L'essentiel à retenir :
- La loi impose des règles strictes basées sur le niveau de risque du système (Inacceptable, Haut, Limité ou Minimal).
- Toute entreprise utilisant un outil tiers avec IA est considérée comme "déployeuse" et doit assurer sa conformité.
- L'application est progressive avec une échéance majeure en août 2026 pour la mise en conformité des outils métiers.
- Les amendes peuvent atteindre 7% du chiffre d'affaires mondial en cas de violation grave des interdictions.
IA Act : qu'est-ce que la loi européenne sur l'intelligence artificielle et ce qu'elle change pour votre entreprise
L’IA Act est la nouvelle législation européenne qui encadre l’utilisation de l’intelligence artificielle par les entreprises. Publié en août 2024 par la Commission européenne, ce règlement constitue le premier cadre réglementaire mondial dédié à l’intelligence artificielle et s’inscrit dans une actualité réglementaire majeure en Europe.
Il concerne toute organisation qui développe ou utilise un système d’intelligence artificielle en Europe, avec une application progressive jusqu’en 2027. Son objectif est clair : instaurer un cadre fiable pour sécuriser les usages, sans freiner l’innovation.
IA Act : définition et contexte — pourquoi l'Europe a légiféré en premier
L’IA Act est le règlement européen qui encadre le développement et l’utilisation des systèmes d’intelligence artificielle au sein de l’Union européenne. Officiellement appelé Règlement (UE) 2024/1689, il est aussi désigné sous le nom de RIA (Règlement sur l’Intelligence Artificielle).
Pourquoi l’Europe a-t-elle légiféré en premier ? Le déclencheur est direct : l’arrivée massive d’outils comme ChatGPT fin 2022 a accéléré l’adoption de l’intelligence artificielle dans les entreprises, sans cadre structurant. Face à cette adoption rapide, les gouvernements européens ont choisi d’agir vite, notamment pour encadrer l’intégration de ces technologies dans les outils numériques et les services en ligne accessibles sur un site web.
L’objectif est double : garantir une intelligence artificielle digne de confiance, respectueuse des droits fondamentaux et de la vie privée, tout en laissant de la place à l’innovation. L’Union européenne prend ainsi une avance stratégique sur les États-Unis et la Chine, en posant le premier cadre réglementaire mondial dédié à l’IA.
En savoir plus sur notre expertise IA Act.
La définition officielle d'un système d'IA selon le règlement
Selon le règlement, un système d’intelligence artificielle est un système automatisé capable de fonctionner avec un certain niveau d’autonomie, qui génère des prédictions, des recommandations, des décisions ou du contenu, avec un impact sur un environnement réel ou numérique.
Cette définition est volontairement large. Elle ne se limite pas à un modèle comme GPT, mais inclut l’ensemble du système : interface, traitement des données, logique métier et intégration dans un outil utilisé par l’entreprise. C’est un point souvent mal compris.
Concrètement, un logiciel SaaS intégrant une fonctionnalité d’IA entre dans le champ d’application du règlement dès lors qu’il influence une décision ou automatise un traitement.
RIA, IA Act, règlement européen IA : trois noms pour un seul texte
Les termes IA Act, AI Act, RIA (Règlement sur l’Intelligence Artificielle) et Règlement (UE) 2024/1689 désignent un seul et même texte. Cette pluralité de noms crée une confusion fréquente, tant dans les recherches Google que dans les échanges entre dirigeants, juristes et responsables conformité.
En pratique, IA Act reste le terme le plus utilisé. En France, la CNIL et les administrations françaises emploient plutôt RIA, qui correspond à l’acronyme officiel du règlement en français.
À retenir
- IA Act = AI Act = RIA = Règlement (UE) 2024/1689
- Un seul texte, plusieurs appellations
- RIA est l’acronyme officiel utilisé en France
L'approche par les risques : les 4 niveaux de classification de l'IA Act
Niveau 1 - Les systèmes IA à risque inacceptable
- interdits depuis février 2025
Les systèmes d’intelligence artificielle à risque inacceptable sont strictement interdits depuis le 2 février 2025. Ils sont considérés comme incompatibles avec les droits fondamentaux et la sécurité des personnes.
Sont notamment concernés :
Les systèmes d’intelligence artificielle à risque inacceptable sont strictement interdits depuis le 2 février 2025. Ils sont considérés comme incompatibles avec les droits fondamentaux et la sécurité des personnes.
Sont notamment concernés :
- Les systèmes de manipulation subliminale, capables d’influencer un comportement sans que l’utilisateur en ait conscience (ex : interface orientant discrètement une décision d’achat)
- La notation sociale, qui consiste à attribuer un score comportemental à des individus
- La reconnaissance biométrique en temps réel dans l’espace public, sauf exceptions très encadrées liées à la sécurité publique (terrorisme, criminalité grave)
- Les systèmes exploitant la vulnérabilité de certains publics
Concrètement, une entreprise qui déploie ce type de système s’expose immédiatement à des sanctions. L’interdiction est déjà en vigueur, sans phase de transition.
Niveau 2 - Les systèmes IA à haut risque
- obligations renforcées dès août 2026
Les systèmes d’intelligence artificielle à haut risque sont ceux qui ont un impact direct sur des décisions sensibles pour les personnes. C’est le niveau le plus structurant pour les PME et ETI, car il concerne des usages déjà présents dans de nombreuses fonctions métiers.
Le règlement identifie notamment huit domaines à haut risque (Annexe III) :
- Recrutement et gestion RH (tri de CV automatisé, évaluation de candidats)
- Crédit et assurance (scoring financier automatisé)
- Santé (aide au diagnostic médical)
- Justice (aide à la décision judiciaire)
- Infrastructure critique (énergie, transports)
- Éducation (évaluation automatisée des élèves)
- Forces de l’ordre
- Migration et contrôle aux frontières
À partir d’août 2026, ces systèmes doivent respecter des obligations strictes : documentation technique complète, évaluation de conformité, enregistrement dans une base européenne, surveillance humaine effective et réalisation d’une analyse d’impact sur les droits fondamentaux (FRIA).
Pour une entreprise, l’enjeu est immédiat : identifier ces systèmes et engager l’alignement réglementaire dès maintenant.
À retenir
- Les systèmes à haut risque concernent des usages métiers critiques
- 8 domaines clairement définis dans l’Annexe III
- Obligations lourdes dès août 2026 (documentation, conformité, contrôle humain)
- Anticiper dès maintenant évite un retard difficile à rattraper
Niveau 3 - les systèmes IA à risque limité
- obligations de transparence
Les systèmes d’intelligence artificielle à risque limité concernent principalement les chatbots, les outils de génération de contenu (texte, image, voix) ou encore les deepfakes. Ils sont largement utilisés dans les services clients, le marketing ou la production de contenu.
L’obligation principale repose sur la transparence : l’utilisateur doit être informé qu’il interagit avec une IA. Concrètement, un chatbot de service client doit se présenter clairement comme tel dès le début de l’échange.
L’objectif est simple : éviter toute confusion entre interaction humaine et interaction automatisée.
Niveau 4 - les systèmes IA à risque minimal
- aucune obligation spécifique
Les systèmes d’intelligence artificielle à risque minimal regroupent la majorité des usages actuels en entreprise. Cela inclut les filtres antispam, les outils de recommandation de contenu ou encore certaines IA utilisées dans les jeux vidéo.
Ces systèmes ne sont soumis à aucune obligation réglementaire spécifique. Ils présentent un niveau de risque faible pour les utilisateurs.
Pour les entreprises, c’est un point rassurant : la plupart des outils utilisés au quotidien restent en dehors des contraintes du règlement, à condition que leur usage n’évolue pas vers des cas plus sensibles.
Les modèles d'IA à usage général (GPAI) : une catégorie spécifique entrée en application en août 2025
Les modèles d’intelligence artificielle à usage général (GPAI) désignent des systèmes polyvalents capables de remplir une grande variété de tâches, sans être conçus pour un usage unique. C’est le cas de modèles comme GPT, Claude, Gemini ou LLaMA.
Contrairement aux autres systèmes, ils ne sont pas classés selon leur finalité métier. L’IA Act leur applique donc un régime spécifique, entré en vigueur le 2 août 2025.
Deux niveaux d’obligations sont prévus :
- Tous les GPAI doivent respecter des exigences de documentation technique et de respect du droit d’auteur, notamment sur les données utilisées pour l’entraînement
- Les GPAI présentant un risque systémique (au-delà d’un seuil de puissance de calcul de 10^25 FLOPs, réservé aux modèles les plus avancés du marché) sont soumis à des obligations renforcées : évaluations adversariales, déclaration d’incidents et exigences strictes en cybersécurité
Concrètement, une entreprise utilisant des outils basés sur ces modèles dépend directement du niveau de conformité de ses fournisseurs. Ce point reste souvent sous-estimé dans les stratégies de mise en conformité.
Regard d'expert : “Les modèles d’IA à usage général sont déjà intégrés dans de nombreux outils utilisés en entreprise, sans que leur statut réglementaire soit toujours identifié. C’est un angle souvent sous-estimé dans les démarches de conformité.”
“Le niveau de conformité d’un fournisseur de GPAI devient un enjeu direct pour l’entreprise utilisatrice. Une dépendance mal évaluée peut créer un risque réglementaire indirect.”
L’IA Act ne concerne pas uniquement les entreprises qui développent des systèmes d’intelligence artificielle. Il définit quatre rôles distincts, chacun avec des obligations propres, en fonction de l’usage et de la position dans la chaîne de valeur.
Contrairement aux autres systèmes, ils ne sont pas classés selon leur finalité métier. L’IA Act leur applique donc un régime spécifique, entré en vigueur le 2 août 2025.
| Rôle | Définition | Obligations |
|---|---|---|
| Fournisseur | Développe et met sur le marché un système IA | Évaluation de conformité, marquage CE, enregistrement dans la base européenne |
| Déployeur | Utilise un système IA dans un contexte professionnel | Surveillance humaine, analyse d’impact (FRIA), formation des équipes |
| Importateur | Introduit un système IA hors UE sur le marché européen | Vérification de la conformité du fournisseur et de la documentation technique |
| Distributeur | Commercialise un système IA sans modification | Vérification du marquage CE et des instructions d'utilisation |
Point clé pour les dirigeants :
Même si votre entreprise ne développe pas d’IA, elle est considérée comme déployeuse dès qu’elle utilise un outil intégrant un système d’intelligence artificielle, que ce soit en RH, en service client ou en analyse financière.
Concrètement, l’utilisation d’un outil de tri de CV, d’un logiciel de scoring ou d’un chatbot suffit à entrer dans le champ du règlement. Cette réalité est encore largement sous-estimée, alors qu’elle déclenche déjà des obligations en matière de supervision, de formation des équipes et d’analyse des risques.
Dans ce contexte, comprendre l’importance de la due diligence devient essentiel pour évaluer les outils utilisés, sécuriser les fournisseurs et limiter les risques réglementaires.
Autrement dit, la question n’est plus “suis-je concerné ?”, mais “à quel niveau suis-je concerné et quelles actions dois-je engager ?”.
Calendrier IA Act 2024-2027 : les échéances que votre entreprise doit connaître
Le calendrier de l’IA Act s’étale sur plusieurs années, avec une mise en application progressive des obligations. Pour les entreprises, comprendre ces échéances permet d’anticiper les actions à mettre en place et d’éviter un retard difficile à rattraper.
Voici les dates clés à retenir :
- 1er août 2024 : entrée en vigueur du règlement (UE) 2024/1689
- 2 février 2025 : interdiction des systèmes à risque inacceptable (déjà en vigueur)
- 2 août 2025 : obligations applicables aux modèles d’IA à usage général (GPAI)
- 2 août 2026 : obligations complètes pour les systèmes à haut risque (Annexe III) et règles de gouvernance
- 2 août 2027 : extension aux systèmes à haut risque relevant de l’Annexe I (dispositifs médicaux, aviation, etc.)
Alerte
L’échéance d’août 2026 est la plus structurante. Elle impose des obligations complètes pour les systèmes à haut risque, avec des exigences de conformité élevées.
Mettre en place un programme de conformité IA prend en moyenne 4 à 6 mois. Les entreprises qui commencent en 2026 s’exposent à un retard structurel, difficile à compenser.
Anticiper dès maintenant permet de sécuriser vos usages et d’éviter une mise en conformité dans l’urgence.
Besoin d’accompagnement pour structurer votre conformité IA ?
Découvrez notre expertise en conformité IA avec Eterra Partners ou explorez notre approche de cabinet de conseil en compliance.
Les sanctions de l'IA Act : ce que risquent concrètement les entreprises
Le règlement prévoit des sanctions financières élevées en cas de non-respect des obligations. Le niveau d’amende dépend de la gravité de la violation.
| Violation | Amende maximale |
|---|---|
| Utilisation d’un système à risque inacceptable (ex : notation sociale, manipulation subliminale) | 35 M€ ou 7% du CA mondial |
| Non-respect des obligations (ex : absence de documentation, défaut de supervision humaine) | 15 M€ ou 3% du CA mondial |
| Informations inexactes aux autorités (ex : déclaration erronée) | 7,5 M€ ou 1% du CA mondial |
En France, l’application du règlement est assurée par la Direction Générale des Entreprises (DGE). À l’échelle européenne, le Bureau européen de l’IA supervise notamment les modèles à usage général (GPAI).
Pour les PME, les sanctions sont adaptées : elles sont plafonnées à un niveau inférieur, pouvant aller jusqu’à 1,5 fois moins que les montants maximums prévus.
Au-delà du montant, le risque est aussi opérationnel et réputationnel. Une non-conformité peut entraîner une suspension d’usage ou une perte de confiance des partenaires.
IA Act et RGPD : comment les articuler dans votre organisation
L’IA Act ne remplace pas le RGPD, il le complète. Les deux réglementations s’appliquent simultanément dès qu’un système d’intelligence artificielle traite des données personnelles et de la vie privée.
| Critère | RGPD | IA Act |
|---|---|---|
| Objet de la réglementation | Encadre les données personnelles (collecte, traitement, conservation) | Encadre le fonctionnement du système IA (logique, décisions, risques) |
| Finalité principale | Protéger les individus dans l’utilisation de leurs données | Encadrer l’impact des systèmes IA sur les personnes et la société |
| Approche | Centrée sur la donnée | Centrée sur le niveau de risque du système |
Concrètement, un même outil peut être soumis aux deux cadres. Un logiciel de recrutement automatisé, par exemple, doit à la fois respecter les règles de protection des données et répondre aux exigences du niveau de risque défini par l’IA Act.
Des synergies existent. Une analyse d’impact IA (FRIA) peut être coordonnée avec une AIPD, ce qui permet de mutualiser les efforts. De même, la documentation technique exigée par l’IA Act peut s’appuyer sur le registre des traitements déjà structuré.
L’enjeu pour les entreprises est d’éviter une gestion en silos et de construire une approche cohérente de la conformité.
FAQ — IA Act : vos questions sur la réglementation européenne sur l'IA
VOS QUESTIONS
IA Act : vos questions sur la réglementation européenne sur l'IA
Avant de nous contacter, vous vous posez peut-être ces questions. Voici des réponses directes de nos consultants seniors.
—
L'IA Act s'applique-t-il à mon entreprise si elle n'est pas développeuse d'IA ?
Oui. Dès qu’une entreprise utilise un système d’intelligence artificielle dans un cadre professionnel, elle est considérée comme déployeuse et entre dans le champ du règlement.
Cela implique plusieurs obligations : surveillance humaine effective, formation des équipes et gestion des incidents. Ces exigences sont explicitement prévues par le texte, notamment pour les systèmes à risque élevé.
En pratique, utiliser un outil de recrutement, un chatbot ou un logiciel d’analyse suffit à être concerné.
Quelle est la différence entre l'IA Act et le RGPD ?
Le RGPD encadre les données personnelles, l’IA Act encadre les systèmes d’intelligence artificielle eux-mêmes.
Concrètement, le RGPD régule la collecte, le traitement et la protection des données, tandis que l’IA Act impose des exigences sur le fonctionnement, les risques et les usages des systèmes IA. Les deux cadres s’appliquent souvent simultanément, notamment lorsque des systèmes IA traitent des données personnelles.
Des synergies existent : une analyse d’impact IA (FRIA) peut être articulée avec une AIPD, ce qui permet de structurer une approche cohérente et d’éviter les doublons.
Mon chatbot ou mon outil de recrutement IA est-il un système à haut risque ?
Cela dépend de l’usage du système. Un chatbot de service client est généralement classé en risque limité : il doit simplement informer l’utilisateur qu’il interagit avec une intelligence artificielle.
À l’inverse, un outil de recrutement automatisé qui trie ou évalue des candidats est considéré comme un système à haut risque, car il influence directement une décision dans un domaine sensible (Annexe III).
Le critère clé est le suivant : le système se contente-t-il d’assister une décision ou joue-t-il un rôle déterminant dans un processus impactant les personnes ? Plus son influence est forte, plus le niveau de risque augmente.
Quelles sont les premières obligations à mettre en place pour se conformer à l'IA Act ?
La mise en conformité à l’IA Act repose sur trois étapes prioritaires.
- Cartographier vos systèmes d’intelligence artificielle : identifiez tous les outils utilisés dans votre entreprise (RH, service client, finance, marketing).
- Classifier chaque système selon son niveau de risque : déterminez s’il relève d’un risque minimal, limité, haut ou inacceptable.
- Prioriser les actions sur les systèmes à haut risque : ce sont eux qui concentrent les obligations les plus lourdes, avec une échéance clé en août 2026.
Un accompagnement par un cabinet spécialisé permet de structurer cette démarche et d’éviter les erreurs d’interprétation.
VOS QUESTIONS
Loi européenne sur l'IA ACT
Avant de nous contacter, vous vous posez peut-être ces questions. Voici des réponses directes de nos consultants seniors.
Quels sont les critères pour qu’un système d’IA soit classé à haut risque selon l’IA Act ?
Un système d’IA est classé à haut risque s’il a un impact direct sur des décisions sensibles concernant les personnes et les activités critiques, notamment dans huit domaines définis par l’Annexe III du règlement : recrutement et gestion RH, crédit et assurance, santé, justice, infrastructures critiques, éducation, forces de l’ordre, et contrôle aux frontières. La classification ne dépend pas de la technologie elle-même mais de son usage et de son potentiel impact sur les droits fondamentaux.
Quels sont les rôles précisés par l’IA Act et quelles obligations chacun implique-t-il ?
Le règlement distingue quatre rôles : le fournisseur (développeur du système IA), l’importateur, le distributeur, et le déployeur (utilisateur professionnel). Le fournisseur doit assurer la conformité, obtenir le marquage CE et enregistrer le système. L’importateur et le distributeur doivent vérifier respectivement la conformité du fournisseur et la présence du marquage. Le déployeur doit assurer la surveillance humaine, mener une analyse d’impact sur les droits fondamentaux, et former ses équipes.
Comment l’IA Act s’articule-t-il avec le RGPD dans les entreprises qui utilisent des systèmes d’intelligence artificielle ?
Le RGPD réglemente la collecte et la protection des données personnelles, tandis que l’IA Act encadre le fonctionnement des systèmes IA eux-mêmes, focalisant sur les risques et les usages. Lorsqu’un système IA traite des données personnelles, les deux réglementations s’appliquent simultanément. Les entreprises peuvent mutualiser les efforts en coordonnant l’analyse d’impact IA (FRIA) avec l’analyse d’impact sur la protection des données (AIPD), et en intégrant la documentation technique IA dans le registre des traitements RGPD, afin d’éviter une compliance en silos.
Quelles sont les sanctions prévues par l’IA Act en cas de non-respect des obligations, et comment varient-elles pour les PME ?
Les sanctions peuvent atteindre jusqu’à 35 millions d’euros ou 7 % du chiffre d’affaires mondial pour l’utilisation de systèmes à risque inacceptable, 15 millions d’euros ou 3 % du CA pour manquement aux obligations (absence de documentation, supervision…), et 7,5 millions d’euros ou 1 % du CA pour fausses informations aux autorités. Pour les PME, les montants sont ajustés à la baisse, avec un plafonnement pouvant être 1,5 fois inférieur aux maxima, tenant compte de leur taille et capacité financière, mais le risque réputationnel et opérationnel reste important.
