Tout le monde parle de l'AI Act. Presque personne ne comprend ce qu'il exige réellement.
Certains pensent qu'il interdit l'IA. D'autres croient qu'il s'agit d'un GDPR 2.0. Beaucoup supposent qu'il ne concerne que les « grandes entreprises tech ».
La réalité est bien plus simple, et bien plus sérieuse :Si votre organisation utilise, développe ou achète de l'IA, l'AI Act vous concerne. Voici l'explication claire, éprouvée sur le terrain.
L'AI Act n'est pas un manuel technique ni un document philosophique. C'est un cadre de gouvernance et de responsabilité conçu pour garantir que les systèmes d'IA sont sûrs, explicables, documentés et déployés de manière éthique.
Le texte ne vous demande pas de cesser d'utiliser l'IA. Il vous demande de la maîtriser, comme on maîtrise la cybersécurité, les systèmes financiers et les infrastructures critiques.
Décryptage sans jargon.
1. L'ensemble du texte s'articule autour de quatre niveaux de risque
L'AI Act répartit les systèmes d'IA en quatre catégories, chacune assortie d'obligations différentes.
1. Risque inacceptable. Interdit purement et simplement
Exemples :
- notation sociale
- manipulation / exploitation psychologique
- catégorisation biométrique révélant des caractéristiques sensibles
- collecte non ciblée de données faciales
- reconnaissance des émotions sur le lieu de travail ou dans les établissements scolaires
Si votre système relève de cette catégorie, vous ne pouvez pas l'utiliser. Un point, c'est tout.
2. Risque élevé. Le cœur du texte (gouvernance stricte)
Les systèmes d'IA à haut risque comprennent ceux qui ont une incidence sur :
- les droits des personnes
- la sécurité
- la stabilité financière
- les services critiques
- l'application de la loi
- l'emploi
- la santé
- les infrastructures essentielles
C'est là que s'appliquent 80 % des obligations.
3. Risque limité. Transparence requise
Exemples :
- chatbots
- deepfakes
- contenu génératif
- systèmes d'IA interagissant avec des humains
Les utilisateurs doivent être informés qu'ils interagissent avec une IA et que le contenu est généré par une IA.
4. Risque minimal. Utilisation libre
Exemples :
- correcteurs orthographiques et grammaticaux
- IA dans les jeux vidéo
- moteurs de recommandation Aucune exigence particulière.
L'essentiel : la plupart des organisations opèrent dans les catégories 2 et 3, pas dans la catégorie 1.
2. Les systèmes d'IA à haut risque entraînent des obligations significatives
Si votre système d'IA est à haut risque, vous devez mettre en place un système de gouvernance de l'IA complet.
Vous devez démontrer :
- des évaluations des risques
- la qualité et la gouvernance des données d'entraînement
- la documentation du modèle (architecture, entraînement, tests)
- la détection et l'atténuation des biais
- la robustesse et la cybersécurité
- la supervision humaine et les limites de décision
- la surveillance des performances
- la journalisation des incidents
- la traçabilité du cycle de vie
- la transparence vis-à-vis des régulateurs
Ce n'est pas optionnel.C'est une obligation légale.
Exemple concret : Plusieurs banques européennes traitent déjà les systèmes d'IA à haut risque comme des « produits mini-réglementés », avec des cycles de vie calqués sur ceux des modèles financiers.
3. L'IA à usage général (GPAI) et les modèles de fondation ont leurs propres règles
C'est là que la plupart des entreprises se méprennent sur le texte. Même si vous ne développez pas d'IA, vous devez comprendre les obligations qui s'appliquent aux modèles que vous utilisez.
Les fournisseurs de GPAI (par exemple, les grands modèles de langage) doivent :
- publier la documentation
- divulguer les sources des données d'entraînement
- fournir des conseils d'atténuation des risques
- garantir la cybersécurité
- partager les évaluations techniques
- tester les risques systémiques (pour les modèles puissants)
Les utilisateurs (vous) doivent :
- comprendre l'usage prévu
- appliquer des mesures de contrôle des risques
- éviter la réutilisation dans des contextes à haut risque sans supervision
- garantir la traçabilité et la gouvernance des résultats produits
Vous héritez des obligations dès lors que vous utilisez un modèle GPAI.
4. La supervision humaine n'est pas une case à cocher. C'est un mécanisme fondamental
Chaque système d'IA à haut risque doit inclure :
- une possibilité claire de dérogation humaine
- des points de contrôle documentés
- une formation pour les examinateurs humains
- des mécanismes d'explication
Le texte est explicite : la supervision humaine doit être effective, pas symbolique.
Vos collaborateurs ne peuvent pas faire confiance aveuglément aux résultats de l'IA. Un processus formalisé est indispensable.
5. L'AI Act exige un « système de gouvernance de l'IA », pas seulement des politiques
C'est l'aspect que la plupart des organisations sous-estiment.
L'AI Act attend quelque chose de comparable à un ISMS, mais appliqué à l'IA :
Votre système de gouvernance doit inclure :
- des rôles et responsabilités documentés
- des processus de cycle de vie
- des cadres de gestion des risques
- la documentation des modèles
- des procédures de surveillance
- la gestion des incidents
- l'audit interne
- l'amélioration continue
- la formation des équipes à l'IA
- des contrôles relatifs aux achats
- des contrôles techniques et éthiques
- une supervision au niveau du conseil d'administration
C'est précisément pour cette raison qu'ISO a publié ISO/IEC 42001 ; il reflète le texte de manière quasi parfaite.
L'UE n'emploie jamais l'expression « système de management », mais tout dans l'AI Act en suppose un.
6. L'AI Act instaure un signalement obligatoire des incidents liés à l'IA
Si un système d'IA entraîne :
- un dysfonctionnement
- un biais
- un préjudice
- une mauvaise classification
- une violation de droits
- une dérive significative du modèle
- une violation de sécurité affectant l'IA
…vous devez en informer les autorités.
Il n'existe aucune option « passer à autre chose discrètement ».
7. Les exigences de documentation sont lourdes (mais logiques)
Pour les systèmes d'IA à haut risque, prévoyez de maintenir :
- la documentation des données d'entraînement
- l'architecture du modèle
- les protocoles de test
- les vérifications de robustesse
- les mesures de cybersécurité
- les mesures d'atténuation
- l'analyse des biais
- les indicateurs de performance
- les règles de supervision humaine
- les journaux d'événements
- l'historique versionné du modèle
- les enregistrements de déploiement
Ce n'est pas de la bureaucratie. C'est ce que les équipes IA responsables devraient déjà faire.
8. Le calendrier d'application est essentiel. Voici comment il s'articule
L'AI Act est progressif :
2025-2026
- Les pratiques interdites deviennent illégales
- La transparence GPAI s'applique
- Les autorités de surveillance nationales entrent en activité
- L'AI Office coordonne la supervision
2026-2027
- Les obligations pour les systèmes à haut risque entrent en vigueur
- Les entreprises doivent enregistrer leurs systèmes à haut risque
- Les systèmes de gouvernance doivent être opérationnels
2027-2028
- Conformité totale requise
- Les audits et mesures d'exécution débutent
- Les amendes deviennent effectives
Si vous déployez ou achetez des systèmes d'IA en 2025, vous devez les préparer dès maintenant.
9. Les sanctions sont aussi sévères que celles du GDPR
Amendes en cas de non-conformité :
- jusqu'à 35 M€ ou 7 % du chiffre d'affaires mondial (niveau le plus élevé)
- 15 M€ ou 3 % pour les manquements liés aux systèmes à haut risque
- 7,5 M€ ou 1,5 % pour la documentation trompeuse
Ces montants sont délibérés :ils font de la conformité à l'AI Act une priorité au niveau du conseil d'administration.
10. Ce que vous devez concrètement faire maintenant
Voici votre liste de démarrage opérationnelle, sans fioritures :
- Identifier et classifier vos systèmes d'IA (par le risque)
- Cartographier vos fournisseurs et dépendances GPAI
- Créer votre cadre de gouvernance de l'IA
- Commencer à documenter les décisions des modèles
- Mettre en place la supervision humaine
- Développer des procédures d'évaluation des risques IA
- Se préparer au signalement des incidents
- Former les équipes aux obligations liées à l'IA
- S'aligner sur ISO/IEC 42001
- Mettre en place des workflows de collecte de preuves (AI Act ≠ « promettre » ; il faut « prouver »)
C'est le minimum pour éviter les difficultés réglementaires.
Conclusion
L'AI Act n'est pas hostile à l'innovation. Il est favorable à la responsabilité. Il dit une chose clairement :
Si l'IA influe sur la vie des personnes, elle doit être explicable, maîtrisée et gouvernée.
C'est l'avenir des opérations numériques. Les organisations qui s'y engagent tôt y trouveront un avantage concurrentiel, non une contrainte de conformité.
Si vous souhaitez comprendre comment mettre en œuvre l'AI Act en pratique (gouvernance, supervision, documentation et alignement sur ISO 42001), c'est exactement ce que nous enseignons dans les programmes Cyber Academy ISO42001 Lead Implementer et AI Risk Manager. Rejoignez la prochaine session et préparez votre organisation à la nouvelle ère de l'IA en Europe.
