Le règlement européen sur l'intelligence artificielle — l'EU AI Act — est entré en vigueur le 1er août 2024. Si certaines dispositions s'appliquaient dès février 2025 (interdictions absolues), d'autres entrent maintenant en force avec des délais de conformité qui expirent en 2026. Voici ce que votre entreprise doit concrètement faire — et ce qui vous expose à des sanctions pouvant atteindre 35 millions d'euros ou 7% du chiffre d'affaires mondial.
L'EU AI Act (Règlement UE 2024/1689) est la première réglementation mondiale contraignante sur l'intelligence artificielle. Il s'applique à toute entreprise qui développe, déploie ou utilise des systèmes d'IA dans l'Union européenne, quelle que soit sa localisation. Il classe les IA en 4 niveaux de risque (inacceptable, haut, limité, minimal) avec des obligations proportionnées à chaque niveau.
Les 4 niveaux de risque et leurs obligations
Niveau 1 — Risque inacceptable (interdit depuis février 2025)
Ces pratiques sont purement et simplement interdites :
- Systèmes de notation sociale par les pouvoirs publics
- Manipulation subliminale ou exploitation des vulnérabilités
- Reconnaissance faciale en temps réel dans les espaces publics (sauf exceptions sécurité nationale)
- Inférence des émotions en milieu professionnel et scolaire
- Profilage basé sur des données biométriques pour déduire race, opinion politique, religion
Ces interdictions s'appliquent depuis le 2 février 2025. Si votre entreprise utilise des systèmes entrant dans ces catégories, vous êtes en violation depuis plus d'un an.
Niveau 2 — IA à haut risque (obligations complètes dès août 2026)
Les IA à haut risque sont listées aux Annexes III et IV de l'EU AI Act. En contexte entreprise, les cas les plus fréquents sont :
- RH : recrutement automatisé, scoring de candidats, évaluation des performances
- Finance : scoring crédit, évaluation solvabilité
- Santé : aide au diagnostic médical, priorisation des soins
- Justice : évaluation de risque de récidive
- Éducation : évaluation automatisée des apprenants
- Infrastructures critiques : gestion d'eau, énergie, transport
Obligations pour les IA haut risque :
- Système de gestion des risques documenté et maintenu
- Données d'entraînement gouvernées (qualité, biais, représentativité)
- Documentation technique complète
- Journalisation automatique des événements (logs)
- Transparence et information des utilisateurs
- Supervision humaine obligatoire
- Robustesse et précision testées et documentées
- Enregistrement dans la base de données EU
Niveau 3 — IA à risque limité (obligations de transparence)
Tout système IA interagissant avec des humains doit être identifié comme tel. Concrètement :
- Les chatbots IA doivent informer l'utilisateur qu'il interagit avec une machine
- Les deepfakes et contenus synthétiques doivent être marqués comme tels
- Les systèmes de recommandation doivent être transparents sur leurs critères
Niveau 4 — IA à risque minimal (pas d'obligation spécifique)
Filtres anti-spam, jeux vidéo IA, outils de productivité basiques : pas d'obligations au-delà du droit commun.
Le calendrier des échéances 2025-2027
| Date | Obligation |
|---|---|
| 2 fév. 2025 | Interdictions absolues en vigueur — vérification immédiate requise |
| 2 août 2025 | Obligations de gouvernance et literacy IA pour le personnel |
| 2 août 2026 | Obligations complètes pour les IA à haut risque (Annexe III) |
| 2 août 2027 | Obligations pour les systèmes IA dans les produits réglementés (Annexe I) |
Ce que vous devez faire avant août 2026
Étape 1 — Cartographier vos systèmes IA
Inventoriez tous les systèmes IA utilisés dans votre organisation : développés en interne, achetés en SaaS, intégrés via API. Pour chacun, déterminez son niveau de risque EU AI Act. Ne sous-estimez pas les outils "grand public" utilisés en contexte professionnel — voir notre article sur le shadow AI.
Étape 2 — Évaluer la conformité actuelle
Pour chaque IA à haut risque identifiée, réalisez un gap analysis par rapport aux obligations listées ci-dessus. La checklist RGPD/NIS2 complète utilement cette démarche — les deux réglementations se recoupent sur plusieurs points.
Étape 3 — Former votre personnel
L'article 4 de l'EU AI Act impose aux fournisseurs et déployeurs de garantir un niveau suffisant de literacy IA à leur personnel. Cette obligation est en vigueur depuis août 2025. Votre plan de formation doit être documenté.
Étape 4 — Mettre en conformité ou remplacer
Pour les IA à haut risque non conformes, vous avez deux options : mettre en conformité votre système actuel (coûteux et complexe si c'est un outil tiers), ou le remplacer par une solution conçue nativement pour la conformité européenne. C'est l'un des avantages structurels d'une IA souveraine : elle est pensée dès le départ pour l'environnement réglementaire européen.
- ☐ Inventaire de tous les systèmes IA avec classification risque
- ☐ Vérification conformité aux interdictions absolues (fév. 2025)
- ☐ Plan de formation literacy IA documenté
- ☐ Documentation technique pour chaque IA haut risque
- ☐ Système de journalisation mis en place
- ☐ Procédure de supervision humaine définie
- ☐ Enregistrement dans la base EU si applicable
- ☐ DPO impliqué dans la gouvernance IA (synergies RGPD)
Pour aller plus loin sur la conformité réglementaire de vos outils IA, consultez notre guide complet RGPD, NIS2 et IA en entreprise.
Une IA conçue pour la conformité européenne
Intelligence Privée fournit la documentation EU AI Act, les logs réglementaires et l'architecture de supervision humaine intégrée.
Demander un audit de conformité →