Tout savoir sur l’AI Act : décryptage du nouveau cadre réglementaire européen

Résumé : AI Act, le cadre européen pour une IA de confiance

L’AI Act repose sur une classification par le risque, imposant des contraintes proportionnées à l’usage de la technologie :

• Risque inacceptable : interdiction totale des pratiques jugées contraires aux valeurs européennes, comme le scoring social ou la manipulation comportementale.
• Haut risque : systèmes touchant à la sécurité ou aux domaines sensibles (recrutement, banque, éducation, justice). Ces usages sont autorisés, mais soumis à des règles strictes.
• Risque limité : pour les chatbots et les générateurs d’images, l’obligation reste la transparence.
• Risque minimal : les applications telles que les filtres anti-spam circulent librement, sans contrainte spécifique.

Responsabilités et sanctions : le règlement distingue le fournisseur (qui développe l’IA) du déployeur (qui l’utilise). Si l’utilisateur final a une responsabilité allégée, il doit néanmoins garantir la supervision humaine et la pertinence des données fournies.

Applicable dans toutes les entreprises du territoire européen, l’IA Act (ou AI Act) est un règlement sur l’intelligence artificielle. Son objectif n’est pas de freiner la compétitivité des entreprises, bien au contraire : cette loi se présente comme un vrai filtre de qualité, visant à favoriser des usages IA efficaces et de confiance.

Quelles sont les obligations de conformité dans le cadre de cet IA Act ? Comment vous assurer de le respecter au sein de votre organisation ? Tout ce que vous devez savoir sur l’AI Act, son application et les sanctions prévues.

Le principe de la loi européenne sur l’intelligence artificielle

L’AI Act s’appuie avant tout sur une classification des applications de l’IA en fonction de leur degré de risque.

Risque inacceptable

Les pratiques sont ici jugées incompatibles avec les droits fondamentaux (systèmes de manipulation comportementale, scoring social par les autorités publiques, etc.). Elles sont purement et simplement interdites en Europe.

Haut risque

Un système IA peut être classé comme à haut risque s’il affecte la sécurité des personnes ou leurs droits fondamentaux. Dans les faits, la réglementation distingue deux types de systèmes à haut risque :

• Les produits de sécurité : quand l’IA est intégrée dans des produits déjà réglementés (voitures, dispositifs médicaux, etc.).
• Les systèmes autonomes qui sont listés dans l’annexe III de la réglementation.

Cette annexe III contient une liste de solutions qui peuvent être présentes dans certaines entreprises. On parle par exemple des IA utilisées pour le recrutement (filtrage des CV), la gestion des travailleurs, l’accès aux services dits essentiels (banques, assurance santé), l’éducation (notation des élèves) ou encore l’administration de la justice.

Ces applications à haut risque ne sont pas forcément interdites. Mais si vous devez les exploiter dans votre entreprise, vous devez savoir que des règles strictes s’appliquent et que les usages restent très encadrés.

Risque limité

Pour les IA qui présentent un risque limité (chatbots, deepfakes), la seule obligation pour les entreprises reste la transparence. Ainsi, l’utilisateur doit toujours être informé qu’il interagit avec une machine ou que le contenu a été généré artificiellement.

Si vous faites appel à ces IA considérées comme « à risque minimal », l’adoption de codes de bonne conduite reste incontournable pour favoriser un usage raisonné et éthique de l’IA dans votre entreprise.

Besoin d’un accompagnement pour mettre en place l’intelligence artificielle dans votre entreprise, définir vos cas d’usage et tirer pleinement profit des innovations technologiques ?

Sigma vous propose des ateliers personnalisés, permettant de mettre en perspective vos besoins métier avec les opportunités offertes par l’IA.

Découvrir nos ateliers

ChatGPT, Copilot, Claude : quelles règles pour les IA à usage général ?

Si vous avez choisi de générer de la performance avec l’IA en mettant ChatGPT ou Copilot au cœur de certains processus, par exemple, vous devez respecter les dispositions de l’AI Act européen.

Cas d’usage 1 : bureautique et assistance interne – risque minimal

Vos employés utilisent ChatGPT pour résumer des réunions, rédiger des e-mails, traduire des documents ou générer du code informatique.

Dans ce scénario, l’AI Act reste très souple, dans la mesure où le risque est considéré comme minimal :

• Aucune obligation légale spécifique liée à l’AI Act.
• Vigilance malgré tout nécessaire : vous devez vous assurer que vos employés n’envoient pas de données personnelles (RGPD) ou de secrets d’affaires dans leurs prompts.

Ici, la simple mise en place d’une charte des bons usages IA peut être suffisante, en veillant malgré tout à faire appliquer les bonnes pratiques.

Cas d’usage 2 : usage en interface client (chatbots et assistants) – transparence requise

Vous intégrez Copilot via API dans un chatbot sur votre site web pour répondre aux questions des clients ou générer des contenus automatisés.

Ici, vous entrez dans le champ de l’article 50 de l’AI Act sur la transparence.

• Vos obligations : vous devez informer l’utilisateur final qu’il interagit avec une machine.
• Le chatbot doit afficher clairement qu’il est un assistant virtuel.
• Si le système génère du contenu, il doit être marqué comme « généré par IA », de manière lisible à la fois par l’humain et les robots.

Cas d’usage 3 : usage dans un système à haut risque

Vous utilisez une API Copilot pour trier automatiquement vos CVs ou évaluer la solvabilité d’un client pour un crédit.

En utilisant une IA générative généraliste pour une tâche à haut risque, vous endossez la responsabilité de la conformité totale du système.

• Le problème : pour certifier un système « haut risque », vous devez être en mesure de prouver son exactitude, sa solidité et son absence de biais. Or, avec un modèle générique comme ChatGPT, Gemini ou Copilot, vous ne maîtrisez pas les données d’entraînement.
• Si l’IA discrimine une personne et que vous n’êtes pas en mesure d’expliquer pourquoi, vous êtes en infraction directe et risquez des poursuites.

Dans la mesure du possible, évitez d’utiliser des modèles d’IA générique (GPAI) pour vos processus de prise de décision critique.

Besoin d’un accompagnement pour déployer une IA sur-mesure et ajustée à vos problématiques métier ? Profitez d’un accompagnement Sigma expert et complet, de la construction de votre projet jusqu’à la gestion de ses évolutions.

Bâtir mon projet IA

Le cas spécifique du déploiement d’une IA à haut risque

Si votre entreprise utilise des systèmes classés « haut risque » (exemple : tri automatique de CV, évaluation de la capacité à emprunter), vous devez redoubler de vigilance.

Attention toutefois à bien distinguer votre rôle dans ce cadre :

• Si vous développez une IA en interne : vous êtes considéré comme « fournisseur ». Vous avez une obligation de conformité totale (marquage CE, documentation technique, gestion de la qualité des données, etc.). Vous vous lancez donc dans un chantier complexe, nécessitant une expertise pointue.
• Si vous utilisez une solution du marché : vous êtes considéré comme « déployeur ». Votre responsabilité se trouve allégée, mais vous devez malgré tout veiller à garantir la conformité des usages.

Les règles incontournables d’une IA à haut risque

• Le contrôle humain : l’IA ne doit jamais décider seule. Assurez-vous qu’une personne compétente intervienne avant la décision finale.
• La qualité des données : les données que vous fournissez à l’outil doivent être pertinentes et représentatives, pour éviter les biais.
• La transparence : informez toujours les personnes (employés, clients) qu’elles sont soumises à un système IA quand c’est le cas.

Quelles sanctions en cas de non-respect de l’AI Act européen ?

Les entreprises qui ne respectent pas les exigences de l’AI Act s’exposent à une amende jusqu’à 35 millions d’euros ou 7 % du CA mondial, pour les infractions les plus graves. Au-delà de la menace financière, cet AI Act s’impose comme un puissant vecteur de rationalisation.

En effet, puisqu’il oblige les entreprises à documenter leurs algorithmes et nettoyer leurs données, il va mécaniquement améliorer la qualité des outils numériques. Il vous offre donc une vraie opportunité de refuser les projets non maîtrisés et de vous concentrer sur des investissements dans des systèmes robustes, documentés et pérennes. Loin d’être un frein, cette conformité à l’AI Act deviendra à terme un vrai argument de qualité sur le territoire européen.

À la une

Découvrez tous nos articles et contenus sur la thématique de l’inteliigence artificielle.

Parcourir notre blog

Data & IA

Les différents types d’IA et leurs usages en entreprise

Data & IA

IA cloud, IA on-premise locale : que choisir pour mon entreprise ?

Data & IA

Usage de l’IA dans les entreprises : quels sont les risques ?