Logo MDP Data Protection avec clé rouge sur fond transparent

Bureaux

425 rue Jean Rostand 31670 Labège

Nous écrire

ask@mdp-data.com

Nous appeler

+33 5 61 60 16 67

Demander une démo

AI Act : obligations, calendrier et mise en conformité

L’AI Act (Règlement UE 2024/1689) est la première réglementation européenne encadrant l’intelligence artificielle selon une approche fondée sur le niveau de risque.

Adopté le 13 juin 2024, publié au Journal officiel de l’Union européenne le 12 juillet 2024 et entré en vigueur le 1er août 2024, ce règlement établit des règles harmonisées applicables dans tous les États membres.

Il impose des obligations différenciées aux fournisseurs, déployeurs, importateurs et distributeurs de systèmes d’Intelligence Artificielle (IA), avec une application progressive jusqu’en 2027.

Cette page de MDP Data Protection présente le cadre juridique officiel de l’AI Act, son calendrier d’application et les principales exigences de mise en conformité applicables aux organisations.

Illustration du règlement européen AI Act (UE 2024/1689) avec document officiel, marteau de juge et livre juridique sur fond européen institutionnel
CONTACTEZ-NOUS

Qu’est-ce que l’AI Act ?

L’AI Act est un règlement européen établissant un cadre juridique harmonisé pour la conception, la mise sur le marché, la mise en service et l’utilisation des systèmes d’intelligence artificielle au sein de l’Union européenne.

Il définit des exigences techniques, organisationnelles et documentaires applicables aux opérateurs économiques selon leur rôle dans la chaîne de valeur de l’IA, et encadre notamment les systèmes présentant des risques élevés pour les droits fondamentaux, la sécurité ou la santé.

Illustration du règlement européen AI Act avec document officiel éclairé par une lampe, symboles d’intelligence artificielle et étoiles de l’Union européenne

🎯 Objectifs du règlement

L’AI Act poursuit un double objectif :

1. Protéger les droits fondamentaux, la santé et la sécurité des personnes :  en encadrant les usages présentant des risques élevés.

2. Garantir un fonctionnement harmonisé du marché intérieur européen : en établissant des règles communes applicables dans tous les États membres.

Le règlement repose sur une approche dite « risk-based » : plus un système d’IA présente un risque élevé pour les individus ou la société, plus les obligations applicables sont strictes.

🏢 Champ d’application : qui est concerné par l’AI Act ?

L’AI Act s’applique à plusieurs catégories d’acteurs :

  • Fournisseurs (providers) : entités qui développent ou mettent sur le marché un système d’IA ;

  • Déployeurs (deployers) : organisations utilisant un système d’IA dans un cadre professionnel ;

  • Importateurs et distributeurs ;

  • Représentants autorisés de fournisseurs établis hors UE.

Le règlement s’applique également aux entreprises établies en dehors de l’Union européenne lorsque leurs systèmes d’IA sont mis sur le marché ou utilisés au sein de l’UE.

📅 Calendrier d’application officiel

L’application du règlement est progressive :

    • 1er août 2024 : entrée en vigueur du règlement ;

    • 2 février 2025 : application des interdictions et des dispositions générales (dont l’AI literacy) ;

    • 2 août 2025 : obligations applicables aux modèles d’IA à usage général (GPAI) ;

    • 2 août 2026 : application de la majorité des obligations, notamment pour les systèmes à haut risque (Annexe III) et les obligations de transparence (article 50) ;

    • 2 août 2027 : application aux systèmes intégrés dans certains produits régulés.

Classification des systèmes d’IA et obligations par niveau de risque

Le règlement repose sur une approche fondée sur le niveau de risque (risk-based approach). Les systèmes d’intelligence artificielle sont classés en quatre catégories, auxquelles correspondent des exigences proportionnées.

Les quatre niveaux de risque :

Pyramide des niveaux de risque de l’AI Act illustrant les risques inacceptables, hauts risques, obligations de transparence et risques minimes en Union européenne

1️⃣ Risque inacceptable (Interdit – article 5)

Certaines pratiques sont prohibées, notamment les systèmes manipulant le comportement humain, exploitant des vulnérabilités ou mettant en place des dispositifs de « notation sociale ».

2️⃣ Systèmes à haut risque (Annexe III)

Ces systèmes sont autorisés sous conditions strictes. Ils concernent notamment certains usages en matière d’emploi, d’éducation, de santé, d’infrastructures critiques ou de services essentiels.

3️⃣ Risque limité (Obligations de transparence – article 50)

Les systèmes générant ou manipulant du contenu (chatbots, deepfakes, IA générative) doivent informer les utilisateurs de manière claire.

4️⃣ Risque minimal

Les systèmes présentant un faible niveau de risque ne sont pas soumis à des obligations spécifiques au titre de l’AI Act, mais restent soumis aux autres réglementations applicables (RGPD, sécurité, etc.).

Les obligations clés imposées par l’AI Act

L’AI Act impose de nouvelles responsabilités aux organisations qui utilisent ou intègrent des systèmes d’IA. Même si vous ne développez pas vous même d’outils d’IA, vous devez mettre en place un cadre clair permettant de maîtriser les usages, de garantir la transparence et de prouver votre conformité en cas de contrôle.

Voici les obligations auxquelles les organisations doivent répondre :

Transparence des systèmes d’IA

Informer clairement lorsqu’un utilisateur interagit avec une IA, expliquer les limites du système et signaler les contenus générés artificiellement.

évaluation et gestion des risques

Identifier les IA utilisées dans l’organisation, évaluer leurs risques, et mettre en place des mesures proportionnées selon la catégorie du système.

Qualité et maîtrise des données

S’assurer que les données utilisées pour l’entraînement ou le fonctionnement d’une IA sont représentatives, non biaisées, documentées et conformes au RGPD.

Supervision humaine obligatoire

Garantir que l’IA ne remplace jamais totalement le jugement humain dans les domaines sensibles : décisions RH, scoring, orientation, accès à un service, etc.

l

Traçabilité et audit

Documenter les décisions, conserver les logs, expliquer la logique du système et être en mesure de reconstituer le fonctionnement de l’IA en cas de demande.

Sécurité et contrôle

Contrôler les modèles, tester régulièrement les outils d’IA, surveiller leur comportement, prévenir les erreurs ou dérives et assurer un fonctionnement stable dans le temps.

Responsabilité des utilisateurs pro

Même sans développer d’IA, les utilisateurs doivent : utiliser les outils selon les instructions, surveiller les résultats, documenter leurs usages, signaler les incidents, appliquer les règles internes IA.

Documentation obligatoire

Démonstrations de conformité : fiches IA, registres d’usage, analyses d’impact, politiques internes, procédures de supervision humaine.
Ces documents constituent la base de sa conformité.

La réglementation européenne souhaite encadrer  un problème déjà existant, l’IA explose plus vite que votre capacité à la contrôler. Dès maintenant, se mettre en conformité avec les réglementations à venir est un avantage stratégique pour toutes structures.

Les limites concrètes pour votre organisation

Même si le règlement fixe des obligations claires, la majorité des organisations ne disposent aujourd’hui ni du temps, ni des outils, ni de la visibilité nécessaires pour les appliquer correctement. Les usages d’IA sont déjà multiples, souvent dispersés et mal documentés, ce qui rend la conformité difficile à atteindre sans méthode structurée.

Illustration des difficultés d’une organisation face à la conformité AI Act avec document réglementaire, surcharge administrative et usages IA non cartographiés
Manque de temps et surcharge interne

Les équipes pédagogiques et administratives sont mobilisées sur leur cœur de mission. La conformité reste souvent secondaire, faute de temps et d’outils adaptés.

Documentation incomplète ou obsolète

Registres incomplets, procédures dispersées, absence de preuves : la conformité existe parfois… mais ne peut pas être démontrée.

Usages numériques et IA non cartographiés

Outils pédagogiques, plateformes externes, assistants numériques : les usages sont multiples, rarement recensés et mal encadrés.

Ces limites ne sont pas définitives.

Elles montrent la nécessité d’une conformité structurée, progressive et outillée, adaptée aux réalités de votre secteur.

VOTRE DIAGNOSTIC GRATUIT

Comment se préparer à l’AI Act : feuille de route simple et efficace

Notre logiciel RGPD adapté à votre métier transforme une conformité « subie » en un processus structuré, partageable et piloté. Il fournit un socle unique de travail, de preuves et de suivi pour l’AI act et le RGPD.

🗺️ Cartographier vos usages d’IA

Commencez par identifier toutes les IA utilisées dans votre structure : assistants IA génératifs, automatisations, IA intégrées dans vos logiciels métier ou modules SaaS.
Cette vue d’ensemble permet de comprendre vos risques réels, vos priorités et la charge de mise en conformité.

📊 Classer vos systèmes selon le niveau de risque

Chaque IA doit être évaluée pour déterminer si elle relève d’un usage interdit, à haut risque, à risque limité ou minimal.
Ce classement conditionne vos obligations : documentation, transparence, supervision humaine ou simple déclaration.

📁 Documenter chaque système

Pour chaque usage d’IA, une fiche doit décrire la logique du système, les données utilisées, les risques identifiés, les tests réalisés et la supervision prévue.
Cette documentation est essentielle en cas d’audit ou d’incident à analyser.

🧑‍⚖️ Mettre en place la supervision humaine

L’IA ne peut pas agir seule dans les domaines sensibles : il faut définir qui contrôle, quand, comment et selon quels critères.
La supervision humaine garantit la fiabilité des décisions, limite les biais et sécurise les usagers ou salariés concernés.

🎓 Former et sensibiliser les équipes

Les collaborateurs doivent comprendre ce qui est autorisé, les risques potentiels, les limites des modèles et les bonnes pratiques d’usage.
Une formation claire réduit les erreurs, harmonise les pratiques et évite les dérives involontaires.

📝 Préparer les preuves et les audits

Il est nécessaire de conserver des traces : journaux d’activité, logs, décisions automatisées, versions des modèles et justification des choix.
Ces preuves permettent de démontrer votre conformité à tout moment, y compris face à une autorité, un financeur ou un partenaire.

Ils ont structuré leur conformité avec MDP Data Protection

Ludovic NICOLEAU

« Les prestations de MDP apportent l’assurance d’une meilleure compréhension et connaissance des enjeux liés au RGPD ainsi que les meilleures pratiques à observer ! »

Notre solution

Yann LACHANCE

« La solution Simply est la plus facile à utiliser sur le marché tout en étant très complète et documentée. La connaissance de notre métier par l’équipe permet d’aller droit à l’essentiel. Le dialogue instauré avec nos équipes permet de rassurer et de monter en compétences régulièrement. »

Notre solution

Nos ressources sur la conformité AI Act

FAQ – AI Act : questions clés pour les organisations

Une entreprise qui utilise ChatGPT ou une IA générative est-elle concernée par l’AI Act ?

Oui, potentiellement. Une entreprise utilisant un outil d’IA dans un cadre professionnel est considérée comme déployeur au sens du règlement. Elle doit évaluer le niveau de risque du système utilisé, respecter les obligations de transparence le cas échéant (article 50) et maintenir une documentation interne démontrant la conformité de ses usages, notamment si des données personnelles sont traitées.

Qu’est-ce qu’un système d’IA à "haut risque" selon l’AI Act ?

Un système est qualifié de haut risque lorsqu’il figure dans les catégories définies par l’Annexe III du règlement ou lorsqu’il est intégré à certains produits réglementés. Ces systèmes sont soumis à des exigences strictes : gestion des risques (article 9), qualité des données (article 10), documentation technique (article 11), supervision humaine (article 14) et marquage CE le cas échéant.

L’AI Act remplace-t-il le RGPD ?

Non. L’AI Act et le RGPD sont complémentaires. Lorsqu’un système d’IA traite des données personnelles, les obligations issues du RGPD (base légale, information, droits des personnes, sécurité) continuent de s’appliquer. L’AI Act ajoute des exigences spécifiques liées à la classification des risques, à la qualité des données et à la traçabilité des systèmes.

Quelles sont les principales échéances du calendrier AI Act ?

Le règlement est entré en vigueur le 1er août 2024. Les interdictions et dispositions générales (dont l’AI literacy) s’appliquent à partir du 2 février 2025. Les obligations relatives aux modèles d’IA à usage général (GPAI) entrent en application le 2 août 2025. La majorité des obligations pour les systèmes à haut risque s’appliqueront à compter du 2 août 2026.

Comment une organisation peut-elle se préparer à la mise en conformité AI Act ?

La première étape consiste à réaliser une cartographie des usages d’IA afin d’identifier les systèmes concernés et leur niveau de risque. Il convient ensuite de formaliser une gouvernance interne (rôles, validation des outils, supervision humaine), de constituer une documentation démontrant la conformité et de former les équipes aux bonnes pratiques d’usage.

Qu’est-ce que l’AI literacy et est-elle obligatoire ?

L’AI literacy désigne le niveau minimal de compréhension nécessaire pour utiliser des systèmes d’IA de manière responsable et conforme. L’AI Act prévoit, dans ses dispositions générales, que les organisations prennent des mesures appropriées pour assurer un niveau adéquat de formation et de sensibilisation des personnes utilisant ces systèmes.

Chaque organisation a ses spécificités : secteur, taille, outils, niveau de maturité.
Nous vous accompagnons pour clarifier votre situation, identifier vos priorités et vous orienter vers une solution adaptée, sans engagement.

Contactez-nous !

Sources officielles

EUR-Lex – Règlement (UE) 2024/1689

Commission européenne – AI Act Service Desk

Commission européenne – AI Act Explorer

Nos sources sont régulièrement mise à jour pour tenir compte des évolutions réglementaires européennes.