Le Règlement européen 2024/1689 (« AI Act ») est le premier cadre juridique au monde qui encadre l'intelligence artificielle. Publié au JOUE le 12 juillet 2024, il entre progressivement en application entre 2025 et 2027. Voici ce que toute entreprise française doit savoir, dans le bon ordre, pour rester conforme — sans paniquer, ni sur-traiter.
Texte de référence, objectif, périmètre.
4 jalons clés entre 2025 et 2027. Détails →
Fournisseur, déployeur, distributeur, importateur.
Inacceptable, haut, limité, minimal. Haut risque →
Ce qu'il faut faire concrètement.
LLM, ChatGPT, Mistral, Llama : règles spéciales.
Jusqu'à 35 M€ ou 7 % du CA mondial.
10 étapes opérationnelles. Checklist détaillée →
Diag Data IA, IA Booster, FNE-Formation, CIR.
12 questions les plus fréquentes.
Si vous ne devez retenir qu'une chose : l'AI Act ne concerne pas que les éditeurs de logiciels. Il concerne toute organisation qui développe, intègre ou simplement utilise un système d'IA dans son activité — y compris les entreprises qui ne font pas d'IA leur cœur de métier.
L'AI Act n'est pas un « big bang » du 2 août 2026. Les obligations entrent en vigueur par vagues. Voici les jalons opposables.
Interdictions applicables (art. 5) : scoring social, manipulation cognitive, exploitation de vulnérabilités, reconnaissance faciale en temps réel dans l'espace public, prédiction d'infractions par profilage.
GPAI (modèles de fondation type GPT-4, Llama, Mistral, Claude) : obligations de transparence, documentation technique, respect du droit d'auteur, code de conduite.
Cœur du texte : obligation de formation IA (art. 4), transparence (art. 50), gouvernance, sanctions pleinement applicables, désignation des autorités nationales.
Systèmes haut risque (annexe III) : RH, scoring crédit, biométrie, éducation, justice, infrastructures critiques. Conformité complète exigée.
L'AI Act distingue plusieurs rôles. Vous pouvez être plusieurs à la fois — c'est même la situation la plus courante.
Vous développez un système d'IA et le mettez sur le marché sous votre nom, gratuit ou payant. Exemple : éditeur SaaS qui intègre un LLM, cabinet qui développe un agent IA pour ses clients.
Vous utilisez un système d'IA dans le cadre de votre activité professionnelle (sauf usage strictement personnel). Cas le plus large : toute entreprise qui utilise ChatGPT, Copilot, Mistral, etc. en interne ou pour ses clients.
Vous revendez ou importez en UE un système d'IA conçu hors UE. Vous devez vérifier la conformité du fournisseur avant mise sur le marché.
Représentant établi dans l'UE désigné par un fournisseur hors UE pour assurer la conformité de ses systèmes haut risque.
À noter : la situation la plus fréquente pour une entreprise française est celle de déployeur. Si vous utilisez Microsoft Copilot pour vos collaborateurs, vous êtes déployeur — pas fournisseur. Les obligations diffèrent fortement.
C'est la grille de lecture centrale de l'AI Act. Le niveau de risque détermine vos obligations.
Manipulation subliminale, exploitation des vulnérabilités (âge, handicap), scoring social par autorité publique, prédiction d'infractions par profilage seul, scraping massif d'images faciales pour bases biométriques, reconnaissance des émotions au travail/école, catégorisation biométrique d'opinions ou orientation.
Annexe III : biométrie, infrastructures critiques, éducation et formation, emploi (tri CV, évaluation), accès aux services essentiels (crédit, prestations sociales, assurance vie/santé), maintien de l'ordre, immigration, administration de la justice. Détails →
Chatbots, IA générative, deepfakes : obligation d'informer l'utilisateur qu'il interagit avec une IA ou qu'un contenu est généré par IA. Pas d'audit obligatoire, pas de marquage CE, pas d'enregistrement.
Filtres anti-spam, IA dans les jeux vidéo, recommandations de produits standard, traduction automatique. Adoption de bonnes pratiques encouragée mais pas d'obligation légale.
Ce qu'il faut faire — au-delà des principes.
Le régime devient sensiblement plus lourd : système de gestion de la qualité (art. 17), documentation technique complète (annexe IV), évaluation de la conformité par un organisme notifié, marquage CE, enregistrement dans la base européenne, plan de surveillance post-déploiement. C'est typiquement à ce niveau qu'un accompagnement spécialisé devient indispensable.
Les modèles d'IA à usage général — GPT, Claude, Llama, Mistral, Qwen, DeepSeek… — relèvent d'un régime spécifique entré en vigueur le 2 août 2025.
L'AI Act prévoit trois niveaux de sanctions pleinement applicables depuis le 2 août 2026.
Jusqu'à 35 M€ ou 7 % du CA mondial de l'exercice précédent (le plus élevé des deux). Niveau RGPD majoré.
Jusqu'à 15 M€ ou 3 % du CA mondial. C'est le niveau qui concerne la majorité des entreprises.
Jusqu'à 7,5 M€ ou 1 % du CA mondial.
Pour les PME et start-ups, les amendes sont plafonnées au montant le plus bas des deux options (art. 99.6). Mais le risque réel le plus fréquent reste l'interdiction d'usage et l'obligation de retrait, qui peuvent geler une chaîne de valeur entière le temps d'une mise en conformité.
La séquence concrète pour passer de zéro à conforme en 3 à 12 mois selon votre maturité.
Inventoriez TOUS les usages IA (incluant la « shadow AI » : ChatGPT, Copilot, Notion AI, Midjourney utilisés sans validation IT).
Pour chaque usage, déterminer le niveau de risque (inacceptable / haut / limité / minimal) et le rôle (fournisseur, déployeur).
Mise à l'arrêt immédiate des usages potentiellement interdits (art. 5).
Plan de sensibilisation/formation des équipes utilisatrices, finançable OPCO.
Mise à jour des interfaces utilisateur, mentions « contenu généré par IA », chatbots étiquetés.
Pour le haut risque : dossier technique annexe IV (50-200 pages selon complexité).
Désignation d'un référent IA, comité interne, mise à jour de la politique IA (qui peut inclure une charte d'usage).
Mise à jour du registre des traitements, AIPD/DPIA si applicable, mentions d'information.
Plan de surveillance post-déploiement, journalisation, processus d'incident grave.
Simulation de contrôle CNIL pour vérifier la robustesse du dispositif.
L'AI Act n'est pas qu'une charge réglementaire : c'est aussi une opportunité de financement public.
13 000 € HT, dont 42 % pris en charge (reste à charge 7 500 € HT). Volet « stratégie + cadrage conformité » éligible.
Phase 1 : jusqu'à 80 % de prise en charge (max 13 000 € HT). Phase 2 : 50 % (jusqu'à 60 000 € HT). Conformité éligible au volet déploiement.
Pour la formation art. 4 obligatoire : prise en charge variable (souvent 50-70 %) selon votre OPCO de branche.
Si vos travaux de mise en conformité incluent une vraie R&D : crédit d'impôt 30 % (CIR) ou 20 % (CII).
40 % de prise en charge pour entreprises HDF < 20 ETP, CA < 2 M€. Plafond 12 K€ de subvention.
50 % de prise en charge sur projet jusqu'à 37 000 € HT.
Si vos collaborateurs utilisent ChatGPT, Microsoft Copilot, Notion AI, Gemini ou tout autre outil d'IA dans leur travail — oui, vous êtes déployeur au sens de l'AI Act et l'article 4 (formation) vous oblige depuis le 2 août 2026.
Non. L'AI Act complète le RGPD. Les deux s'appliquent en parallèle. Si votre système traite des données personnelles, vous restez soumis au RGPD ET vous devez en plus respecter l'AI Act.
L'AI Act ne crée pas de fonction « DPO IA ». En pratique, la fonction de référent IA est souvent confiée au DPO existant ou au RSSI selon les organisations. La CNIL recommande une coordination explicite entre les deux rôles.
C'est ce qu'on appelle la « shadow AI ». Elle est extrêmement répandue : 62 % des PME françaises utilisent au moins un outil IA, souvent sans cadrage. La première étape de mise en conformité consiste à cartographier ces usages, sans esprit punitif — la sensibilisation prime sur la sanction interne.
Vérifiez l'annexe III du règlement. Les cas typiques : RH (tri CV, évaluation de performance), assurance (tarification vie/santé), banque (scoring), santé (aide au diagnostic), éducation (évaluation, orientation), justice. Un audit AI Act règle la question en 1-3 jours.
Très variable : de 3 000 € HT pour une PME avec un seul usage à risque limité, jusqu'à 50 000-150 000 € HT pour un groupe avec plusieurs systèmes haut risque. Avec les aides publiques mobilisées (cf. section 9), le reste à charge est généralement réduit de 40 à 80 %.
3 semaines à 4 mois selon la maturité initiale et le nombre d'usages à régulariser. Pour une PME avec un seul usage à risque limité, comptez 3 semaines. Pour un groupe avec une dizaine d'usages dont du haut risque, 4 mois.
Oui, mais avec des allègements significatifs. Les modèles GPAI mis à disposition sous licence libre bénéficient d'exemptions sur la documentation publique, sous réserve qu'ils ne soient pas qualifiés de « systémiques ». L'usage en entreprise reste, lui, soumis au régime ordinaire (transparence, formation, RGPD).
L'AI Act ne distingue pas selon le mode d'hébergement (cloud vs on-premise). En revanche, l'IA souveraine on-premise simplifie radicalement la conformité RGPD (pas de transfert hors UE, pas de sous-traitant cloud à encadrer) et réduit la documentation à produire. C'est l'approche par défaut d'IAPRO.
En France, la CNIL est l'autorité de surveillance principale, désignée par décret. Elle coordonne avec la DGCCRF (consommateurs), l'ANSSI (cybersécurité), l'AMF (services financiers), l'ANSM (santé) selon les secteurs. Au niveau européen, l'AI Office siège à Bruxelles.
Le registre des usages IA, les preuves de formation art. 4, la documentation technique des systèmes haut risque (annexe IV), les FRIA, les journaux de monitoring post-déploiement, les politiques de gouvernance internes. Un dossier complet et daté vaut mieux qu'un plan d'action théorique.
Oui, des actes d'exécution et des actes délégués complètent progressivement le règlement (codes de pratique GPAI, lignes directrices CNIL, normes harmonisées CEN-CENELEC). La doctrine se précise mois après mois. IAPRO maintient ses dossiers à jour des évolutions opposables.
Un audit IAPRO en 1-3 jours vous donne une vision claire de votre exposition réglementaire, du chemin à parcourir et des aides mobilisables. Devis sous 48h, mise en conformité 3 semaines à 4 mois selon votre périmètre.