Sommaire du guide IA Act en entreprise
Qu’est-ce que l’IA Act et qui est concerné ?
L’IA Act, c’est le petit surnom du règlement européen 2024/1689 sur l’intelligence artificielle. Publié au Journal officiel le 12 juillet 2024, il est entré en vigueur le 1er août 2024 et s’applique progressivement depuis 2025.
L’IA Act est aussi la toute première législation au monde à encadrer l’IA et son usage de manière globale. Elle vise toutes les entreprises qui utilisent ou commercialisent des outils d’intelligence artificielle dans l’Union européenne et donc en France.
Concrètement, à quoi sert l’IA Act ?
L’idée générale de l’IA Act tient en une phrase : protéger les salariés et les clients des dérives possibles liées à l’IA. Autrement dit, s’assurer que l’IA générative et les bouleversements qu’elle génère ne porte pas atteinte aux droits fondamentaux des humains. Quelques exemples bien réels déjà constatés et que l’Europe tient à éviter :
- Une IA qui trie des CV et valide des candidatures RH sans qu’aucun humain ne vérifie
- Un chatbot qui se fait passer pour un conseiller humain (oui, ces fameux appels de démarchages pour vous vendre des diagnostics énergétiques en font partie)
- Un outil IA qui note et évalue les performances et comportements des salariés à leur insu
- Un système IA qui prend des décisions de prêt bancaire sans explication ni contrôle
Pour éviter ça, l’IA Act fixe donc des règles pour déterminer le niveau de risque de chaque type d’usage de l’IA. Et pour faire simple : plus c’est risqué, plus il y a d’obligations à respecter.
👉 En synthèse : L’IA Act est la première loi au monde qui encadre l’IA. Elle s’applique en France depuis 2025 et vise à protéger les salariés et les clients, sans bloquer l’innovation. Sa logique : plus l’usage est risqué, plus les règles sont strictes.
Le calendrier d’application de l’IA Act
Pour laisser le temps aux entreprises de s’adapter, l’IA Act ne s’applique pas d’un coup. La Commission européenne a prévu un déploiement progressif sur 3 ans, et nous arrivons actuellement au moment clé. Voici les 4 dates importantes à connaître :
| Date | Implication |
|---|---|
| 1er août 2024 | L’IA Act entre officiellement en vigueur en Europe |
| 2 février 2025 | Les usages d’IA dangereux sont interdits + vous devez vous assurer que vos équipes savent utiliser l’IA |
| 2 août 2025 | Les éditeurs d’IA doivent respecter de nouvelles règles + les autorités françaises sont désignées |
| 2 août 2026 | C’est la date pivot : les autorités peuvent commencer à sanctionner les entreprises non conformes |
👉 Important : Le 2 août 2026 est la date la plus importante. À partir de cette échéance, votre entreprise peut être contrôlée et potentiellement sanctionnée si elle utilise l’IA sans respecter l’IA Act.
Quelles sont les entreprises réellement concernées par l’IA Act ?
Là où l’IA Act devient important, c’est que non seulement il s’applique dès cette année, mais qu’en plus il ne fait aucune distinction selon la taille des entreprises.
Le règlement s’applique à toutes les entreprises qui utilisent ou commercialisent de l’IA dans l’Union européenne. Une PME de 5 salariés est aussi concernée qu’un grand groupe. Pour faire simple, deux profils résument 95% des cas :
- Vous développez et vendez un outil IA → vous êtes fournisseur d’IA (rare en PME, ça concerne les startups IA, les éditeurs de logiciels, etc.).
- Vous utilisez un outil IA → vous êtes déployeur d’IA (c’est le cas de 72% des PME françaises en 2026 selon le baromètre IA).
Autrement dit, même si vous tapez « bonjour ChatGPT » deux fois par semaine pour rédiger un email, vous êtes concerné par l’IA Act. Heureusement, les obligations diffèrent selon les usages, comme nous allons le voir.
Êtes-vous déployeur d’IA : faire le test en 2 minutes
C’est probablement le mot le plus mal compris de tout l’IA Act. Vous l’avez croisé en lisant le texte, vous n’êtes pas sûr de ce qu’il recouvre, et vous vous demandez si vous êtes concerné. Spoiler : oui, il y a de grandes chances.
La définition du déployeur d’IA
Selon l’IA Act, un déployeur d’IA est une entreprise qui utilise un système d’IA dans son activité professionnelle. Plusieurs types d’usages sont concernés, du plus simple au plus avancé. En voici quelques exemples :
- IA générative : Vos équipes utilisent ChatGPT pour rédiger des emails commerciaux.
- Chatbots : Votre service client a installé un Chatbot sur votre site web.
- Assistance métiers : Vos RH utilisent l’IA ou un logiciel qui trie automatiquement les CV.
- IA embarquées : Votre service comptabilité utilise l’Assistant IA dans Pennylane.
Le fournisseur d’IA, en revanche, est bien plus rare. C’est un éditeur qui développe un outil IA et le commercialise auprès des entreprises ou du grand public. OpenAI, Anthropic, Microsoft, Mistral. La grande majorité des PME françaises ne sont donc pas concernées par ce statut.
👉 À retenir : 95% des PME françaises sont des déployeurs au sens de l’IA Act. Si vous utilisez un outil IA (peu importe lequel) vous avez des obligations à respecter.
Comment savoir si je suis concerné par l’IA Act ?
Pour vous aider à savoir si vous êtes concerné par l’IA Act, Yes We Prompt vous a préparé ce quizz rapide. Répondez aux 5 questions posées : Un seul OUI suffit à faire de votre entreprise un déployeur au sens de l’IA Act.
Vos obligations principales en tant que déployeur
Être déployeur d’IA, ce n’est pas dramatique, c’est même tout à fait normal au regard du niveau d’adoption de l’IA en entreprise aujourd’hui. En revanche, cela vous engage sur plusieurs obligations à respecter : voici une vue d’ensemble, nous entrerons dans le détail dans la suite de ce guide.
- Maîtrise de l’IA : Vous devez garantir que vos équipes comprennent et maîtrisent les outils IA utilisés.
- Supervision humaine : Pour les usages à risque, un humain doit vérifier et corriger les décisions de l’IA.
- Transparence : Si un client ou un collaborateur interagit avec une IA (chatbot, par exemple), il doit le savoir.
- Traçabilité : Vous devez pouvoir prouver ce que vous avez mis en place en cas de contrôle.
👉 À retenir : Vos obligations dépendent du niveau de risque de chaque outil utilisé. Plus l’usage est sensible, plus les règles sont strictes.
Les 4 niveaux de risque de l’IA Act : ce qui est interdit et autorisé
L’IA Act ne traite pas tous les usages IA de la même façon : plus c’est risqué, plus les obligations sont strictes. Ainsi, un correcteur orthographique IA n’a rien à voir avec un logiciel qui décide d’embaucher un candidat grâce à une analyse IA.
Quels sont les 4 niveaux de risque de l’IA Act ?
Le règlement classe les usages IA en 4 catégories de risques, du plus dangereux au moins dangereux. Bonne nouvelle pour les PME : la majorité de vos outils (ChatGPT, Copilot, chatbots, etc.) se concentrent dans les deux niveaux les plus bas.
| Niveau | Exemples PME | Vos obligations |
|---|---|---|
| ⛔ Inacceptable | Surveillance émotionnelle des salariés, notation sociale | Interdit |
| 🔴 Élevé | Tri/scoring automatique de CV, scoring crédit, IA dans dispositifs médicaux | Supervision humaine, documentation, transparence |
| 🟠 Limité | ChatGPT, Copilot, Claude, chatbots, IA générative | Transparence (informer l’utilisateur) |
| 🟢 Minimal | Filtres anti-spam, correcteurs, recommandations e-commerce | Aucune obligation |
👉 À retenir : 80% des usages IA d’une entreprise standard tombent en risque limité ou minimal. Ce qui ne vous exonère pas des obligations de base de l’IA Act cependant.
Quelles sanctions en cas de manquement à l’IA Act ?
Comme pour le RGPD, les sanctions IA Act suivent un principe de proportionnalité : leur montant tient compte de la taille de l’entreprise, de la nature de l’infraction et de sa gravité. Trois paliers de sanctions sont prévus en cas de manquement :
- 35 M€ ou 7% du CA mondial : pour les pratiques interdites
- 15 M€ ou 3% du CA mondial : pour les manquements haut risque ou transparence
- 7,5 M€ ou 1% du CA mondial : pour les fausses informations aux autorités
⚠️ Important : Pour les PME, l’IA Act prévoit une protection. L’article 99.6 du règlement plafonne l’amende au chiffre le plus faible entre le montant fixe et le pourcentage du CA.
IA Act : qui contrôle les entreprises en France ?
Plusieurs autorités se partagent les compétences, sous coordination de la DGCCRF. Pour les petites et moyennes entreprises, deux acteurs principaux sont en charge du suivi :
- La CNIL : Si votre usage de l’IA implique des données personnelles, notamment en RH (recrutement, gestion du personnel, etc.).
- La DGCCRF : Si votre usage de l’IA pose un enjeu de transparence ou de pratiques commerciales, par exemple pour certains chatbots ou usages d’IA générative.
L’obligation de maîtrise de l’IA pour les salariés
L’article 4 du règlement impose aussi aux entreprises de garantir un niveau suffisant de maîtrise de l’IA pour leurs équipes. Point important : c’est une obligation de résultat, pas de moyen, autrement dit c’est à vous d’identifier les moyens pour y répondre, puis de les documenter.
👉 À savoir : Plusieurs leviers existent pour répondre à cette obligation. Sensibilisation interne, autoformation, formation en entreprise, etc. L’enjeu est aussi de pouvoir prouver votre action en cas de contrôle. Gardez bien les fiches de présences en cas de formation !
C’est exactement ce que nous avons conçu avec la Formation IA Act et sécurité IA : une formation dédiée qui couvre les fondamentaux IA, les risques, les bons réflexes au quotidien et les obligations spécifiques de l’IA Act.
Diagnostic IA Act : comment savoir si mon entreprise est conforme ?
Vous savez désormais ce qu’est l’IA Act ainsi que vos obligations si votre entreprise utilise des outil IA. Reste la question principale : êtes-vous conforme, et comment faire pour le devenir ?
👉 Astuce : La meilleure option est de commencer par un auto-diagnostic rapide. EvalIA Act™ est un outil gratuit développé par Yes We Prompt pour vous y aider.
En 5 minutes, répondez à une série de questions sur vos usages IA, votre niveau de maîtrise, votre traçabilité, et vos pratiques de transparence. À la fin, vous obtenez un score de conformité sur 100 et des préconisations personnalisées pour combler vos écarts.
Mettre son entreprise en conformité en 4 étapes simples
Se mettre en conformité avec l’IA Act n’exige ni cabinet d’avocat, ni budget conséquent, mais surtout de la méthode et un cadrage interne des pratiques IA. Voici les 4 étapes à dérouler en priorité dans votre entreprise.
Étape 1 : Recenser tous les outils IA utilisés en interne
Listez tous les outils IA et usages utilisés dans votre entreprise. Les outils évidents (ChatGPT, Copilot, Claude) mais aussi les outils métier qui intègrent des fonctions IA. N’oubliez pas que le shadow IA reste l’enjeu numéro un des PME en 2026.
Étape 2 : Classer chaque usage selon les 4 niveaux de risque
Classez chaque outil dans l’un des 4 niveaux de risque vus plus haut. La majorité tombera en risque limité ou minimal. Soyez particulièrement vigilant sur les outils RH qui scorent ou trient des candidats, qui basculent en haut risque. Si vous n’êtes pas certain, EvalIA Act™ vous aide à définir votre niveau de risque selon vos usages.
Étape 3 : Mettre en place les mesures adaptées
Pour les outils à risque limité : vérifiez que vos chatbots annoncent clairement leur nature d’IA. Concernant les outils et usages IA à haut risque : supervision humaine systématique et documentation. Dans tous les cas, formez vos équipes et formalisez une charte IA interne.
Étape 4 : Documenter et tracer
Tenez un registre de vos outils IA : qui les utilise, pour quels usages, avec quelles mesures de supervision. Gardez une trace des formations IA dispensées auprès de vos équipes. En cas de contrôle, ce sont ces documents qui feront la différence entre une démarche démontrable et une parole en l’air.
Télécharger le Pack de mise en conformité IA Act
Téléchargez gratuitement notre kit complet de mise en conformité IA Act : checklist Excel, modèle de charte IA, questionnaire d’audit interne et fiche des 10 bonnes pratiques. Tout pour structurer votre démarche sans vous y reprendre à plusieurs fois.
Télécharger la Checklist IA Act
FAQ : les questions fréquentes sur l’IA Act
Vous avez compris l’essentiel de l’IA Act et vous savez par où commencer. Mais vous avez encore des questions ? Voici les réponses aux 5 questions que nous entendons le plus souvent en formation et en audit IA.
💬 L’IA Act remplace-t-il le RGPD ?
Non, les deux textes coexistent et se complètent. Le RGPD protège les données personnelles, l’IA Act encadre les systèmes IA. Dès que vous utilisez une IA qui traite des données personnelles, vous êtes soumis aux deux réglementations en parallèle. La meilleure façon de s’y retrouver : articuler les deux dans une charte IA interne unique.
💬 Mon entreprise est-elle concernée par l’IA Act si elle n’a que 10 salariés ?
Oui. Le règlement européen ne prévoit aucun seuil de taille. Une PME de 5 salariés est concernée au même titre qu’un grand groupe dès qu’elle utilise un outil IA dans son activité. Bonne nouvelle quand même : l’article 99.6 plafonne le montant des amendes au chiffre le plus faible entre le montant fixe et le pourcentage du CA.
💬 Faut-il désigner un référent IA dans mon entreprise ?
Ce n’est pas une obligation, mais c’est une bonne pratique fortement recommandée. Un référent IA centralise les usages IA, anime la conformité au quotidien et fait le lien avec votre DPO si vous en avez un. Cela évite aussi que la conformité soit l’affaire de personne.
💬 L’IA Act s’applique-t-il aux outils IA gratuits ?
Oui et c’est souvent l’angle sur lequel les entreprises se trompent souvent. L’IA Act ne distingue pas les outils payants des outils gratuits. Si vos équipes utilisent la version gratuite de ChatGPT, Claude ou Gemini dans le cadre professionnel, votre entreprise est officiellement déployeur d’IA avec les mêmes obligations qu’avec une licence payante.
💬 Comment prouver sa conformité à l’IA Act en cas de contrôle ?
En constituant un dossier de preuves : registre des outils IA utilisés, programme et attestations de formation, charte IA interne, captures d’écran des mentions de transparence sur vos chatbots, procédures de supervision humaine pour les usages à haut risque.
