L'AI Act : ce que la loi européenne sur l'intelligence artificielle change concrètement pour vous

L'AI Act, c'est quoi exactement ?

Le règlement européen sur l'intelligence artificielle, officiellement baptisé Artificial Intelligence Act (AI Act), est entré en vigueur le 1er août 2024. Il s'agit de la première législation générale et complète au monde dédiée à l'encadrement de l'IA. Un texte historique, mais aussi complexe — dont l'application se déroule progressivement jusqu'en 2027.

Son objectif est double : protéger les droits fondamentaux des citoyens européens face aux risques que peuvent poser certains systèmes d'IA, tout en laissant suffisamment de marge pour que l'innovation puisse prospérer. Ce n'est pas un texte anti-IA. C'est un texte qui cherche à fixer des règles du jeu communes dans un espace où, jusqu'ici, chacun faisait à peu près ce qu'il voulait.

Concrètement, l'AI Act s'applique à toute organisation — entreprise, administration, association — qui fournit, importe, distribue ou déploie des systèmes d'IA sur le marché européen. Peu importe où elle est basée dans le monde. Un éditeur américain dont le produit IA est utilisé en France est donc concerné au même titre qu'une start-up parisienne. C'est la même logique extraterritoriale que le RGPD.

Une logique fondée sur les niveaux de risque

Le cœur de l'AI Act repose sur une idée simple : toutes les IA ne présentent pas le même danger. Plutôt que d'imposer les mêmes contraintes à un filtre anti-spam et à un système de reconnaissance faciale utilisé par la police, le règlement classe les systèmes d'IA en quatre catégories selon leur niveau de risque.

Risque inacceptable : l'interdiction pure et simple

Certaines applications sont jugées si dangereuses pour les droits fondamentaux qu'elles sont purement et simplement bannies du marché européen. Ces interdictions sont en vigueur depuis le 2 février 2025. Elles concernent notamment la manipulation comportementale par des techniques subliminales, le scoring social (c'est-à-dire le fait de classer les individus selon leur comportement pour leur accorder ou refuser des droits, à la manière de certains systèmes utilisés en Chine), ou encore la reconnaissance d'émotions sur les lieux de travail et dans les établissements scolaires.

Risque élevé : des obligations renforcées

Les systèmes d'IA à haut risque sont autorisés, mais soumis à des exigences strictes avant leur mise sur le marché : gestion documentée des risques, qualité des données d'entraînement, traçabilité, supervision humaine obligatoire, évaluation de conformité. Cette catégorie regroupe notamment les IA utilisées dans le recrutement, l'éducation, la justice, la santé, le crédit bancaire ou encore le contrôle aux frontières.

Risque limité : la transparence avant tout

Pour les systèmes présentant un risque limité — chatbots, générateurs d'images, deepfakes — l'obligation principale est d'informer les utilisateurs qu'ils interagissent avec une intelligence artificielle. Si votre site utilise un assistant virtuel, vous devez l'indiquer clairement. Les contenus générés par IA destinés au public doivent également être étiquetés comme tels.

Risque minimal : pas d'obligation spécifique

La très grande majorité des systèmes d'IA actuellement utilisés dans les entreprises européennes — filtres anti-spam, outils de recommandation, jeux vidéo, traitement de texte assisté — entrent dans cette catégorie et ne sont soumis à aucune obligation spécifique. Les fournisseurs peuvent néanmoins adopter volontairement des codes de conduite.

Ce qui est interdit depuis février 2025

Depuis le 2 février 2025, huit pratiques d'IA sont formellement interdites sur le territoire de l'Union européenne. Les voici explicitées simplement :

• La manipulation comportementale : tout système qui exploite des mécanismes psychologiques inconscients pour influencer les décisions d'une personne à son insu et à son détriment.
• L'exploitation des vulnérabilités : cibler des personnes fragiles (âge, handicap, précarité) pour infléchir leur comportement de façon nuisible.
• Le scoring social : évaluer et classer les individus sur la base de leur comportement social ou de traits personnels pour leur accorder ou refuser des droits ou opportunités.
• La police prédictive individuelle : évaluer le risque qu'une personne commette une infraction en se basant uniquement sur son profil ou sa personnalité, sans lien avec des faits objectifs.
• La constitution de bases de données biométriques par moissonnage non ciblé : aspirer massivement des images de visages depuis internet ou des flux vidéo pour alimenter des bases de reconnaissance faciale.
• La reconnaissance d'émotions au travail et à l'école : interdite sauf à des fins médicales ou de sécurité clairement définies.
• La catégorisation biométrique sensible : inférer automatiquement la race, les opinions politiques, l'orientation sexuelle ou les croyances religieuses d'une personne à partir de données biométriques.
• L'identification biométrique en temps réel dans les espaces publics : les forces de l'ordre ne peuvent y recourir que dans des cas extrêmement limités et encadrés (recherche de personnes disparues, prévention d'attaque terroriste imminente, identification de suspects de crimes graves).

Ces interdictions sont assorties des sanctions les plus lourdes du règlement : jusqu'à 35 millions d'euros d'amende ou 7 % du chiffre d'affaires mondial annuel de l'entreprise, le montant le plus élevé étant retenu.

Les systèmes d'IA à haut risque : qui est concerné ?

C'est la partie du règlement qui concerne le plus grand nombre d'entreprises. Un système d'IA à haut risque est un système dont les décisions peuvent avoir un impact significatif sur la vie des personnes dans des domaines sensibles. L'AI Act en liste plusieurs catégories précises :

• Biométrie : systèmes de reconnaissance faciale, de catégorisation biométrique ou de reconnaissance d'émotions non interdits mais fortement encadrés.
• Infrastructures critiques : IA gérant la sécurité de réseaux d'eau, d'électricité, de gaz ou de trafic routier.
• Éducation et formation : systèmes déterminant l'accès à des établissements, évaluant les apprenants ou surveillant les examens.
• Emploi et RH : outils de présélection de CV, d'analyse de candidatures, de surveillance des performances ou de décision sur les promotions et licenciements.
• Services publics et financiers essentiels : IA évaluant l'éligibilité à des aides sociales, calculant un score de crédit, triant des appels d'urgence ou fixant les primes d'assurance santé.
• Justice et processus démocratiques : IA utilisées dans l'interprétation des faits juridiques, l'arbitrage ou susceptibles d'influencer des votes ou des élections.
• Immigration et contrôle aux frontières : systèmes évaluant les demandes de visa, d'asile ou de titre de séjour.

Pour tous ces systèmes, les fournisseurs doivent mettre en place une gestion documentée des risques, garantir la qualité et la représentativité des données d'entraînement, produire une documentation technique complète, permettre la supervision humaine et réaliser une évaluation de conformité avant mise sur le marché. Les obligations s'appliquent pleinement à partir d'août 2026.

Les modèles d'IA à usage général (GPAI) : ChatGPT, Gemini, Mistral…

L'AI Act crée une catégorie spécifique pour les modèles d'IA à usage général, désignés par l'acronyme GPAI (General Purpose AI). Ce sont des modèles capables d'accomplir un très grand nombre de tâches différentes — exactement comme ChatGPT, Gemini, Mistral, Claude ou Grok. Ils sont difficiles à classer dans les catégories de risque classiques, car leur usage n'est pas prédéfini à l'avance.

Tous les fournisseurs de modèles GPAI sont soumis à des obligations minimales depuis août 2025 : fournir une documentation technique, informer les opérateurs en aval qui intègrent le modèle dans leurs propres produits, respecter la directive européenne sur le droit d'auteur, et publier un résumé des données utilisées pour l'entraînement.

Les modèles à risque systémique : un niveau de vigilance supérieur

Certains modèles sont considérés comme présentant un risque systémique, c'est-à-dire un danger potentiel pour l'ensemble de la société, en raison de leur puissance de calcul, de leur sophistication ou de leur diffusion massive. Le seuil retenu par le règlement est technique : un entraînement mobilisant plus de 10²⁵ opérations en virgule flottante — ce qui correspond aujourd'hui aux modèles les plus puissants de la planète comme GPT-4 ou Gemini Ultra.

Pour ces modèles, les obligations sont renforcées : évaluations de sécurité obligatoires (y compris des tests adversariaux — c'est-à-dire des attaques délibérées pour identifier les failles du modèle), signalement des incidents graves à l'Office européen de l'IA, et mesures de cybersécurité renforcées. Depuis août 2025, un code de bonnes pratiques a été publié par la Commission européenne pour aider les acteurs à se mettre en conformité.

Le calendrier d'application : ce qui entre en vigueur et quand

L'une des particularités de l'AI Act est son déploiement progressif. Contrairement à un texte dont toutes les dispositions s'appliquent du jour au lendemain, le règlement laisse aux acteurs le temps de s'adapter — mais ce temps se compte désormais en mois, pas en années.

• 1er août 2024 : entrée en vigueur du règlement. Le texte est officiel, mais peu d'obligations s'appliquent encore immédiatement.
• 2 février 2025 : interdiction des pratiques d'IA à risque inacceptable. C'est la première échéance concrète pour les entreprises.
• 2 août 2025 : application des règles sur les modèles GPAI. Désignation des autorités nationales compétentes dans chaque État membre. Entrée en vigueur de l'obligation de littératie IA, c'est-à-dire l'obligation pour les fournisseurs de s'assurer que leurs équipes ont les compétences nécessaires pour utiliser l'IA de manière responsable.
• 2 août 2026 : application complète des règles pour les systèmes d'IA à haut risque de l'annexe III (biométrie, emploi, éducation, justice, etc.). Mise en place obligatoire de bacs à sable réglementaires dans chaque État membre — des environnements contrôlés permettant aux entreprises de tester leurs innovations sous supervision réglementaire.
• 2 août 2027 : application aux systèmes à haut risque intégrés dans des produits réglementés (dispositifs médicaux, jouets, équipements radio, véhicules agricoles, etc.).

L'échéance d'août 2026 est aujourd'hui la plus stratégique pour la majorité des entreprises qui utilisent des outils d'IA dans leurs processus RH, de crédit, d'accès aux services ou de formation.

En France, qui surveille quoi ? La CNIL aux commandes

L'AI Act prévoit que chaque État membre désigne ses propres autorités nationales compétentes. En France, la CNIL (Commission nationale de l'informatique et des libertés) a été choisie comme autorité centrale pour la supervision de l'AI Act, notamment via un amendement au projet de loi DDADUE adopté début 2025.

Ce choix n'est pas anodin. La CNIL dispose déjà d'une expertise solide en matière de protection des données, d'un réseau d'agents de contrôle rodés au RGPD et d'une légitimité reconnue auprès des entreprises et du grand public. Confier l'AI Act à une institution qui maîtrise déjà la régulation des données crée une cohérence naturelle : la plupart des systèmes d'IA à haut risque traitent des données personnelles. Un seul interlocuteur pour les deux règlements, c'est une simplification bienvenue.

Mais la CNIL n'est pas seule. Selon le type de système d'IA en jeu, d'autres autorités sectorielles interviennent :

• L'ANSSI : l'Agence nationale de la sécurité des systèmes d'information intervient sur les aspects de cybersécurité liés aux systèmes d'IA.
• La HAS : la Haute Autorité de Santé supervise les systèmes d'IA utilisés dans le domaine médical.
• L'ARCOM : l'Autorité de régulation de la communication audiovisuelle et numérique est mobilisable pour les contenus numériques et les deepfakes.
• L'ACPR : l'Autorité de contrôle prudentiel et de résolution intervient pour les systèmes d'IA dans la finance et l'assurance.
• La DGCCRF et la DGE : la Direction générale de la concurrence, de la consommation et de la répression des fraudes coordonne les autorités de surveillance du marché. La Direction générale des entreprises assure la représentation de la France au Comité européen de l'IA.

Au niveau européen, un Bureau de l'IA (AI Office) a été créé au sein de la Commission européenne. Il surveille les grands modèles GPAI, coordonne les autorités nationales et peut conduire ses propres évaluations en cas de risque systémique avéré.

Ce que ça change concrètement pour les entreprises françaises

Pour beaucoup d'entreprises françaises, l'AI Act est encore perçu comme un texte abstrait réservé aux juristes. C'est une erreur. Voici ce que le règlement implique très concrètement selon votre situation.

Vous utilisez un chatbot sur votre site

Votre outil relève de la catégorie risque limité. L'obligation principale est simple : informer clairement les visiteurs qu'ils interagissent avec une IA, pas avec un humain. Si votre chatbot participe à des décisions importantes (octroi de crédit, évaluation de candidature), la classification monte automatiquement vers le haut risque.

Vous recrutez avec des outils d'IA

Les outils de présélection de CV ou d'analyse automatisée des candidatures sont classés à haut risque. À partir d'août 2026, ils devront faire l'objet d'une évaluation de conformité, d'une documentation des risques et d'une supervision humaine réelle dans le processus de décision.

Vous utilisez des outils d'IA générative comme ChatGPT, Gemini ou Mistral

En tant qu'entreprise qui déploie (utilise) ces modèles, vos obligations sont légères pour l'instant. En revanche, si vous construisez des produits à partir de ces modèles et les mettez sur le marché, vous endossez un rôle de fournisseur avec des obligations plus conséquentes. Si votre application finale relève du haut risque, vous devez vous assurer que le modèle sous-jacent vous fournit la documentation nécessaire pour votre propre conformité.

Vous êtes une PME ou une start-up IA

L'AI Act a été conçu avec une attention particulière aux petites structures. Les bacs à sable réglementaires — des environnements de test supervisés par les autorités, accessibles gratuitement en priorité aux PME — permettent de tester ses produits en conditions réelles sans s'exposer immédiatement aux sanctions. La France devra en déployer au moins un d'ici août 2026. C'est une vraie opportunité pour les start-ups qui développent des IA à haut risque de tester leur conformité avant commercialisation.

Les sanctions à connaître

Les amendes prévues par l'AI Act dépassent celles du RGPD sur les catégories les plus graves. Pour une violation des pratiques interdites : jusqu'à 35 millions d'euros ou 7 % du chiffre d'affaires mondial. Pour les manquements aux obligations des systèmes à haut risque : 15 millions d'euros ou 3 % du CA mondial. Pour des informations incorrectes fournies aux autorités : 7,5 millions d'euros ou 1 % du CA mondial.

L'AI Act, frein ou levier pour l'innovation européenne ?

Le débat est vif. D'un côté, certains acteurs du secteur estiment que les obligations réglementaires créent une charge administrative supplémentaire qui pénalise les entreprises européennes face à des concurrents américains ou chinois qui jouent dans un cadre beaucoup plus permissif. De l'autre, une conformité documentée peut devenir un avantage concurrentiel : les entreprises capables de prouver que leurs systèmes d'IA sont transparents, robustes et respectueux des droits fondamentaux gagnent en confiance auprès de leurs clients, partenaires et investisseurs.

L'Europe a d'ailleurs conscience de la tension entre régulation et compétitivité. En novembre 2025, la Commission européenne a proposé des modifications ciblées de l'AI Act dans le cadre d'un train de mesures de simplification numérique, pour alléger certaines contraintes jugées disproportionnées. Le plan d'action pour le continent de l'IA, lancé en avril 2025, vise parallèlement à renforcer les infrastructures de données et à favoriser l'adoption de l'IA dans les PME et les secteurs publics.

La France, de son côté, dispose d'un atout : Mistral AI, le champion européen des modèles de langage ouverts, est à la fois soumis au règlement en tant que fournisseur GPAI et potentiellement bien positionné pour bénéficier d'un cadre de confiance qui distingue les acteurs sérieux des opérateurs opaques.

Conclusion : anticiper plutôt que subir

L'AI Act n'est pas une contrainte lointaine réservée aux grandes entreprises technologiques. C'est un texte qui touche dès aujourd'hui toute organisation qui utilise, déploie ou développe des systèmes d'intelligence artificielle en Europe — y compris les PME, les artisans numériques, les agences et les administrations.

Les premières interdictions sont déjà en vigueur depuis février 2025. Les obligations pour les systèmes à haut risque entrent en application en août 2026. Le calendrier avance, et les entreprises qui anticipent leur mise en conformité maintenant se donnent le temps de le faire dans de bonnes conditions, sans stress et sans risque de sanction.

La première étape est simple : faire l'inventaire des systèmes d'IA utilisés dans votre organisation, évaluer leur niveau de risque selon la classification du règlement, et identifier les obligations qui s'appliquent à chacun d'entre eux. Une démarche structurée, menée sereinement, est toujours préférable à une mise en conformité en urgence sous pression réglementaire.