
The EU Artificial Intelligence Act : https://artificialintelligence...
L’intelligence artificielle est déjà présente dans la majorité des entreprises, parfois sans même qu’elles en aient pleinement conscience.
ChatGPT, assistants de rédaction, création d’images, automatisation marketing, ciblage publicitaire, analyse de données, chatbots, outils de recrutement : les usages se multiplient rapidement.
Mais à mesure que l’intelligence artificielle s’installe dans les pratiques professionnelles, une nouvelle question apparaît :
Comment utiliser l’IA efficacement sans exposer l’entreprise, ses collaborateurs ou ses clients à des risques inutiles ?
C’est précisément l’objectif de l’AI Act, le règlement européen sur l’intelligence artificielle.
Ce texte constitue le premier cadre juridique complet consacré à l’IA. Il vise à favoriser une intelligence artificielle digne de confiance tout en protégeant les droits fondamentaux des citoyens. (Stratégie numérique Europe)
Pour les entreprises, l’enjeu n’est donc plus simplement de savoir comment adopter l’IA. Il faut désormais apprendre à l’utiliser de manière organisée, transparente et responsable.
Qu’est-ce que l’AI Act ?
L’AI Act est un règlement de l’Union européenne qui encadre le développement, la commercialisation et l’utilisation des systèmes d’intelligence artificielle.
Sa logique rappelle en partie celle du RGPD : les obligations imposées à une organisation dépendent du niveau de risque que son utilisation de la technologie peut faire peser sur les personnes.
Le texte distingue ainsi plusieurs catégories de systèmes d’IA, allant des usages courants présentant peu de risques aux usages pouvant avoir des conséquences importantes sur la vie d’une personne.
L’objectif n’est pas d’interdire l’intelligence artificielle. Il est d’empêcher certaines pratiques dangereuses et d’imposer des garde-fous lorsque l’IA intervient dans des domaines sensibles.
Les quatre niveaux de risque prévus par l’AI Act
1. Les usages présentant un risque inacceptable
Certaines pratiques sont considérées comme incompatibles avec les valeurs et les droits fondamentaux européens.
Elles peuvent notamment concerner certaines formes :
- de manipulation des comportements ;
- de notation sociale ;
- d’exploitation de personnes vulnérables ;
- d’identification biométrique dans des situations strictement encadrées.
Les premières interdictions prévues par l’AI Act sont applicables depuis le 2 février 2025. (Stratégie numérique Europe)
Pour la majorité des PME, ces usages ne constituent pas le principal sujet de préoccupation. Mais ils montrent clairement la philosophie du règlement : plus l’IA peut influencer fortement une personne, plus son utilisation doit être contrôlée.
2. Les systèmes d’IA à haut risque
Cette catégorie concerne les systèmes susceptibles d’avoir un impact important sur les droits, les opportunités ou la sécurité d’une personne.
Cela peut notamment concerner certains outils utilisés pour :
- sélectionner ou évaluer des candidats ;
- prendre des décisions relatives au crédit ;
- évaluer des élèves ou des étudiants ;
- gérer l’accès à certains services essentiels ;
- assister des décisions judiciaires ou administratives ;
- faire fonctionner des dispositifs médicaux, des machines ou certains produits réglementés.
Ces systèmes devront respecter des obligations renforcées : gestion des risques, documentation, qualité des données, traçabilité, contrôle humain et suivi des performances.
La Commission européenne a publié en juillet 2026 des lignes directrices afin d’aider les fournisseurs et les entreprises utilisatrices à déterminer si leurs systèmes relèvent de la catégorie « haut risque ». (Stratégie numérique Europe)
3. Les systèmes présentant un risque limité
Cette catégorie concerne directement de nombreux usages digitaux.
Elle couvre notamment certaines situations dans lesquelles une personne interagit avec une IA ou consulte un contenu artificiellement généré ou manipulé.
Les entreprises devront donc porter une attention particulière :
- aux chatbots installés sur leurs sites Internet ;
- aux deepfakes ;
- à certains contenus générés par l’IA ;
- aux outils simulant une interaction humaine ;
- aux contenus pouvant induire le public en erreur sur leur origine.
Les principales obligations de transparence prévues par l’article 50 de l’AI Act deviennent applicables le 2 août 2026. Elles portent notamment sur l’identification et l’étiquetage de certains contenus générés ou manipulés par l’intelligence artificielle. (Stratégie numérique Europe)
Cela ne signifie pas que chaque phrase reformulée avec ChatGPT devra porter une énorme étiquette « fabriqué par une machine ». La réalité est plus nuancée. Les obligations dépendent du type de contenu, de son utilisation et du risque de tromper le public.
4. Les systèmes présentant un risque minimal
La majorité des outils professionnels devraient relever de cette catégorie.
Il peut s’agir, par exemple :
- d’un assistant de rédaction ;
- d’un filtre antispam ;
- d’un outil de synthèse ;
- d’une recommandation de produits ;
- d’une automatisation interne ;
- d’une assistance à l’analyse de données.
L’AI Act ne prévoit généralement pas de contraintes lourdes pour ces usages.
Pour autant, « risque minimal » ne veut pas dire « liberté totale ». Le RGPD, la confidentialité, le droit d’auteur, la cybersécurité et les engagements contractuels continuent naturellement de s’appliquer.
Une entreprise peut donc utiliser un outil présentant peu de risques au sens de l’AI Act, tout en prenant une très mauvaise décision en lui transmettant le fichier complet de ses clients. La technologie n’est parfois pas dangereuse ; le copier-coller enthousiaste, lui, peut l’être.
Votre entreprise est-elle fournisseur ou utilisatrice d’un système d’IA ?
L’AI Act distingue notamment deux rôles.
Le fournisseur d’un système d’IA
Le fournisseur est l’organisation qui développe un système d’intelligence artificielle ou le commercialise sous son propre nom.
Il peut s’agir :
- d’un éditeur de logiciel ;
- d’une entreprise développant son propre outil ;
- d’un acteur modifiant profondément un modèle existant ;
- d’une organisation proposant une solution d’IA à ses clients.
Les obligations du fournisseur sont généralement plus importantes, puisqu’il est responsable de la conception et de la mise à disposition du système.
Le déployeur ou utilisateur professionnel
Le déployeur est l’organisation qui utilise un système d’IA dans le cadre de son activité.
C’est le cas de la grande majorité des entreprises.
Une entreprise devient ainsi utilisatrice professionnelle lorsqu’elle emploie l’IA pour :
- produire des contenus marketing ;
- automatiser certaines réponses clients ;
- analyser ses données commerciales ;
- personnaliser ses publicités ;
- classer des demandes ;
- aider ses équipes à recruter ;
- assister certaines décisions.
La plupart des clients accompagnés par WSI ne développent pas leurs propres modèles d’intelligence artificielle. Ils utilisent des solutions créées par d’autres. Ils doivent néanmoins connaître leurs usages et respecter les obligations qui correspondent à leur situation.
L’AI Act concerne-t-il les entreprises de Martinique, de Guadeloupe et de Guyane ?
Oui.
Les entreprises françaises utilisant des systèmes d’intelligence artificielle dans leurs activités sont concernées par le cadre européen, qu’elles soient implantées en France hexagonale, en Martinique, en Guadeloupe ou en Guyane.
Le règlement vise le développement, la mise sur le marché et l’utilisation de systèmes d’intelligence artificielle dans l’Union européenne. (EUR-Lex)
Une entreprise locale ne doit donc pas considérer l’AI Act comme un sujet réservé aux grands groupes technologiques européens.
Un commerce, un cabinet de recrutement, une agence immobilière, un organisme de formation ou une compagnie d’assurance peuvent être concernés dès lors qu’ils utilisent l’IA dans leurs opérations.
Les dates essentielles à retenir
L’application de l’AI Act est progressive.
Depuis le 2 février 2025
Certaines pratiques interdites sont désormais encadrées. Les organisations doivent également prendre des mesures pour assurer un niveau suffisant de maîtrise de l’IA parmi les collaborateurs qui utilisent ces systèmes pour leur compte. (Stratégie numérique Europe)
Cette obligation de sensibilisation est souvent sous-estimée.
Mettre ChatGPT ou Microsoft Copilot à disposition des équipes sans expliquer les règles de confidentialité, les limites des résultats ou les usages autorisés ne constitue plus une approche sérieuse.
Depuis le 2 août 2025
Les principales obligations concernant les fournisseurs de modèles d’intelligence artificielle à usage général sont entrées en application. Cela concerne surtout les entreprises qui développent ou fournissent les grands modèles sur lesquels reposent de nombreuses solutions d’IA. (Stratégie numérique Europe)
À partir du 2 août 2026
La majorité des autres dispositions du règlement deviennent applicables, notamment plusieurs obligations relatives à la transparence des systèmes et des contenus générés par l’IA. (Stratégie numérique Europe)
À partir de 2027 et 2028
Certaines obligations relatives aux systèmes à haut risque intégrés à des produits réglementés bénéficient de calendriers d’application spécifiques.
Cette progressivité ne doit toutefois pas devenir un prétexte pour attendre le dernier moment. Un inventaire sérieux des usages de l’IA ne se réalise pas la veille d’une échéance réglementaire, entre deux réunions et un café de mauvaise qualité.
Quelles sanctions en cas de non-respect ?
Les sanctions prévues par l’AI Act peuvent être importantes.
Pour certaines violations particulièrement graves, notamment l’utilisation de pratiques interdites, les amendes peuvent atteindre jusqu’à :
- 35 millions d’euros ;
- ou 7 % du chiffre d’affaires annuel mondial total de l’entreprise, lorsque ce montant est supérieur.
D’autres manquements peuvent être sanctionnés jusqu’à 15 millions d’euros ou 3 % du chiffre d’affaires mondial, selon leur nature et les circonstances. Le règlement prévoit cependant une appréciation proportionnée tenant compte, entre autres, de la taille de l’organisation et de la gravité de la violation. (EUR-Lex)
Pour une PME, le risque le plus immédiat n’est cependant pas nécessairement l’amende maximale.
Les conséquences les plus probables sont souvent :
- une fuite de données confidentielles ;
- une mauvaise décision fondée sur une réponse erronée ;
- une atteinte à l’image de l’entreprise ;
- une perte de confiance des clients ;
- une utilisation non autorisée de contenus protégés ;
- une incapacité à expliquer comment une décision a été prise.
Les cinq actions à engager dans votre entreprise
1. Recenser les outils utilisés
La première étape consiste à dresser un inventaire réel des usages de l’intelligence artificielle.
Il faut identifier :
- les outils officiellement déployés ;
- les solutions intégrées aux logiciels existants ;
- les outils utilisés individuellement par les collaborateurs ;
- les données qui leur sont transmises ;
- les résultats produits ;
- les décisions éventuellement influencées par ces outils.
Cet inventaire réserve souvent quelques surprises. L’IA entre rarement dans l’entreprise avec une fanfare et une note de service. Elle arrive plutôt discrètement, avec un salarié qui a trouvé « un petit outil très pratique ».
2. Identifier les usages sensibles
Tous les usages ne présentent pas le même niveau de risque.
Une attention particulière doit être portée aux systèmes utilisés pour :
- recruter ou évaluer des personnes ;
- attribuer un crédit ou un avantage ;
- réaliser du profilage ;
- exploiter des données biométriques ;
- influencer une décision importante ;
- traiter des données personnelles ou confidentielles.
Ces usages nécessitent une analyse plus approfondie et, dans certains cas, l’intervention d’un conseil juridique ou d’un délégué à la protection des données.
3. Former les collaborateurs
L’AI Act impose déjà aux fournisseurs et aux déployeurs de systèmes d’IA de prendre des mesures pour garantir un niveau approprié de maîtrise de l’IA chez les personnes qui utilisent ces outils pour leur compte. (Stratégie numérique Europe)
La formation doit notamment permettre aux équipes de comprendre :
- ce qu’elles peuvent transmettre à une IA ;
- comment vérifier les réponses ;
- les risques d’erreur ou d’hallucination ;
- les règles relatives aux données personnelles ;
- la nécessité d’une validation humaine ;
- les limites des différents outils.
Demander simplement aux salariés de lire les conditions générales d’utilisation ne sera généralement pas suffisant. La Commission européenne recommande une approche adaptée aux connaissances des équipes, au contexte et aux risques des systèmes employés. (Stratégie numérique Europe)
4. Mettre en place une charte d’utilisation de l’IA
Une charte interne permet de fixer des règles simples et compréhensibles.
Elle peut notamment préciser :
- les outils autorisés ;
- les données qu’il est interdit de partager ;
- les usages nécessitant une validation ;
- les responsabilités des collaborateurs ;
- les règles de contrôle humain ;
- les modalités de signalement d’un incident ;
- les exigences de transparence envers les clients.
La charte ne doit pas devenir un document de 84 pages que personne ne lira. Son utilité dépend de sa clarté et de sa capacité à guider les décisions quotidiennes.
5. Contrôler les outils visibles par les clients
Les entreprises doivent également examiner leurs dispositifs digitaux :
- le chatbot indique-t-il clairement qu’il s’agit d’une intelligence artificielle ?
- l’utilisateur peut-il contacter facilement une personne ?
- les réponses sont-elles contrôlées ?
- les contenus artificiellement générés risquent-ils d’induire le public en erreur ?
- les outils publicitaires ou de personnalisation utilisent-ils des données sensibles ?
- les prestataires peuvent-ils expliquer comment fonctionnent leurs solutions ?
L’AI Act ne doit pas être présenté uniquement comme une contrainte
Une gouvernance sérieuse de l’IA peut devenir un avantage concurrentiel.
Elle permet à l’entreprise de :
- déployer de nouveaux outils avec davantage de confiance ;
- réduire les risques liés aux données ;
- améliorer la qualité des résultats ;
- rassurer ses clients et ses collaborateurs ;
- définir clairement les responsabilités ;
- accélérer les projets d’automatisation ;
- protéger sa réputation.
Les entreprises qui prendront le temps de structurer leurs pratiques pourront avancer plus rapidement que celles qui interdiront l’IA par peur ou qui laisseront chacun improviser dans son coin.
Le choix n’est donc pas entre utiliser l’IA et respecter les règles.
Le véritable objectif est d’utiliser l’IA avec suffisamment de méthode pour qu’elle crée réellement de la valeur.
En conclusion
L’AI Act ne concerne pas uniquement les grands éditeurs technologiques.
Il concerne aussi les entreprises qui utilisent quotidiennement l’intelligence artificielle pour produire des contenus, analyser leurs données, répondre à leurs clients, recruter ou automatiser certaines tâches.
La première priorité n’est pas de rédiger une montagne de documents juridiques.
Elle consiste à répondre clairement à quatre questions :
- Où utilisons-nous déjà l’intelligence artificielle ?
- Quelles données lui confions-nous ?
- Quels usages peuvent avoir un impact sur une personne ?
- Nos collaborateurs savent-ils l’utiliser de manière responsable ?
L’intelligence artificielle est déjà dans l’entreprise. Le sujet consiste désormais à éviter qu’elle s’y développe sans règles, sans supervision et sans stratégie.
Et vous, vous utilisez déjà l’intelligence artificielle dans votre entreprise ?
Cet article présente une information générale sur l’AI Act. Il ne constitue pas un avis juridique. Pour toute analyse réglementaire propre à votre situation, rapprochez-vous d’un professionnel du droit ou de la protection des données.
