AI Act européen : ce que vous devez savoir pour rester conforme

Entré en vigueur en août 2024 et s'appliquant progressivement jusqu'en 2026, l'AI Act européen est le premier cadre réglementaire mondial sur l'intelligence artificielle. Pour les entreprises qui utilisent des agents IA autonomes dans leurs opérations commerciales, la mise en conformité n'est plus une option : c'est une obligation légale avec des sanctions pouvant atteindre 35 millions d'euros ou 7 % du chiffre d'affaires mondial.

Le principe fondateur : une approche par niveau de risque

L'AI Act ne réglemente pas l'IA en bloc : il distingue quatre niveaux de risque, chacun associé à des obligations différentes. Comprendre dans quelle catégorie se situent vos agents est la première étape indispensable.

▸Risque inacceptable : IA interdites (manipulation subliminale, scoring social, reconnaissance faciale en temps réel dans les espaces publics)
▸Risque élevé : obligations strictes (systèmes de recrutement, crédit, infrastructure critique, éducation) — enregistrement obligatoire dans la base de données EU
▸Risque limité : obligations de transparence (chatbots, deepfakes) — l'utilisateur doit savoir qu'il interagit avec une IA
▸Risque minimal : aucune obligation spécifique (filtres anti-spam, jeux vidéo, IA de recommandation simple)

Vos agents IA entrent-ils dans la catégorie 'haut risque' ?

La question mérite un examen sérieux. Si votre agent IA influence des décisions ayant un impact significatif sur des personnes — accès à un service, conditions de prix personnalisées, sélection de candidats, gestion des réclamations — il peut être considéré à haut risque.

Cas concrets à haut risque

▸Agent de scoring client qui segmente vos prospects et décide qui reçoit une offre premium
▸Agent RH qui présélectionne des CV ou planifie des entretiens de manière autonome
▸Agent de crédit ou d'évaluation de solvabilité pour des offres de financement
▸Agent de tarification dynamique qui adapte les prix selon le profil utilisateur détecté
▸Agent de modération qui décide de bannir ou restreindre l'accès de comptes

Les obligations concrètes pour les systèmes à haut risque

1. Documentation technique et gestion des risques

Vous devez documenter précisément comment fonctionne votre agent : ses données d'entraînement, ses paramètres de décision, ses limites connues et les risques identifiés. Cette documentation doit être maintenue à jour et disponible pour les autorités de contrôle.

2. Traçabilité et journalisation

Chaque décision significative d'un agent à haut risque doit être enregistrée avec suffisamment de détail pour permettre une reconstitution a posteriori. Qui a décidé quoi, sur quelle base, à quel moment ? Cette exigence de logs structurés est souvent sous-estimée lors du déploiement d'agents.

3. Supervision humaine obligatoire

L'un des piliers de l'AI Act est le maintien d'un contrôle humain effectif sur les décisions à fort impact. Cela ne signifie pas qu'un humain doit valider chaque action, mais que des mécanismes permettant d'intervenir, de corriger ou d'arrêter le système doivent exister et être testés régulièrement.

4. Tests de robustesse et de précision

Vos agents à haut risque doivent être testés pour démontrer leur précision, leur robustesse face à des données inattendues et leur résistance aux tentatives de manipulation. Ces tests doivent être documentés et renouvelés lors de chaque mise à jour significative.

5. Transparence envers les utilisateurs

Les personnes affectées par des décisions automatisées doivent en être informées et, pour les décisions significatives, avoir le droit de demander une révision humaine. Cette exigence s'articule avec les droits existants du RGPD.

Le calendrier d'application

▸Août 2024 : Entrée en vigueur — interdiction des IA à risque inacceptable
▸Août 2025 : Application aux modèles d'IA à usage général (GPAI), dont les grands modèles de langage
▸Août 2026 : Application complète aux systèmes à haut risque — échéance critique pour votre mise en conformité
▸2027 : Extension aux systèmes IA embarqués dans des produits réglementés (dispositifs médicaux, équipements industriels)

« La conformité à l'AI Act n'est pas un frein à l'innovation : c'est le cadre qui rend l'innovation durable et crédible aux yeux de vos clients et partenaires. »
— Vincent DORANGE, AI CONSULTING

Par où commencer votre mise en conformité ?

1Inventoriez tous les systèmes IA utilisés dans votre entreprise, y compris les outils tiers qui intègrent de l'IA
2Classifiez-les selon les niveaux de risque de l'AI Act avec l'aide d'un expert si nécessaire
3Pour les systèmes à haut risque, engagez une démarche de documentation et de mise en place de la supervision humaine
4Nommez un responsable de la conformité IA dans votre organisation
5Évaluez votre gouvernance agentique globale avec le Score ACF® pour identifier vos lacunes prioritaires

Sanctions prévues

Les violations des obligations pour les systèmes à haut risque exposent à des amendes allant jusqu'à 15 millions d'euros ou 3 % du chiffre d'affaires mondial (le plus élevé des deux). Pour les violations les plus graves (utilisation d'IA interdites), les amendes montent à 35 millions d'euros ou 7 % du CA.

Définition : AI Act européen

L'AI Act (Règlement européen sur l'intelligence artificielle) est le premier cadre réglementaire mondial sur l'IA, entré en vigueur en août 2024. Il classe les systèmes IA en 4 niveaux de risque (inacceptable, élevé, limité, minimal) et impose des obligations proportionnelles. Les entreprises utilisant des systèmes à haut risque doivent se conformer pleinement d'ici août 2026.

よくある質問

Qu'est-ce que l'AI Act européen et à qui s'applique-t-il ?

L'AI Act est le premier règlement mondial sur l'intelligence artificielle, adopté par l'Union Européenne. Il s'applique à toute entreprise qui développe, déploie ou utilise des systèmes IA sur le territoire européen, quelle que soit sa nationalité. Les multinationales hors UE proposant des services à des utilisateurs européens sont également concernées.

Quelles sont les sanctions prévues par l'AI Act ?

L'AI Act prévoit des amendes graduées selon la gravité de l'infraction : jusqu'à 35 millions d'euros ou 7% du chiffre d'affaires mondial pour l'utilisation d'IA interdites, jusqu'à 15 millions d'euros ou 3% du CA pour les manquements aux obligations des systèmes à haut risque, et jusqu'à 7,5 millions d'euros ou 1,5% du CA pour les fausses déclarations.

Un agent IA de SAV est-il concerné par l'AI Act ?

Un agent SAV standard relève généralement du risque limité (obligation de transparence : l'utilisateur doit savoir qu'il parle à une IA). S'il influence des décisions significatives comme l'acceptation ou le refus de remboursements, la modération de comptes ou l'accès à des services, il peut basculer en risque élevé avec des obligations bien plus contraignantes.

Qu'est-ce qu'un système IA à haut risque selon l'AI Act ?

Un système IA à haut risque est un système dont les décisions ont un impact significatif sur des droits fondamentaux ou la sécurité des personnes. Cela inclut les systèmes de recrutement automatisé, d'évaluation de crédit, de tarification différenciée par profil, de modération de comptes, ou utilisés dans des infrastructures critiques. Ces systèmes doivent être enregistrés dans la base de données EU et respecter des obligations strictes de documentation, traçabilité et supervision humaine.

Quelle est la date limite pour se conformer à l'AI Act ?

L'application de l'AI Act est progressive : les IA à risque inacceptable sont interdites depuis août 2024, les obligations sur les modèles d'IA à usage général (comme les LLMs) s'appliquent depuis août 2025, et les obligations complètes pour les systèmes à haut risque entrent en vigueur en août 2026. Les entreprises doivent donc finaliser leur mise en conformité avant cette date.