MDP Data Protection vous accompagne dans la compréhension et l’application de l’AI Act, pour sécuriser vos usages d’intelligence artificielle et structurer une gouvernance conforme
L’AI Act transforme l’IA en sujet de conformité, pas seulement d’innovation.
L’AI Act est le règlement européen (UE2024/1689) qui encadre les systèmes d’Intelligence Artificielle (IA) selon une approche fondée sur les risques et impose des obligations graduées aux organisations.
Ses exigences concernent les fournisseurs et les déployeurs, avec des impacts directs sur la gouvernance, la documentation, la gestion des risques et la transparence des usages en entreprise.
Cet article détaille les obligations de l’AI Act par niveau de risque, le calendrier d’application, ainsi que les actions prioritaires pour structurer une mise en conformité opérationnelle.
Contexte et enjeux : pourquoi l’AI Act existe
L’AI Act vise un double objectif :
- consolider le marché intérieur en harmonisant les règles applicables à l’intelligence artificielle,
- réduire les risques pour la santé, la sécurité, la démocratie et les droits fondamentaux.
La Commission rappelle l’entrée en vigueur au 1 août 2024 et une application progressive jusqu’au 2 août 2027, avec des jalons réglementaires intermédiaires. Pour ce faire, elle met à disposition une plateforme d’information pour rechercher et comprendre les implications des différents articles du Règlement.
Le cœur du dispositif : des règles plus strictes lorsque le système a un impact élevé (emploi, santé, éducation, services essentiels, biométrie, etc.) et un renforcement du contrôle lorsque l’IA influence des décisions sensibles.
Enfin, l’AI Act structure clairement les rôles : fournisseurs (providers) et déployeurs (deployers) n’ont pas les mêmes obligations, ce qui oblige à revoir contrats, responsabilités, et procédures internes.
Pourquoi les entreprises sont concernées ?
Ainsi, l’AI Act est le règlement européen établissant des règles harmonisées sur l’IA. Il s’applique à de nombreux opérateurs : fournisseurs, déployeurs, importateurs, distributeurs, et dans certains cas représentants autorisés.
Une entreprise française peut être concernée, même sans développer elle-même une IA :
- Vous déployez un outil (RH, CRM, e-learning, détection fraude, support) intégrant de l’IA.
- Vous achetez une solution d’un éditeur : vous devez vérifier le niveau de risques et vos obligations de déployeur.
- Vous intégrez un modèle IA “généraliste” (GPAI) dans un système métier : l’AI Act impose un nouveau niveau de gestion de la documentation et du contrôle des sorties.
La conformité ne se limite donc pas à l’adoption d’une charte interne. Elle suppose la production de preuves vérifiables (dossiers techniques, tests, journaux d’activité, procédures, mesures de protection) ainsi qu’un niveau minimal de formation des équipes (AI literacy), conformément au calendrier d’application du règlement.
Obligations AI Act par niveau de risque : la logique à retenir
L’AI Act classe les cas d’usage selon une approche “risk-based” : plus l’impact est élevé, plus les exigences (et preuves) montent. Ce n’est pas une simple auto-déclaration : pour le haut risque, la conformité passe par documentation, gestion des risques, exigences sur les données, traçabilité, et évaluation de conformité.
| Niveau de risque | Obligations principales | Preuves attendues (exemples) | Sanctions |
|---|---|---|---|
| Inacceptable (interdit) | Interdiction d’usage (avec exceptions très encadrées selon cas) | Décision de non-déploiement, registre d’arbitrage, contrôles d’achat/IT | Amendes administratives maximales les plus élevées |
| Haut risque | Exigences essentielles + conformité + marquage CE (selon cas) | Dossier technique, analyse de risques, gouvernance données, logs, procédures, preuves de tests | Amendes substantielles selon manquements |
| Transparence (risque limité/spécifique) | Information des personnes, étiquetage du contenu généré/manipulé | Mentions UI/UX, politiques éditoriales, mécanismes de marquage | Amendes en cas de non-respect Risques indirects (RGPD, sécurité) |
| Minime | Pas d’exigences spécifiques AI Act (hors autres lois) | Bonnes pratiques internes (sécurité, qualité, RGPD si données personnelles) | Amendes en cas de non-respect Risques indirects (RGPD, sécurité) |
| GPAI / modèles fondamentaux | Obligations du fournisseur de modèle (docs, copyright, résumé d’entraînement), + obligations renforcées si “risque systémique” | Docs (Annexes), politique droit d’auteur, évaluation & cybersécurité, reporting incidents | Amendes en cas de non-respect Risques indirects (RGPD, sécurité) |
Flux : Risque minime → Transparence → Haut risque → Risque inacceptable (interdit) → Contrôle renforcé & preuves croissantes
Quelles sont les obligations concrètes par niveau de risque ?
Pour le haut risque, l’AI Act impose un socle de conformité vérifiable, centré sur la gestion des risques, la qualité des données, la traçabilité, et la capacité de démontrer la conformité via une documentation maintenue à jour.
- Gestion des risques sur tout le cycle de vie : processus itératif, tests, mise à jour (article 9),
- Données & data governance : origine, préparation, biais, représentativité, complétude, mesures correctives (article 10),
- Documentation technique avant mise sur le marché / mise en service, et tenue à jour (Article 11 – Annexe IV),
- Journalisation (logs) pour traçabilité et monitoring (article 12),
- Surveillance humaine : prévenir/minimiser les risques, éviter l’automation bias, capacité d’override/stop (article 14).
À ces exigences s’ajoutent, selon les cas : une évaluation de conformité (procédures internes ou avec organisme notifié) et un marquage CE pour les systèmes à haut risque concernés. Concrètement, votre contrôle doit produire des livrables auditables, sans exposer inutilement le secret professionnel (accès restreint, need-to-know, gestion des preuves).
Exemple de checklist “avant mise sur le marché / mise en service”
Objectif : pouvoir prouver la conformité, pas seulement la déclarer.
1) Qualifier le système : niveau de risques, rôle (fournisseur/déployeur), périmètre données.
2) Assembler la documentation : dossier technique + usage prévu + limites + versioning.
3) Mettre en place la gestion des risques : tests, scénarios de mésusage, risques résiduels acceptables.
4) Vérifier la gouvernance données : origine, biais, qualité, sécurité, rétention, accès (y compris secret professionnel).
5) Activer logs, traçabilité, supervision humaine, procédures d’arrêt/override.
6) Déterminer la voie d’évaluation de conformité + marquage CE si applicable.
Modèles d’IA générative et GPAI : quelles nouvelles exigences ?
Les modèles GPAI (General Purpose AI) sont des modèles d’IA à usage général, conçus pour accomplir un large éventail de tâches et pouvant être intégrés dans de multiples systèmes ou applications en aval, indépendamment d’un cas d’usage spécifique initial.
L’AI Act impose des obligations spécifiques aux fournisseurs de modèles GPAI :
- Produire une documentation technique du modèle (incluant entraînement, tests, résultats d’évaluation)
- Fournir aux intégrateurs des informations permettant un usage conforme
- Mettre en place une politique de respect du droit d’auteur
- Publier un résumé suffisamment détaillé du contenu utilisé pour l’entraînement.
Pour les modèles GPAI “à risque systémique”, des exigences additionnelles s’appliquent :
- évaluation selon protocoles de pointe,
- adversarial testing (soumettre un système d’IA à des scénarios d’attaque ou à des entrées manipulées afin d’identifier ses vulnérabilités, ses biais et ses comportements imprévus avant son déploiement),
- gestion et atténuation des risques systémiques,
- reporting d’incidents graves,
- niveau adéquat de cybersécurité.
Enfin, côté transparence des contenus générés/manipulés (audio/image/vidéo/texte), l’AI Act prévoit des obligations de marquage et de disclosure, en particulier pour les deepfakes et certains contenus d’intérêt public.
Les obligations principales relatives aux modèles GPAI visent d’abord leurs fournisseurs. Toutefois, les entreprises intégrant ces modèles restent responsables de leur usage conforme et documenté.
Calendrier d’application de l’AI Act : les dates à retenir (timeline)
L’application est progressive. La Commission synthétise un calendrier clair, avec des dates fixes :
| Date | Ce qui s’applique | Implication entreprise |
|---|---|---|
| 2 février 2025 | Définitions / dispositions générales (dont AI literacy) + interdictions | Bloquer les usages interdits, lancer la formation, renforcer le contrôle des achats/outils |
| 2 août 2025 | Règles GPAI + gouvernance + mise en place autorités / pénalités | Exiger des fournisseurs GPAI la documentation et les éléments copyright ; adapter contrats |
| 2 août 2026 | Majorité des règles + haut risque (Annexe III) + transparence (Article 50) | Conformité “démontrable” pour les systèmes haut risque déployés |
| 2 août 2027 | Haut risque intégré à certains produits régulés (logique Annexe I) | Alignement avec les cadres produit (santé, transport, etc.) |
Source officielle : AI Act Service Desk — Timeline d’implémentation.
Sanctions et responsabilités : ce que vous risquez vraiment
Les sanctions sont administratives, avec des plafonds qui varient selon la gravité.
L’AI Act prévoit notamment des amendes maximales pouvant aller jusqu’à 35 000 000€ ou 7% du chiffre d’affaires mondial annuel (selon la violation, le montant le plus élevé étant retenu), avec d’autres niveaux (ex. 15 000 000 EUR ou 3%, et des montants spécifiques pour informations incorrectes/trompeuses).
À la différence d’une approche purement RGPD, l’AI Act combine : conformité “produit” (évaluation, marquage CE), obligations organisationnelles (QMS, procédures, formation), et obligations de transparence. Cela impose de clarifier “qui fait quoi” entre fournisseurs, intégrateurs et déployeurs, et de gérer le secret professionnel dans le partage des preuves (contrats, accès aux logs, audits).
AI Act et autres réglementations : RGPD, NIS2, cybersécurité
L’AI Act ne remplace pas les autres textes. Il s’empile avec :
- Le RGPD : dès qu’il y a des données personnelles, vos analyses (base légale, information, droits, minimisation, sécurité) restent obligatoires ; l’AI Act ajoute un niveau “qualité des données / biais / traçabilité” et des obligations de transparence IA (ex. deepfakes) qui peuvent renforcer vos exigences d’information.
- NIS2 / cybersécurité : l’AI Act exige une approche robuste (notamment pour certains systèmes haut risque et GPAI à risque systémique) et encourage des mécanismes de gestion des incidents, de durcissement et de protection. Par exemple, les modèles GPAI à risque systémique doivent assurer un niveau adéquat de cybersécurité, article 55.
Point clé : évitez les silos. Un même système peut déclencher des obligations RGPD (PIA/AIPD), AI Act (haut risque, transparence) et sécurité (NIS2, exigences internes).
La meilleure stratégie : un référentiel commun de gestion des risques, de documentation, et de contrôle des changements. Avec MDP Data Protection, pilotez efficacement vos obligations RGPD, AI Act et NIS2 au sein d’un même référentiel, la plateforme SimplyRGPD centralise l’audit, la documentation et le suivi de votre conformité multi-réglementaire.
Comment structurer une mise en conformité AI Act en entreprise ?
Pour éviter la conformité “papier”, structurez un dispositif outillé et pilotable, centré sur les preuves.
- Gouvernance interne : sponsor, rôles (juridique, RSSI, DPO, métiers), RACI, arbitrages documentés.
- Cartographie des usages : où l’IA est utilisée (y compris “Shadow AI”), quelles données, quels fournisseurs, quel niveau de risques.
- Politique IA : règles d’usage, exigences de protection, secret professionnel, validation des outils, procédures d’escalade.
- Gestion des risques & conformité : alignée AI Act (Article 9) + data governance (Article 10) + logs (Article 12).
- Formation : AI literacy, sur les cas d’interdiction, la transparence, les biais, et le bon contrôle des sorties.
Deux leviers pragmatiques pour accélérer :
- un audit initial “AI Act readiness” avec collecte de documentation et preuves,
- des clauses contractuelles éditeurs / fournisseurs (accès aux infos nécessaires, limites de responsabilité, incidents, mises à jour, confidentialité et secret professionnel).
Pour industrialiser vos livrables, notre plateforme d’audit peut aider à cartographier les risques et à les prioriser. Pour la sensibilisation et la formation continue, un LMS spécialisé réduit la “Shadow AI” en donnant des règles simples et testables, apprenez s’en plus avec MDP Campus !
👉 Pour approfondir ce sujet, découvrez nos articles : Logiciel de conformité IA : anticiper l’IA Act et sécuriser vos usages ! et Conformité IA : comment se mettre en conformité avec l’IA Act.
FAQ – Exigences AI Act
La responsabilité dépend du rôle défini par le règlement européen.
Le fournisseur assume les obligations de conception, de conformité technique et, le cas échéant, de marquage CE du système d’IA.
Le déployeur doit respecter les obligations d’usage, de contrôle, de transparence et de mise en œuvre des procédures internes.
En pratique, il est essentiel de contractualiser les responsabilités, l’accès aux preuves (documentation, logs, mises à jour, sécurité) et les modalités d’audit, tout en protégeant le secret professionnel.
L’AI Act prévoit plusieurs niveaux d’amendes administratives selon la gravité de l’infraction.
Les plafonds peuvent atteindre 35 millions d’euros ou 7 % du chiffre d’affaires mondial annuel, le montant le plus élevé étant retenu pour certaines violations graves.
D’autres niveaux existent (15 millions d’euros ou 3 %, notamment).
Les modalités précises d’application sont encadrées par les États membres dans le cadre du règlement européen.
L’application du règlement est progressive :
2 février 2025 : entrée en application des interdictions et dispositions générales (dont AI literacy).
2 août 2025 : obligations relatives aux modèles GPAI et mise en place du cadre de gouvernance.
2 août 2026 : application de la majorité des obligations, notamment pour les systèmes à haut risque (Annexe III) et les exigences de transparence (article 50).
2 août 2027 : intégration complète pour certains systèmes à haut risque liés à des produits réglementés.
Les entreprises doivent anticiper ces échéances pour éviter une mise en conformité tardive ou précipitée.
La Shadow AI (usages non déclarés d’outils d’intelligence artificielle par les équipes) doit être traitée comme un risque organisationnel.
Les bonnes pratiques incluent : une cartographie des usages IA ; des règles claires sur les données pouvant être traitées ; des mécanismes de contrôle (SSO, journalisation, validation des outils) ; une formation continue des collaborateurs.
L’objectif n’est pas d’interdire l’IA, mais d’assurer un usage traçable, proportionné et conforme au RGPD et aux exigences de l’AI Act.
Oui, potentiellement.
Une PME peut être considérée comme déployeur, selon l’usage qu’elle fait d’un outil d’IA générative.
Si l’outil est utilisé pour produire du contenu public, automatiser une relation client ou intégrer un modèle GPAI dans un système métier, l’entreprise doit évaluer le niveau de risque ; respecter les obligations de transparence ; documenter son usage ; assurer la conformité RGPD en cas de traitement de données personnelles.
Les obligations spécifiques aux GPAI visent principalement les fournisseurs du modèle, mais l’entreprise reste responsable de son usage opérationnel et de sa documentation interne.
En résumé
L’AI Act est le règlement européen qui impose des obligations graduées aux entreprises selon le niveau de risque de leurs systèmes d’intelligence artificielle.
Les organisations doivent éliminer les usages interdits, traiter les systèmes à haut risque comme des produits réglementés (documentation, gestion des risques, données, traçabilité) et assurer la transparence des interactions et contenus générés.
Le non-respect peut entraîner des sanctions financières significatives et des risques juridiques, contractuels et réputationnels.
La bonne pratique consiste à structurer une cartographie des usages IA associée à un dispositif « obligations → preuves → responsable” piloté par une gouvernance claire.
Une gestion continue des risques et des changements permet de sécuriser la conformité dans le temps, sans exposer le secret professionnel. Cette approche renforce la crédibilité de l’entreprise en audit et transforme la conformité AI Act en levier de maîtrise opérationnelle.
Pour aller plus loin
- CNIL – Nouvelle édition : Guide 2024 de la sécurité des données personnelles
- MDP Data Protection – Logiciel RGPD : comment choisir la solution idéale pour votre entreprise
- Parlement Européen – EU AI Act: first regulation on artificial intelligence
- Commission Européenne – Le code de bonnes pratiques de l’IA à usage général | Bâtir l’avenir numérique de l’Europe
- Commission Européenne – AI Act Explorer
- Commission Européenne – AI Act – Article 99 (sanctions)
Les solutions MDP Data Protection
MDP Data Protection accompagne les organisations dans la mise en conformité multi-réglementaire (RGPD, NIS2 et IA Act…), avec une approche opérationnelle et évolutive.
- SimplyRGPD : Pilotage de votre conformité au quotidien.
- MDP CAMPUS : Notre parcours de sensibilisation en vidéos pédagogiques de 3 à 7 minutes.
- MDP Diagnostic : Diagnostic instantané de votre niveau de conformité.
Notre Livre Blanc RGPD
Besoin d’un support clair pour comprendre et appliquer le RGPD au quotidien ?
À propos de l’auteur
Christophe SAINT-PIERRE – Fort de plus de 20 ans d’expérience, Christophe accompagne les organisations dans leur mise en conformité réglementaire (RGPD, NIS2, AI Act) en combinant expertise juridique, vision stratégique et approche opérationnelle. Au sein de MDP Data Protection, il pilote une démarche axée sur l’excellence, l’innovation et la valorisation réglementaire. Son objectif : transformer les contraintes légales en opportunités business pour ses clients.
