis. Les obligations s’appliquant système par système, une entreprise avec un seul usage à risque limité a un effort sans commune mesure avec une organisation déployant plusieurs systèmes à haut risque.
L’AI Act remplace-t-il le RGPD ?
Non. Les deux coexistent et se superposent : le RGPD encadre les données personnelles, l’AI Act encadre les systèmes d’IA. Un système à haut risque traitant des données personnelles relève des deux régimes. Bien menée, la conformité AI Act s’appuie sur le dispositif RGPD existant plutôt que de le dupliquer.

Mettez votre entreprise en conformité, sereinement

OpenPath vous accompagne de l’audit à la preuve : audit, documentation, implémentation technique, formation et suivi. Le diagnostic est gratuit.

OP

OpenPath accompagne les entreprises dans leur mise en conformité avec l’AI Act, de l’audit à l’implémentation technique, en passant par la formation et le suivi. Le volet juridique est assuré par un cabinet d’avocats partenaire.


Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Retour en haut