- L'EU AI Act est entré en vigueur le 1er août 2024 avec application progressive jusqu'en 2027
- Les pratiques interdites sont applicables depuis le 2 février 2025
- Les obligations pour les systèmes à haut risque s'appliquent à partir d'août 2026
- La plupart des PME qui utilisent (et non développent) des outils IA sont dans la catégorie "faible risque" — obligations limitées
Qu'est-ce que l'EU AI Act ?
Le règlement (UE) 2024/1689, dit EU AI Act, est le premier cadre légal mondial complet sur l'intelligence artificielle. Adopté le 13 juin 2024 et publié au Journal officiel de l'UE le 12 juillet 2024, il s'applique à toute organisation qui développe, commercialise ou utilise des systèmes IA dans l'Union européenne.
L'EU AI Act repose sur une classification par niveau de risque : plus le risque est élevé, plus les obligations sont strictes. Cette approche proportionnelle est pensée pour éviter de bloquer l'innovation tout en protégeant les droits fondamentaux.
Le calendrier de mise en conformité
| Date | Ce qui entre en vigueur |
|---|---|
| 1er août 2024 | Entrée en vigueur du règlement — début des comptages de délais |
| 2 février 2025 | Interdictions applicables (pratiques IA interdites) |
| 2 août 2025 | Obligations pour modèles d'IA à usage général (GPAI) — ChatGPT, Claude, Gemini… |
| 2 août 2026 | Obligations pour systèmes IA à haut risque (Annexe III) |
| 2 août 2027 | Application complète + systèmes IA dans produits réglementés (Annexe I) |
Les 4 niveaux de risque
🔴 Niveau 1 — Risque inacceptable (interdit depuis fév. 2025)
Ces systèmes sont purement et simplement interdits dans l'UE :
- Surveillance biométrique de masse en temps réel dans les espaces publics
- Systèmes de notation sociale par des autorités publiques
- IA exploitant les vulnérabilités psychologiques (âge, handicap…)
- Manipulation subliminale du comportement
- Reconnaissance d'émotions en milieu professionnel ou scolaire (sauf médical)
- Catégorisation biométrique par origine ethnique, opinions politiques, religion
🟠 Niveau 2 — Haut risque (obligations strictes dès août 2026)
Systèmes IA utilisés dans des domaines à fort impact sur les personnes. Exemples listés à l'Annexe III :
- Infrastructures critiques (eau, énergie, transport)
- Éducation et formation (admission, évaluation)
- Emploi (sélection, évaluation de performance, licenciement)
- Services essentiels (crédit, assurance, évaluation des risques)
- Justice et application de la loi
- Immigration et contrôle aux frontières
- Administration démocratique (élections)
Si vous utilisez un outil IA pour sélectionner des candidats à un poste, évaluer la solvabilité de clients, ou prendre des décisions d'assurance, vous opérez dans la zone à haut risque. Préparez-vous aux obligations dès maintenant : documentation technique, tests de robustesse, supervision humaine.
🟡 Niveau 3 — Risque limité (obligations de transparence)
Ces systèmes ont des obligations légères de transparence :
- Chatbots IA : doivent s'identifier comme systèmes automatisés
- Deepfakes : doivent être étiquetés comme contenu généré par IA
- Recommandations automatisées : information des utilisateurs
Si vous déployez un chatbot IA sur votre site, indiquez clairement qu'il s'agit d'une IA. C'est déjà applicable.
🟢 Niveau 4 — Faible risque (aucune obligation spécifique)
La grande majorité des usages IA en PME sont ici : rédaction assistée, traduction, résumé de documents, génération d'images créatives, analyse de données internes. Aucune obligation spécifique AI Act, mais le RGPD s'applique toujours.
Obligations pour les modèles GPAI (dès août 2025)
Les modèles d'IA à usage général (GPAI) — ChatGPT, Claude, Gemini, Llama, Mistral — sont soumis à des obligations spécifiques depuis août 2025 :
| Obligation | Tous les GPAI | GPAI à risque systémique* |
|---|---|---|
| Documentation technique | ✅ | ✅ Renforcée |
| Politique d'utilisation acceptable | ✅ | ✅ |
| Résumé des données d'entraînement | ✅ | ✅ |
| Conformité droit d'auteur | ✅ | ✅ |
| Évaluation des risques systémiques | ❌ | ✅ |
| Tests adversariaux (red teaming) | ❌ | ✅ |
| Signalement incidents graves à la CE | ❌ | ✅ |
* GPAI à risque systémique = modèles entraînés avec plus de 10^25 FLOPs (GPT-4, Claude 3, Gemini Ultra…)
Votre position dans l'écosystème IA
L'EU AI Act distingue plusieurs rôles, avec des obligations différentes :
| Rôle | Définition | Obligations |
|---|---|---|
| Fournisseur | Développe et commercialise un système IA | Les plus élevées : marquage CE, documentation, enregistrement |
| Déployeur | Utilise un système IA dans un contexte professionnel | Supervision humaine, registre des utilisations à haut risque, information des personnes |
| Importateur | Commercialise un système IA d'un pays tiers dans l'UE | Vérifier la conformité du fournisseur |
| Distributeur | Met sur le marché un système IA sans le modifier | Vérifier le marquage CE |
La plupart des PME sont des déployeurs : elles utilisent des outils IA tiers (ChatGPT, Copilot, n8n…) sans les développer. C'est la catégorie avec les obligations les moins lourdes.
Ce que votre PME doit faire maintenant
Immédiatement (applicable)
- ✅ Identifier vos usages IA — listez tous les outils IA utilisés dans votre organisation
- ✅ Classifier le risque de chaque usage (inacceptable / haut / limité / faible)
- ✅ Arrêter les pratiques interdites si vous en avez (surveillance émotionnelle, notation sociale…)
- ✅ Étiqueter vos chatbots IA comme tels sur votre site/app
- ✅ Mettre à jour votre registre RGPD en incluant vos traitements IA (voir notre guide RGPD × IA)
D'ici août 2026
- 📋 Pour les usages à haut risque : préparer la documentation technique, mettre en place la supervision humaine, créer le registre des utilisations
- 📋 Nommer un responsable conformité IA interne ou externe
- 📋 Former les équipes sur les obligations AI Act
- 📋 Vérifier que vos fournisseurs IA sont eux-mêmes conformes
Les sanctions
| Type d'infraction | Sanction maximale |
|---|---|
| Utilisation de systèmes interdits | 35 M€ ou 7 % du CA mondial |
| Non-conformité systèmes à haut risque | 15 M€ ou 3 % du CA mondial |
| Informations incorrectes aux autorités | 7,5 M€ ou 1,5 % du CA mondial |
Pour les PME et micro-entreprises, le plafond est le montant le moins élevé. La Commission européenne a également indiqué que les PME de bonne foi en phase de mise en conformité seront traitées différemment des grands groupes.
Les bacs à sable réglementaires
L'EU AI Act prévoit des bacs à sable réglementaires (regulatory sandboxes) pour permettre aux PME de tester des systèmes IA innovants sous supervision, sans être exposées à toutes les sanctions. En France, la CNIL et l'ANSSI participent à leur mise en place. Contactez Bpifrance ou la CNIL pour les opportunités disponibles pour votre secteur.
FAQ — EU AI Act
L'EU AI Act remplace-t-il le RGPD ?
Non. L'EU AI Act et le RGPD sont deux réglementations distinctes et complémentaires. Le RGPD concerne la protection des données personnelles, l'EU AI Act concerne les systèmes d'intelligence artificielle. Les deux s'appliquent simultanément. La CNIL est l'autorité compétente pour les deux textes en France.
Si j'utilise un outil IA américain, suis-je soumis à l'EU AI Act ?
Oui. L'EU AI Act a une portée extraterritoriale : il s'applique dès lors que le système IA est utilisé dans l'UE, quel que soit l'origine du fournisseur. En pratique, les grands éditeurs US (OpenAI, Google, Microsoft, Anthropic) se mettent en conformité avec l'EU AI Act pour maintenir l'accès au marché européen.
Mon système de tri de CV avec IA est-il à haut risque ?
Presque certainement oui. L'Annexe III liste explicitement les systèmes IA utilisés pour le recrutement et la gestion des ressources humaines dans la catégorie "haut risque". Cela inclut le tri de CV, la présélection de candidats, et l'évaluation de performance. Des obligations strictes s'appliquent à partir d'août 2026 : documentation, tests, supervision humaine obligatoire.