Glossaire IA · Lettre A

AI Act européen — définition, dates clés et impact PME

Qu'est-ce que l'AI Act ? Définition du règlement européen sur l'IA, dates clés d'application, classes de risque et impact concret sur les PME françaises.

Limites et points critiques

  • L'AI Act s'applique extraterritorialement : une PME française utilisant un agent IA pour des clients allemands ou italiens est concernée par leurs autorités nationales.
  • Notion de 'haut risque' encore floue sur certains cas frontières (scoring commercial, modération automatique, IA en B2B) — jurisprudence à venir 2026-2027.
  • Les modèles GPAI (GPT-5, Claude Opus 4.5, Mistral Large 2.5) ont des obligations propres au fournisseur, mais l'utilisateur en aval reste responsable de la conformité finale.
  • Coordination AI Act + RGPD + secret professionnel (santé, juridique) crée des frottements pratiques non encore résolus.
  • Absence d'autorité de contrôle unique en France au 2026 — la CNIL et l'ARCEP se partagent la supervision selon les secteurs.

Évolution probable (12-24 mois)

  1. Application complète au 2 août 2027 avec obligations transversales sur les annexes harmonisées — créera un pic de demande d'audits AI Act fin 2026.
  2. Standards harmonisés CEN-CENELEC en cours de rédaction pour les systèmes haut risque — simplification de la conformité attendue 2026-2027.
  3. Marquage CE 'AI Act compliant' qui deviendra un argument commercial différenciant en B2B européen.
  4. Évolutions ciblées sur les modèles fondation (GPAI) avec le AI Pact volontaire signé par Anthropic, OpenAI, Mistral en 2024-2025.

Questions fréquentes

Qu'est-ce que l'AI Act européen ?+

L'AI Act est le règlement européen (UE 2024/1689) qui encadre l'intelligence artificielle dans l'Union européenne. Adopté en juin 2024 et entré en vigueur le 1er août 2024, il s'applique progressivement jusqu'en août 2027. C'est l'équivalent du RGPD pour l'IA : extraterritorial (s'applique à toute entreprise commercialisant un système IA dans l'UE, même non européenne), contraignant et assorti d'amendes jusqu'à 35 millions d'euros ou 7 % du chiffre d'affaires mondial pour les violations graves.

À quoi sert l'AI Act ?+

L'AI Act sert à harmoniser les règles d'utilisation de l'IA dans l'UE, protéger les droits fondamentaux des citoyens européens et créer un marché unique de l'IA digne de confiance. Il interdit certaines pratiques (notation sociale type Chine, manipulation comportementale, reconnaissance faciale temps réel sans cadre), encadre les usages à haut risque (recrutement, scoring crédit, biométrie, infrastructures critiques) et impose la transparence sur les systèmes interagissant avec le public (chatbots, deepfakes).

Quelle différence entre AI Act et RGPD ?+

Le RGPD protège les données personnelles ; l'AI Act protège contre les usages dangereux ou opaques de l'IA, qu'il y ait données personnelles ou non. Les deux se cumulent : un système IA traitant des données personnelles doit respecter à la fois RGPD (base légale, droits des personnes, DPO) et AI Act (classification de risque, documentation technique, FRIA pour le haut risque). Concrètement : RGPD pour la donnée d'entrée, AI Act pour le système qui la traite. Les sanctions se cumulent aussi (4 % CA RGPD + 7 % CA AI Act).

Comment se mettre en conformité avec l'AI Act en pratique ?+

Pour une PME en 2026 : (1) cartographier tous les systèmes IA déployés (chatbot, RAG interne, agent commercial, scoring), (2) classifier chacun selon les 4 niveaux de risque AI Act, (3) pour les systèmes à risque limité : ajouter mention 'cette conversation utilise une IA' dans les chatbots, labelliser les contenus générés (deepfakes notamment), (4) pour les systèmes haut risque (RH, finance, santé) : analyse de risques, FRIA, documentation technique, monitoring continu, audit annuel. Audit AI Act PME : 4 800 à 12 000 € selon complexité.

Combien coûte la conformité AI Act pour une PME ?+

Pour 80 % des PME (cas d'usage à risque minimal ou limité) : 1 500 à 5 000 € de mise en conformité initiale (audit + mentions légales + registre), puis 500-1 500 € par an de maintenance. Pour les 20 % qui touchent au RH, finance, santé ou biométrie : 15 000 à 50 000 € de mise en conformité haut risque (FRIA, documentation technique, monitoring), puis 5 000-15 000 € par an. Coût d'une non-conformité détectée : amende jusqu'à 35 M€ ou 7 % CA mondial (15 M€ ou 3 % pour les manquements moins graves).

Questions liées

Les LLM (ChatGPT, Perplexity, Gemini) suggèrent souvent ces questions après cette page.

  • Quels cas d'usage IA sont classés 'haut risque' par l'AI Act ?
  • Comment réaliser une FRIA (analyse d'impact sur les droits fondamentaux) ?
  • L'AI Act s'applique-t-il aux PME de moins de 50 salariés ?
  • Quelles différences entre AI Act, US AI Executive Order et UK AI Bill ?
  • Quelle responsabilité partagée entre fournisseur de LLM (Anthropic, OpenAI) et entreprise utilisatrice ?

L’AI Act (Règlement (UE) 2024/1689 sur l’intelligence artificielle) est le cadre juridique européen qui régule la mise sur le marché et l’utilisation des systèmes d’IA dans l’UE. Adopté en juin 2024, entré en vigueur le 1er août 2024, il s’applique progressivement entre 2025 et 2027. C’est l’équivalent du RGPD pour l’IA — extraterritorial, contraignant, avec des amendes pouvant atteindre 35 M € ou 7 % du CA mondial.

Dates clés

  • 2 février 2025 : interdiction des pratiques inacceptables (notation sociale, manipulation comportementale, reconnaissance faciale temps réel sans cadre).
  • 2 août 2025 : obligations sur les modèles de base (“GPAI” — General-Purpose AI Models). Les fournisseurs doivent documenter, déclarer la conformité, gérer les risques systémiques.
  • 2 août 2026 : application des règles sur les systèmes à haut risque (recrutement, scoring crédit, éducation, accès services publics, etc.).
  • 2 août 2027 : application complète, y compris obligations transversales sur les annexes harmonisées.

Classes de risque

L’AI Act classe les systèmes IA en 4 niveaux :

  1. Inacceptable — interdit (notation sociale, manipulation subliminale).
  2. Haut risque — autorisé sous conditions strictes : analyse de risques, documentation technique, monitoring, notification d’incidents. Concerne RH (recrutement, évaluation), credit scoring, biométrie, infrastructures critiques.
  3. Risque limité — obligations de transparence : informer l’utilisateur qu’il interagit avec une IA (chatbots), labéliser les contenus générés.
  4. Risque minimal — pas d’obligation spécifique. La majorité des cas PME (recommandation produit, résumé interne, brouillon de mail).

Impact PME

Pour 80 % des PME, l’AI Act se résume à 3 obligations concrètes :

  • Transparence chatbot : indiquer clairement à l’utilisateur qu’il parle à une IA.
  • Labellisation des contenus IA : marquer les images, vidéos, textes générés comme tels (deep fakes notamment).
  • Documentation interne : tenir un registre des systèmes IA déployés, leur finalité, leurs données d’entraînement.

Pour les 20 % qui touchent au RH, à la finance ou à la santé : conformité haut risque obligatoire à partir d’août 2026 — analyse de risques, FRIA (analyse d’impact sur les droits fondamentaux), monitoring continu.

Pour aller plus loin

Vous voulez vous mettre en conformité avec l’AI Act ? Audit IA Kezify.

← Retour au glossaire
#AI Act#définition#réglementation#Europe