Qu’est-ce que l’AI Act européen ?

L’intelligence artificielle est désormais intégrée au cœur des opérations, de la relation client et de la performance économique. Avec l’AI Act européen, l’Union européenne pose un cadre réglementaire structurant qui va profondément influencer la manière dont les entreprises conçoivent, déploient et gouvernent l’IA.

Ce règlement ne concerne pas uniquement les acteurs technologiques. Il s’adresse à toute organisation qui utilise de l’IA pour créer de la valeur, y compris à des fins commerciales, marketing, RH ou opérationnelles. Et comme pour le RGPD, son impact dépasse largement les frontières de l’Union européenne.

Pour les dirigeants, l’enjeu n’est pas de maîtriser chaque article du texte, mais de comprendre où se situent les risques, quelles responsabilités s’appliquent à leur organisation et quelles décisions doivent être prises dès maintenant.

Qu’est ce que l’AI Act Européen ?

L’AI Act Européen est le premier cadre réglementaire global dédié à l’intelligence artificielle. Son objectif est clair : encadrer les usages de l’IA en fonction de leur niveau de risque, afin de protéger les individus tout en préservant la capacité d’innovation des entreprises.

Contrairement à une approche uniforme, le règlement repose sur un principe simple et pragmatique : plus un système d’IA peut avoir un impact significatif sur les personnes, plus les exigences de gouvernance, de transparence et de contrôle sont élevées.

Le texte s’applique à toute organisation qui :

• met un système d’IA sur le marché européen,

• utilise de l’IA dans l’Union européenne,

• ou produit des résultats d’IA ayant un impact sur des personnes situées dans l’UE.

Autrement dit, être basé hors d’Europe ne constitue pas un facteur d’exemption.

1. Les usages interdits

Certains usages sont jugés incompatibles avec les droits fondamentaux et sont tout simplement prohibés. Il s’agit notamment de systèmes d’IA qui :

• manipulent ou exploitent des personnes vulnérables,

• mettent en place des mécanismes de notation sociale,

• utilisent certaines formes de biométrie ou d’inférence de caractéristiques sensibles sans base légale claire.

Pour les dirigeants, ces cas restent marginaux, mais ils impliquent un devoir de vigilance : un usage peut devenir non conforme sans que cela soit intentionnel.

2. Les systèmes à haut risque

Les systèmes dits « à haut risque » sont ceux qui influencent des décisions majeures concernant les individus : accès à l’emploi, au crédit, à l’éducation, à des services essentiels ou à la sécurité.

Ces systèmes restent autorisés, mais sous conditions strictes. Cela concerne par exemple :

• le recrutement et la gestion des talents,

• l’évaluation des risques financiers ou assurantiels,

• certaines automatisations de décisions clients,

• les systèmes intégrés à des produits réglementés.

Pour ces usages, l’AI Act introduit une logique de responsabilité structurée : documentation, supervision humaine, maîtrise des données, contrôle des performances et capacité à démontrer la conformité.

3. Les usages à risque limité

La majorité des usages courants de l’IA (recommandation, génération de contenu, chatbots, personnalisation) relèvent d’un risque plus faible, mais ne sont pas exempts d’obligations.

Le principal enjeu ici est la transparence : informer clairement lorsque l’IA est utilisée, identifier les contenus générés par l’IA et éviter toute ambiguïté vis-à-vis des utilisateurs ou des clients.

Qui est concerné au sein de l’entreprise ?

De manière générale, toute organisation qui développe, commercialise, déploie ou tire parti de systèmes d’IA utilisés dans l’UE (ou ayant un impact sur celle-ci) est concernée, qu’elle soit établie dans l’UE ou non.

Le règlement distingue plusieurs rôles, qu’une même organisation peut cumuler.

1. Les fournisseurs d’IA

Les fournisseurs sont les organisations qui développent des systèmes d’IA ou des modèles d’IA à usage général et les mettent sur le marché ou en service sous leur propre nom.

Cela inclut notamment :

• Les éditeurs de logiciels intégrant de l’IA

• Les entreprises qui adaptent ou affinent des modèles existants pour les proposer dans leur propre solution

• Les organisations qui intègrent de l’IA dans des produits matériels ou numériques

Les fournisseurs portent la charge de conformité la plus lourde, en particulier pour les systèmes à haut risque : gestion des risques, documentation technique, tests, suivi continu, etc.

Même si vous utilisez des modèles tiers, vous pouvez être considéré comme fournisseur si vous commercialisez une solution intégrant de l’IA.

2. Les utilisateurs (ou déployeurs) d’IA

Les déployeurs sont les organisations qui utilisent des systèmes d’IA dans leurs processus internes ou dans des cas d’usage orientés clients.

Cela concerne par exemple l’IA utilisée pour :

• Le recrutement ou l’analyse RH

• Les chatbots de service client

• La détection de fraude ou l’évaluation des risques

• La personnalisation, les recommandations ou la tarification dynamique

• La génération de contenus, la traduction ou l’enrichissement des données produits

Même si le système est acheté auprès d’un fournisseur, la responsabilité liée à son usage demeure.

3. Importateurs et distributeurs

Les organisations qui importent ou distribuent des systèmes d’IA dans l’UE ont également des obligations, notamment vérifier que les systèmes respectent les exigences de base et coopérer avec les autorités compétentes en cas de problème.

4. Fabricants intégrant de l’IA

Les fabricants qui intègrent de l’IA dans des produits physiques ou réglementés (électronique grand public, dispositifs médicaux, équipements industriels, systèmes automobiles, etc.) peuvent être assimilés à des fournisseurs d’IA et doivent respecter les obligations correspondantes.

5. Fournisseurs de modèles d’IA à usage général (GPAI)

L’AI Act introduit des obligations spécifiques pour les modèles d’IA à usage général, conçus pour être intégrés dans de nombreux cas d’usage en aval.

Ces fournisseurs doivent notamment répondre à des exigences de transparence et de documentation, en particulier lorsque le modèle présente un risque systémique lié à son échelle ou à ses capacités.

Quelles sont les principales exigences de l’AI Act ?

1. Pour les systèmes d’IA à haut risque (fournisseurs)

Les principales obligations incluent :

• Un système de gestion des risques sur l’ensemble du cycle de vie de l’IA

• Des exigences fortes en matière de gouvernance et de qualité des données

• Une documentation technique complète et des mécanismes de journalisation

• Des instructions claires à destination des utilisateurs

• La mise en place d’une supervision humaine

• Des niveaux appropriés de précision, de robustesse et de cybersécurité

2. Pour les systèmes d’IA à haut risque (utilisateurs)

Les utilisateurs doivent notamment :

• Utiliser le système conformément aux instructions, avec supervision humaine

• S’assurer de la pertinence des données d’entrée

• Surveiller le fonctionnement du système et réagir en cas de dérive

• Conserver des logs et coopérer avec les fournisseurs et autorités

3. Obligations de transparence

Selon les cas d’usage, il peut être nécessaire de :

• Informer les personnes qu’elles interagissent avec une IA

• Identifier clairement les contenus générés ou modifiés par l’IA

• Informer de l’utilisation de systèmes de reconnaissance émotionnelle ou biométrique

4. Modèles d’IA à usage général (GPAI)

Les fournisseurs de GPAI doivent notamment :

• Maintenir une documentation technique détaillée

• Fournir des informations aux acteurs en aval

• Mettre en place une politique de respect du droit d’auteur

• Publier un résumé public des données d’entraînement (selon les exigences du texte)

Quelles sanctions en cas de non-conformité ?

Les sanctions prévues sont dissuasives :

• Jusqu’à 35 M€ ou 7 % du chiffre d’affaires mondial annuel pour les pratiques interdites

• Jusqu’à 15 M€ ou 3 % pour le non-respect des obligations clés

• Jusqu’à 7,5 M€ ou 1 % pour la transmission d’informations incorrectes ou trompeuses

À cela s’ajoutent des mesures correctives, des restrictions d’usage et un risque réputationnel important.

Quand l’AI Act entre-t-il en application ?

Le déploiement est progressif :

• 2 février 2025 : interdictions et dispositions générales

• 2 août 2025 : règles applicables aux modèles GPAI

• 2 août 2026 : application de la majorité des obligations (dont les systèmes à haut risque)

• 2 août 2027 : règles applicables aux systèmes à haut risque intégrés dans des produits réglementés

Comment se préparer à l’AI Act européen ?

La préparation ne passe pas par un gel de l’innovation, mais par une meilleure visibilité et une gouvernance structurée.

1. Recenser tous les usages de l’IA, y compris les plus “discrets”

2. Classer chaque cas d’usage par niveau de risque et clarifier son rôle (fournisseur, utilisateur, importateur)

3. Mettre en place une gouvernance IA claire, transverse et documentée

4. Opérationnaliser la transparence et la supervision humaine

5. Renforcer la gestion des fournisseurs et partenaires IA

La conformité est un processus continu. Les organisations qui s’y engagent tôt seront mieux armées pour répondre aux exigences réglementaires sans freiner leurs projets.

Conclusion

L’AI Act est ambitieux, mais aussi très structurant d’un point de vue opérationnel. Si vous êtes capable d’identifier vos systèmes d’IA, d’évaluer les risques, de documenter vos choix et de mettre en place une gouvernance claire, vous êtes déjà sur la bonne voie.

Pour aller plus loin, vous pouvez consulter le rapport Gartner®, Getting Ready for the EU AI Act, Phase 1: Discover & Catalog.

Gartner, Getting Ready for the EU AI Act, Phase 1: Discover & Catalog, Nader Henein, Gabriele Rigon, 28 October 2025. 

Gartner is a trademark of Gartner, Inc. and/or its affiliates.