- ▸ Ce qui change concrètement pour les entreprises
- ▸ Les faits — un règlement, quatre niveaux de risque, un calendrier étalé
- ▸ Décryptage — comment lire l'AI Act dans une logique d'usage
- ▸ Qui est concerné — une chaîne de responsabilités élargie
2 août 2024. Le règlement (UE) 2024/1689, premier texte au monde dédié à l’intelligence artificielle, est entré en application progressive. Depuis cette date, les organisations qui fournissent, distribuent ou déploient des systèmes d’IA sur le marché européen disposent d’une fenêtre fermée pour se mettre en conformité. Échéance finale : 2027. Sanction maximale en cas de manquement : 7 % du chiffre d’affaires annuel mondial.
Points clés – L’AI Act est entré en vigueur le 1er août 2024 et déploie ses obligations selon un calendrier étalé jusqu’en 2027, selon le portail Entreprendre.service-public.fr (mise à jour du 6 octobre 2025). – Le règlement classe les usages selon quatre niveaux de risque — inacceptable, élevé, limité, minimal — et fait peser la charge documentaire sur les fournisseurs de systèmes dits à haut risque. – Toutes les organisations qui fournissent, distribuent ou déploient des systèmes ou modèles d’IA dans l’Union européenne sont concernées, y compris les acteurs établis hors UE dont les sorties sont utilisées sur le marché intérieur. – Les « bacs à sable réglementaires » prévus par le texte ouvrent un cadre de test contrôlé pour le développement, l’entraînement, la mise à l’essai et la validation de systèmes d’IA innovants. – L’objectif politique affiché par la Commission demeure inchangé : une intelligence artificielle « digne de confiance », adossée à la robustesse, à l’exactitude et à la cybersécurité des systèmes déployés.
Ce qui change concrètement pour les entreprises
L’approche retenue par le législateur européen n’est pas celle d’une interdiction généralisée. Elle hiérarchise les obligations selon l’usage final du système d’intelligence artificielle. Un chatbot de réservation hôtelière ne porte pas le même risque qu’un algorithme de notation des candidatures ou qu’un outil d’identification biométrique à distance.
Cette hiérarchisation, rappelée dans le dossier de référence du portail Entreprendre.service-public.fr publié le 6 octobre 2025, oblige chaque organisation à conduire une cartographie interne préalable. Pour chaque système exploité, la question est désormais double : sous quelle catégorie de risque se range-t-il, et quelles obligations en découlent ? La réponse conditionne la documentation, les audits, et le niveau d’information dû aux utilisateurs.
Ce qui nous amène au cœur du dispositif.
Les faits — un règlement, quatre niveaux de risque, un calendrier étalé
Le règlement (UE) 2024/1689, dit AI Act, a été publié au Journal officiel de l’Union européenne le 12 juillet 2024. Il est entré en vigueur vingt jours plus tard, soit le 1er août 2024. Son application n’a toutefois pas été simultanée pour toutes ses dispositions : le législateur a fait le choix d’un déploiement échelonné, articulé autour de plusieurs jalons jusqu’en 2027.
Cette architecture progressive vise à laisser aux entreprises le temps d’adapter leurs processus internes, leurs contrats avec leurs sous-traitants techniques et leur documentation de conformité. Selon le dossier officiel publié par Entreprendre.service-public.fr, ce phasage permet aussi aux autorités nationales — en France, principalement la CNIL et la DGCCRF — de monter en compétence sur le contrôle d’une matière technique nouvelle.
« L’AI Act adopte une approche hiérarchisée des risques attachés aux systèmes d’intelligence artificielle. »
Quatre niveaux structurent le texte. Le risque inacceptable recouvre les usages purement et simplement interdits dans l’Union : notation sociale, manipulation cognitive, certaines formes de reconnaissance biométrique à distance en temps réel. Le risque élevé concerne les systèmes ayant un impact significatif sur la sécurité ou les droits fondamentaux, déjà encadrés par une réglementation sectorielle européenne. Le risque limité impose des obligations de transparence — informer l’utilisateur qu’il interagit avec une IA. Le risque minimal échappe à l’essentiel des contraintes.
Cette pyramide est l’ossature du texte. Toute la conformité opérationnelle en découle.
Décryptage — comment lire l’AI Act dans une logique d’usage
L’erreur la plus fréquente, observée dans les premières semaines de mise en œuvre, consiste à raisonner par technologie plutôt que par usage. Le règlement ne s’intéresse pas à la nature du modèle — modèle de langage, vision par ordinateur, système de recommandation — mais à ce que l’entreprise en fait. Un même modèle de langage peut relever du risque minimal s’il alimente un assistant de relecture orthographique, et du risque élevé s’il est intégré à un outil de présélection de candidats.
Pour comprendre — la notion de « système d’IA à haut risque » Au sens du règlement, un système est dit à haut risque lorsqu’il est destiné à être utilisé comme composant de sécurité d’un produit déjà soumis à une législation européenne d’harmonisation, ou lorsqu’il intervient dans des domaines listés en annexe : éducation, emploi, accès aux services essentiels, application de la loi, migration, justice, processus démocratiques. La qualification déclenche l’essentiel des obligations documentaires du texte.
Ce qui frappe à la lecture, c’est l’effort du législateur pour concilier protection des droits fondamentaux et soutien à l’innovation. L’instrument le plus visible de ce compromis porte un nom emprunté à la régulation financière : les « bacs à sable réglementaires ».
Ces dispositifs offrent aux entreprises, en particulier aux PME et aux jeunes pousses, un cadre national supervisé pour, selon les termes du texte officiel relayés par Entreprendre.service-public.fr, « le développement, l’entraînement, la mise à l’essai et la validation de systèmes d’IA innovants » dans des conditions assouplies. L’objectif est explicite : éviter que la régulation ne devienne une barrière à l’entrée pour les acteurs européens face aux géants américains et chinois.
Ce dispositif n’est pas un blanc-seing. Les autorités nationales conservent un droit de regard, et les obligations de sécurité et de respect des droits fondamentaux ne sont pas suspendues. Le bac à sable abaisse la friction administrative, pas le niveau d’exigence sur les résultats.
L’autre clé de lecture est sémantique. La Commission européenne assume, depuis 2018 et son groupe d’experts à haut niveau, une expression-cadre : une IA « digne de confiance ». Cette formule, reprise dans la communication officielle accompagnant l’AI Act, n’est pas qu’un slogan. Elle se décline en exigences techniques opposables, relatives, toujours selon le dossier public, « à sa robustesse, à son exactitude et à sa cybersécurité ». Ces trois piliers irriguent les obligations documentaires des systèmes à haut risque, des tests de performance à la gestion des biais en passant par la résilience aux attaques adverses.
Reste à savoir qui, concrètement, doit s’en saisir.
Qui est concerné — une chaîne de responsabilités élargie
La portée du règlement est large, et c’est sans doute le point que les directions juridiques sous-estiment encore le plus. Selon le portail officiel français, l’AI Act concerne « toutes les organisations, y compris les entreprises, qui fournissent, distribuent ou déploient des systèmes ou modèles d’intelligence artificielle » sur le marché européen.
Trois rôles principaux structurent la chaîne. Le fournisseur (provider) est l’entité qui développe le système d’IA ou le fait développer en vue de sa mise sur le marché sous son nom. Le distributeur intervient dans la chaîne d’approvisionnement sans modifier le système. Le déployeur (deployer) est l’organisation qui utilise le système sous sa propre autorité — typiquement, un cabinet de recrutement qui intègre un outil d’analyse de CV, ou une banque qui s’appuie sur un score d’octroi automatisé.
Chaque rôle porte ses propres obligations. Le fournisseur supporte la charge documentaire la plus lourde sur les systèmes à haut risque : système de gestion des risques, qualité des données d’entraînement, journalisation, transparence vis-à-vis des déployeurs, surveillance après mise sur le marché. Le déployeur, lui, est responsable de l’usage effectif : information des personnes concernées, surveillance humaine, conservation des journaux, signalement des incidents graves.
Pour comprendre — l’extraterritorialité du règlement Comme le RGPD avant lui, l’AI Act produit ses effets au-delà des frontières de l’Union. Une entreprise établie aux États-Unis, au Royaume-Uni ou en Inde tombe dans son champ dès lors que les sorties (outputs) de son système d’IA sont utilisées dans l’UE. Cette extraterritorialité est un point d’attention majeur dans les négociations contractuelles avec les éditeurs de modèles non européens.
Les modèles d’IA à usage général (general-purpose AI, ou GPAI) — terme qui recouvre notamment les grands modèles de langage — relèvent par ailleurs d’un régime spécifique introduit en cours de négociation. Leurs fournisseurs doivent publier une synthèse des données d’entraînement, respecter le droit d’auteur européen et, pour les modèles dits à risque systémique, conduire des évaluations approfondies. Ce volet a structuré l’essentiel du débat politique en 2024 et continue d’alimenter les discussions techniques sur le code de pratique annexé au règlement.
Analyse contradictoire — protection ou frein à l’innovation ?
Le texte ne fait pas consensus. Du côté des partisans, l’argument central est celui de la sécurité juridique : disposer d’un cadre clair, harmonisé à l’échelle des Vingt-Sept, vaut mieux qu’une fragmentation nationale. Les associations de défense des droits numériques saluent l’interdiction de certains usages — notation sociale, manipulation cognitive — qu’aucun autre cadre juridique mondial n’avait jusqu’ici proscrits aussi nettement.
Du côté des critiques, deux objections reviennent. La première vient des acteurs de l’écosystème entrepreneurial : la charge de conformité est jugée disproportionnée pour les structures de moins de cinquante salariés, malgré les bacs à sable. La seconde émane de chercheurs en droit comparé : le risque que les fournisseurs non européens préfèrent restreindre l’accès à leurs modèles les plus avancés sur le marché intérieur, plutôt que de se plier à des obligations documentaires lourdes. Ce scénario, observé à l’échelle limitée sur certains services en 2025, reste une variable de surveillance pour 2026 et 2027.
Entre les deux, une voie médiane se dessine dans les positions exprimées par plusieurs autorités nationales : adapter la mise en œuvre à la maturité réelle des entreprises, en s’appuyant sur les bacs à sable et sur une doctrine évolutive plutôt que sur une sanction immédiate.
FAQ
Qu’est-ce que l’AI Act, en une phrase juridique exacte ?
C’est le règlement (UE) 2024/1689, premier texte au monde encadrant horizontalement l’intelligence artificielle. Il classe les systèmes selon quatre niveaux de risque et fait peser sur les fournisseurs, distributeurs et déployeurs des obligations différenciées, avec pour finalité affichée par la Commission une IA « digne de confiance ».
Quel est l’objectif réel poursuivi par le règlement ?
L’objectif est double et assumé : protéger les droits fondamentaux et la sécurité des utilisateurs, tout en soutenant l’innovation européenne par des dispositifs comme les bacs à sable réglementaires. La formule officielle d’IA « digne de confiance » résume cette tension entre protection et compétitivité, qui structure l’ensemble du texte.
Quel est le calendrier précis d’application ?
Selon le portail officiel Entreprendre.service-public.fr, l’AI Act s’applique de manière progressive entre 2025 et 2027 depuis son entrée en vigueur le 1er août 2024. Les interdictions ont pris effet en premier, suivies des obligations relatives aux modèles à usage général, puis des règles sur les systèmes à haut risque, dont la pleine application est attendue à l’horizon 2027.
Calendrier — les jalons à surveiller d’ici 2027
Trois échéances structurent la mise en conformité opérationnelle dans les mois qui viennent. L’application des obligations applicables aux modèles d’IA à usage général s’est ouverte courant 2025. L’extension aux systèmes à haut risque relevant de l’annexe III monte en puissance en 2026. L’horizon 2027 marque la pleine application du règlement, y compris pour les systèmes à haut risque intégrés à des produits déjà soumis à la législation européenne d’harmonisation.
Quelle sera, d’ici cette dernière échéance, la doctrine effective des autorités de contrôle face aux premiers manquements significatifs ? C’est sans doute la question décisive de l’année à venir.
