Pourquoi (encore) une loi ?

L’intelligence artificielle soulève de vraies questions de sécurité et d’éthique. De plus en plus, des décisions qui étaient prises par des humains le sont désormais par des IA.

Soyons honnêtes : ces questions sont cruciales et certaines applications sont trop sensibles pour être laissées à la seule appréciation d’un robot. Par exemple :

• Comment s’assurer que l’humain garde la décision finale ?
• Peut-on laisser une IA décider d’un recrutement ?
• Peut-on utiliser une IA qui influence les comportements d’achat ?
• Doit-on informer un client qu’il parle à une IA ?

Jusqu’à maintenant, le flou juridique régnait. Les entreprises testaient, souvent sans cadre ou maturité IA, car aucune loi n’encadrait précisément l’IA.

Fin de la récréation : l’IA Act comble ce vide et toutes les entreprises sont concernées, même les plus petites.

Qu’est-ce que l’IA Act et quel est son périmètre ?

L’IA Act : un cadre légal unique pour l’IA en Europe

Pour être précis, l’IA Act (EU Artificial Intelligence Act) n’est pas une loi, mais un règlement européen. La nuance est importante : contrairement aux directives, un règlement européen s’applique tel quel dans tous les États membres. Autrement dit, pas besoin d’un vote à l’Assemblée nationale. L’IA Act est déjà officiellement en vigueur en France.

Quel est l’objectif de l’IA Act ?

Concrètement, l’IA Act (le texte officiel est disponible ici) vise à encadrer le développement, la commercialisation et l’usage des systèmes d’intelligence artificielle dans l’UE.

La philosophie du texte n’est pas d’interdire, mais d’encadrer l’IA, pour ne pas nuire à l’innovation de nos entreprises. Pour y parvenir, il introduit une classification des usages selon leur niveau de risque :

• ⚫ Certains usages sont interdits (reconnaissance faciale en direct, manipulation de publics vulnérables, etc.)
• 🔴 D’autres sont autorisés, mais sous conditions strictes (par exemple une IA de recrutement)
• 🟡 Certains usages nécessitent seulement de la transparence (chatbots, IA génératives, etc.)
• 🟢 Les usages à faible risque restent libres

C’est le socle de la réglementation IA 2025, pensé pour responsabiliser les entreprises sans ralentir l’innovation, l’adoption de l’IA par les équipes et les compétences dans leur utilisation quotidienne.

Quels usages de l’IA sont concernés ?

La conformité IA Act s’applique à tous les systèmes d’IA utilisés ou mis sur le marché dans l’UE (y compris ceux développés hors Europe) mais aussi aux entreprises qui les utilisent.

Dans les faits, En 2025 en France, près d’une PME sur trois utilise déjà au moins un outil d’IA (ChatGPT, chatbot, automatisation, etc.). L’IA Act s’applique donc déjà à des milliers d’entreprises. Par exemple :

• Un cabinet de recrutement qui utilise un SaaS basé sur l’IA pour trier des CV
• Un site de vente en ligne qui utilise un Chatbot IA pour son SAV
• Un poseur de panneaux solaires qui utilise l’IA pour générer ses devis

L’IA Act, ça commence quand ?

Dans les faits, ça a déjà commencé : l’IA Act a été adopté par le Parlement européen en mars 2024. Mais la mise en oeuvre pour les entreprises doit se faire selon un calendrier progressif :

• 👉 Depuis février 2025 : Une entreprise peut être en infraction si elle utilise un système d’IA interdit.
• 👉 À partir d’août 2025 : toute entreprise qui utilise une IA générative comme ChatGPT devra respecter les règles de transparence.
• 👉 À partir d’août 2026 : une PME qui utilise un système classé à haut risque devra être capable de prouver sa conformité au règlement.

Non-respect de l’IA Act : quelles sont les risques ?

Comme pour le RGPD, l’IA Act comporte un régime de sanctions. L’objectif est de l’UE est assumé : pousser les entreprises à se mettre en conformité et dissuader les abus. Pour une PME, ces sanctions peuvent avoir des conséquences lourdes.

Amendes administratives : jusqu’à 7% du chiffre d’affaires

Le règlement IA Act prévoit deux niveaux de sanction, dont les plafonds dépassent ceux du RGPD. Pour une PME, même un faible pourcentage du chiffre d’affaires reste un risque important.

• jusqu’à 35 millions d’euros ou 7% du CA mondial pour les infractions graves (usage interdit ou absence totale de conformité sur une IA à haut risque) ;
• jusqu’à 20 millions d’euros ou 4% du CA mondial pour les manquements moins critiques (documentation incomplète, absence de supervision…).

Au-delà de l’amende, la réputation…

Se faire sanctionner pour non-conformité à l’IA Act ne se limite pas à un risque financier. C’est aussi un signal négatif envoyé à vos clients. Un outil IA qui porte atteinte à des droits, ou mal encadré, peut rapidement entacher la confiance.

Qui prononcera les sanctions ?

Chaque État membre doit désigner une autorité compétente nationale pour superviser l’IA Act. En France, la CNIL (Commission nationale de l’informatique et des libertés), qui s’occupe déjà du RGPD, s’est positionnée pour assumer ce rôle et participe activement à la préparation du cadre national.

Les 4 niveaux de risque de l’IA Act

Le cœur de la machine IA Act, c’est le classement des systèmes d’IA selon leur niveaux de risque. Ce n’est pas tellement la technologie qui est jugée ici, mais son usage concret. C’est ce classement qui détermine si votre entreprise est soumise à des obligations légales ou non, et dans quelle mesure.

Conformité IA Act : les étapes à suivre

La mise en conformité au règlement IA Act ne repose pas sur un simple document à remplir. C’est une démarche à structurer en plusieurs étapes, à l’échelle de l’entreprise. Voici une méthode simple et fiable pensée pour les PME.

Étape 1 : Identifier tous les outils IA utilisés

Commencez par recenser les outils IA en cours d’usage dans l’entreprise, même ceux utilisés à petite échelle ou à titre d’expérimentation. Si vos outils IA sont fournis par un prestataire, demandez-lui :

• Si une supervision humaine est possible sur les décisions prises
• Si le système IA est classé à haut risque
• S’il peut vous transmettre la documentation technique

Ensuite, confrontez ces informations à la liste officielle des cas d’usage à haut risque, publiée par la Commission européenne. C’est ce croisement qui permet de déterminer vos obligations.

Étape 2 : Classer les usages IA selon le niveau de risque

Pas si simple, car le niveau de risque ne dépend pas de l’outil lui-même, mais de son usage dans un contexte donné. Une même IA peut être classée à haut risque dans un cas, et à risque limité dans un autre.

C’est à vous, en tant qu’entreprise, d’évaluer dans laquelle des quatre catégories vos usages IA entrent en vous posant ces 5 questions clés :

1. Dans quel secteur l’IA est-elle utilisée : Certains domaines sont automatiquement considérés comme sensibles par l’IA Act : emploi, éducation, santé, sécurité, justice, finance.
2. L’outil prend-il une décision automatisée qui a un impact sur une personne : Comme par exemple trier des candidatures ou noter la performance d’un salarié. Si l’IA influence une décision humaine, le risque est plus élevé.
3. L’IA agit-elle seule ou sous supervision humaine : Un système totalement autonome sera soumis à plus d’exigences qu’un outil supervisé ou validé manuellement.
4. L’utilisateur sait-il qu’il interagit avec une IA : Comme la plupart des IA passent le test de Turing, vos clients ou collaborateurs ne savent pas toujours s’ils échangent avec un humain ou un robot. Avec l’IA Act, cette ambiguïté n’est plus permise.
5. Disposez-vous d’une documentation technique complète sur l’outil ? Pour prouver votre conformité, vous devez être en mesure d’expliquer comment fonctionne l’outil : type de modèle, données utilisées, conditions d’usage, protocoles de sécurité. Sans ces éléments, il sera difficile de répondre à un contrôle.

Étape 3 : Que faire selon le niveau de risque IA Act ?

Une fois vos outils IA classés, chaque niveau de risque appelle une action spécifique. Voici les quatre cas de figure à connaître :

⚫ Usage IA à risque inacceptable : C’est simple, c’est interdit, même à titre de test ou d’expérimentation. S’ils existent dans l’entreprise, ils doivent être arrêtés immédiatement.

🔴 Usage IA à risque élevé : Ces usages sont autorisés, mais soumis à des obligations strictes. Pour y répondre, vous devez constituer un dossier de conformité incluant :

• Une description de l’outil et de son fournisseur ;
• Les données utilisées (source, sensibilité, volume) ;
• Le rôle de l’IA dans le processus métier ;
• Les modalités de supervision humaine ;
• Les garanties de sécurité (traçabilité, auditabilité, protection des données).

🟡 Usage IA à risque limité : Ici, vous avez surtout une obligation d’information. L’utilisateur final doit savoir, de manière explicite, qu’il interagit avec une IA. Par exemple, pour un chatbot sur votre site, une mention comme « Je suis un agent conversationnel IA. Pour parler à un humain, cliquez ici. » permet de respecter cette exigence de transparence dès la première interaction.

🟢 Usage à risque minimal : Aucun formalisme lié à l’IA Act ne s’applique dans ce cas. Mais attention, l’usage reste encadré par les autres réglementations en vigueur comme le RGPD, les droits d’auteur, etc.

Étape 4 : Mettre en place des garanties internes

L’IA Act impose des garde-fous concrets : supervision humaine, transparence, sécurité des données. Ces éléments doivent être intégrés dans vos processus internes et communiqués à vos équipes.

Étape 5 : Désigner votre référent conformité IA

Le référent RGPD est obligatoire, le référent IA est vivement conseillé ! Même dans une PME, il faut une collaborateur bien identifié pour suivre le sujet IA. Ce n’est pas forcément un profil technique. L’essentiel, c’est sa capacité à coordonner les équipes, à suivre les obligations, et à dialoguer avec les prestataires.

FAQ : vos questions fréquentes sur l’IA Act

Mon entreprise ne développe pas d’outil IA, mais elle en utilise, suis-je quand même concerné ?

Oui. L’IA Act s’applique dès que vous utilisez un outil d’intelligence artificielle dans l’Union européenne, quel que soit le fournisseur. Ce qui compte, c’est l’usage que vous en faites, pas qui l’a développé.

Que risque-t-on si on n’est pas conforme à temps ?

Des amendes, des injonctions, voire une interdiction de déployer l’outil IA concerné par le risque IA Act. Et au-delà du risque juridique, il y a un vrai enjeu de crédibilité. Se faire épingler peut nuire à la confiance de vos clients, de vos équipes, de vos partenaires.

Le RGPD ne suffit-il pas ?

Non. Le RGPD encadre la protection des données personnelles. L’IA Act encadre l’usage des systèmes d’intelligence artificielle. Les deux textes sont complémentaires, mais couvrent des aspects différents.

Faut-il faire appel à un expert pour se mettre en conformité ?

C’est vivement conseillé, car l’évaluation du niveau de risque IA nécessite de l’expérience sur les cas d’usage. Un accompagnement externe permet de structurer la démarche, d’aller plus vite et surtout de ne rien oublier.

À partir de quand faut-il être en règle ?

Pour la majorité des PME utilisatrices d’IA, les obligations de conformité s’appliqueront à partir d’août 2026 : identification des outils, évaluation du niveau de risque, mise en place des mesures d’information et de documentation. Il est toutefois recommandé d’anticiper dès maintenant pour éviter les erreurs et les retards. Pour les niveaux de risques élevés, les obligations débutent en août 2025.

Évaluez votre niveau de risque IA Act en 30 secondes

Yes We Prompt a développé une application dédiée qui vous permet d’évaluer votre niveau de risque IA Act. Cet outil vous indique les étapes à suivre pour que vos usages et outils IA entrent en conformité. L’utilisation de l’outil diagnostic IA Act est entièrement gratuite et le résultat est immédiat.