Premier cadre législatif dédié à l’intelligence artificielle, l’IA (AI) Act de l’Union européenne vise à encadrer le développement et l’utilisation de ces technologies au sein du marché européen. Reposant sur une approche fondée sur les risques, avec des obligations adaptées en fonction de l’impact des systèmes d’IA sur les utilisateurs et la société, l’IA Act marque un tournant législatif important pour l’intelligence artificielle.
Son déploiement demande une préparation particulière, notamment de la part des PME, qui doivent anticiper dès maintenant afin d’éviter de prendre du retard dans leur mise en conformité, malgré le report partiel du calendrier.
Le contexte
Le développement de l’intelligence artificielle (IA) s’est accéléré à un rythme inédit ces dernières années, avec une diffusion rapide dans les entreprises comme dans les usages quotidiens. L’émergence d’outils d’IA générative, de chatbots ou de systèmes d’automatisation a profondément transformé les pratiques, tout en faisant apparaître de nouveaux usages, parfois controversés, comme les deepfakes ou la manipulation de l’information.
Face à cette montée en puissance, l’Union européenne a souhaité intervenir pour encadrer ces technologies et limiter les dérives possibles. L’absence de cadre juridique harmonisé au niveau européen laissait en effet place à des risques concrets, liés notamment aux biais algorithmiques, aux discriminations, à l’exploitation des données ou à l’utilisation de l’IA dans des contextes sensibles comme le recrutement ou la surveillance.
L’IA Act s’inscrit dans cette volonté de structurer l’usage de l’intelligence artificielle, en complément du Règlement général sur la protection des données (RGPD), déjà centré sur la protection des données personnelles. L’enjeu est d’apporter des règles claires applicables à l’ensemble du marché européen, afin de sécuriser les pratiques tout en favorisant leur déploiement.
Ce texte ne vise pas à freiner l’innovation, mais à en maîtriser les usages. Il traduit une orientation forte de l’Union européenne : créer un cadre de confiance, capable de concilier développement technologique et protection des droits fondamentaux, tout en apportant des réponses concrètes aux risques associés à l’intelligence artificielle.
Qu’est-ce que l’IA Act ?
Le règlement européen sur l’intelligence artificielle (RIA), également appelé IA Act ou AI Act, vise à instaurer un cadre juridique harmonisé au niveau européen pour encadrer les usages et les pratiques liés à l’intelligence artificielle. Il introduit à ce titre des obligations spécifiques, en matière de transparence, de gestion des risques etde responsabilité, adaptées au niveau de risque des systèmes concernés. Le déploiement des différentes règles s’échelonne sur plusieurs années afin de laisser aux entreprises le temps de s’adapter progressivement aux nouvelles exigences.
Calendrier de déploiement
La majorité de l’IA Act, devait initialement entrer en application dès août 2026, en particulier pour les systèmes d’IA à haut risque et les obligations de transparence. Toutefois, un accord provisoire intervenu le 7 mai 2026 entre le Parlement européen et le Conseil, dans le cadre du Digital Omnibus VII, a introduit plusieurs ajustements visant à adapter le calendrier de mise en œuvre.
Cet accord prévoit un report partiel de certaines obligations, afin de laisser aux entreprises le temps nécessaire pour se préparer, en l’absence de standards techniques finalisés. Il doit néanmoins faire l’objet d’une adoption formelle par les institutions européennes pour entrer pleinement en vigueur.
Concrètement, les dispositions initialement prévues au 2 août 2026 sont désormais réparties sur plusieurs échéances :
- Les obligations de transparence (article 50) sont maintenues au 2 août 2026, et concernent directement la majorité des usages en entreprise
- Les obligations de marquage technique des contenus générés par IA (article 50, §2) (watermarking) sont reportées au 2 décembre 2026
- Les règles applicables aux systèmes d’IA à haut risque (Article 6 + Annexe III + Articles 8 à 15) sont décalées au 2 décembre 2027
- Les obligations concernant les IA intégrées dans des produits réglementés (Article 6 §1 + Annexe I) passent du 2 août 2027 au 2 août 2028
Malgré ces ajustements, l’année 2026 reste une étape structurante pour les PME, puisqu’elle marque l’entrée en application des premières obligations concrètes en matière de transparence.
Ce délai supplémentaire doit être perçu non comme un report du sujet, mais comme une opportunité pour les entreprises de structurer leurs usages de l’IA, en mettant en place une gouvernance adaptée et en anticipant les exigences à venir.
Cadre législatif
Classification des risques liés à l’intelligence artificielle
L’IA Act repose sur une classification des systèmes d’intelligence artificielle en fonction du niveau de risque qu’ils présentent : minimal, limité, élevé, inacceptable. Cette approche structure l’ensemble du règlement et conditionne directement les obligations applicables aux entreprises.
Risque minimal
Les systèmes considérés comme présentant un risque minimal ne font pas l’objet d’obligations contraignantes dans le règlement.
L’IA Act prévoit toutefois, via l’article 95, un mécanisme de codes de conduite volontaires. Celui-ci vise à encourager les entreprises à structurer leurs usages de l’IA, même en dehors des cas soumis à des obligations réglementaires strictes.
Ce dispositif repose sur une logique de régulation volontaire : les organisations sont incitées à mettre en place des règles internes, afin d’encadrer leurs usages et pratiques ainsi qu’à anticiper les enjeux liés à l’intelligence artificielle.
Risque limité
Le risque limité constitue le premier niveau impliquant des obligations concrètes pour les entreprises.
Il correspond aux situations visées par l’article 50, qui introduit des obligations de transparence. L’objectif est d’informer clairement les utilisateurs lorsqu’ils sont en g avec une intelligence artificielle ou lorsqu’un contenu a été généré ou modifié par celle-ci. Cela implique :
- D’indiquer qu’un utilisateur interagit avec un chatbot ou un assistant automatisé
- De signaler qu’un contenu (texte, image, vidéo) est généré par une IA
- D’identifier les contenus susceptibles de créer une confusion, comme les deepfakes
Cette exigence vise à éviter toute ambiguïté entre intervention humaine et traitement automatisé.
Risque élevé
Les systèmes d’intelligence artificielle à haut risque sont définis par l’article 6 et précisés par l’annexe III du règlement.
Un système est considéré comme à haut risque lorsqu’il :
- Est intégré dans un produit soumis à une réglementation européenne en matière de sécurité
- Est utilisé dans un domaine identifié comme sensible dans l’annexe III
Ces domaines incluent :
- Le recrutement et la gestion des ressources humaines
- L’accès à des services essentiels (finance, santé, éducation)
- Les systèmes utilisés dans la justice ou la sécurité
- Les infrastructures critiques
Ces systèmes ne sont pas interdits, mais soumis à un cadre strict destiné à garantir leur fiabilité et la protection des utilisateurs.
À ce titre, l’IA Act impose :
- La mise en place d’un système de gestion des risques
- Une documentation technique détaillée
- Un contrôle de la qualité des données
- Une supervision humaine des décisions
- Des exigences en matière de robustesse et de sécurité
Risque inacceptable
Les systèmes présentant un risque inacceptable sont définis à l’article 5 de l’IA Act.
Ils correspondent à des usages jugés incompatibles avec les valeurs fondamentales de l’Union européenne. Contrairement aux autres catégories, ces systèmes ne sont pas encadrés mais strictement interdits et concernent :
- Les systèmes visant à manipuler le comportement des individus de manière trompeuse ou subliminale
- Les dispositifs exploitant les vulnérabilités de certaines personnes (âge, handicap, situation sociale)
- Les systèmes de notation sociale (social scoring)
- Certains usages de la reconnaissance biométrique ou de surveillance à grande échelle
Ces pratiques sont considérées comme présentant un niveau de risque trop élevé pour être autorisées sur le marché européen, en raison de leur impact potentiel sur les droits fondamentaux et les libertés individuelles.
Les sanctions prévues par l’IA Act
En cas de non-respect des obligations imposées par l’IA Act, l’Union européenne a mis en place un régime de sanctions structuré autour de trois niveaux, définis à l’article 99 du règlement.
Niveau 1 : violations des pratiques interdites (article 99, §3)
Les infractions les plus graves, correspondant à l’utilisation de systèmes d’IA interdits, peuvent entraîner des amendes allant jusqu’à 35 millions d’euros ou 7 % du chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu.
Niveau 2 : violations des obligations de conformité (article 99, §4)
Le non-respect des obligations applicables aux systèmes d’IA (en matière de conformité, de transparence ou de gestion des risques) peut être sanctionné par une amende pouvant atteindre 15 millions d’euros ou 3 % du chiffre d’affaires annuel mondial.
Niveau 3 : fourniture d’informations inexactes (article 99, §5)
La transmission d’informations erronées ou incomplètes aux autorités compétentes est sanctionnée par des amendes pouvant aller jusqu’à 7,5 millions d’euros ou 1 % du chiffre d’affaires annuel mondial.
Dans une logique d’équilibre, l’Union européenne prévoit également un mécanisme spécifique en faveur des PME et des startups. Pour ces entreprises, le montant de l’amende retenu correspond au niveau le plus faible entre le plafond fixe et le pourcentage du chiffre d’affaires, afin de préserver leur viabilité économique (article 99, §6).
Comment s’y préparer
La mise en conformité à l’IA Act repose avant tout sur une capacité à structurer l’usage de l’intelligence artificielle au sein de l’entreprise. Il ne s’agit pas uniquement d’un enjeu technique, mais d’un sujet de gouvernance globale.
Mettre en place une gouvernance dédiée
Il est recommandé de désigner un référent IA chargé de piloter ces sujets en interne. Selon la taille de l’entreprise, ce rôle peut être assuré par le dirigeant, le CTO, le DPO ou tout autre expert spécifique.
Ce référent ne doit pas être isolé. La mise en place d’un comité IA permet de structurer les décisions et d’apporter une cohérence dans l’ensemble des usages. Ce comité doit réunir des compétences complémentaires, à la fois techniques, juridiques et métiers, afin de disposer d’une lecture globale des enjeux. Il doit également être doté de moyens adaptés, en matière d’accompagnement juridique et de soutien RH, pour assurer une mise en œuvre efficace des orientations définies.
Cartographier les usages de l’IA
La première étape opérationnelle consiste à recenser :
- Les outils d’IA utilisés
- Les cas d’usage concrets
- Les équipes concernées
Cette cartographie permet d’avoir une vision claire des pratiques existantes et d’identifier les points de vigilance.
Évaluer les risques
Une fois les usages identifiés, il est nécessaire de les classer selon leur niveau de risque :
- Risque minimal
- Usages courants nécessitant de la transparence
- Cas potentiellement sensibles
- Situations pouvant relever du haut risque
- Pratiques interdites
Cette étape est essentielle pour déterminer les obligations applicables et prioriser les actions.
Encadrer les usages et les données
L’entreprise doit définir des règles claires concernant :
- L’utilisation des outils d’IA
- La gestion et la protection des données
- Les limites d’usage autorisées
Le choix des solutions utilisées doit également être maîtrisé, en privilégiant des outils fiables et adaptés, offrant des garanties en matière de conformité et de sécurité.
Mettre en place des mesures adaptées
En fonction du niveau de risque identifié, l’entreprise doit déployer des mesures proportionnées :
- Supervision humaine des décisions
- Validation des contenus générés
- Contrôles internes
L’objectif est de limiter les dérives tout en conservant la performance des outils.
Documenter les pratiques
L’IA Act repose en grande partie sur une logique de traçabilité.
Il est donc nécessaire de formaliser :
- Les usages identifiés
- Les décisions prises
- Les règles internes mises en place
La documentation technique devient un élément central, notamment pour les systèmes les plus sensibles.
Former les équipes
L’article 4 du règlement impose aux entreprises de garantir un niveau suffisant de compréhension de l’IA en interne. Cela passe par la mise en place d’actions de sensibilisation et de formation, afin que les collaborateurs soient en mesure d’utiliser ces outils de manière responsable et maîtrisée.
Se préparer à l’IA Act ne consiste pas à répondre à une obligation ponctuelle, mais à structurer durablement l’usage de l’intelligence artificielle dans l’entreprise. Les organisations les plus avancées ne sont pas celles qui utilisent le plus l’ia, mais celles qui savent en encadrer les usages.
En conclusion
L’entrée en vigueur de l’IA Act instaure un cadre harmonisé à l’échelle européenne et redéfinit en profondeur les obligations des entreprises développant ou exploitant des systèmes d’intelligence artificielle. Entre exigences accrues de transparence, renforcement des dispositifs de conformité et devoir de vigilance, ce nouveau règlement impose une approche structurée et anticipative des risques.
Dans ce contexte, les équipes de NG vous accompagnent concrètement dans votre démarche de mise en conformité, en sécurisant vos pratiques et en intégrant ces nouvelles obligations au cœur de votre stratégie.