AI Act : ce qui change pour les entreprises au 2 août 2025

Première réglementation de l’UE dédiée à l’intelligence artificielle, l’AI Act vise à encadrer le développement, la mise sur le marché et l’utilisation des systèmes d’IA (SIA) pouvant présenter des risques pour la santé, la sécurité ou encore les droits fondamentaux des citoyens européens. 

Qu’est-ce qu’un système d’IA ?

Selon le texte officiel de l’AI Act, le terme “système d’IA” désigne :

(...) un système automatisé conçu pour fonctionner à différents niveaux d'autonomie, qui peut faire preuve d'une capacité d'adaptation après son déploiement et qui, pour des objectifs explicites ou implicites, déduit, à partir des données d'entrée qu'il reçoit, la manière de générer des résultats tels que des prédictions, du contenu, des recommandations ou des décisions qui peuvent influencer les environnements physiques ou virtuels.

Le terme englobe donc des applications déjà ancrées dans la vie quotidienne de nombre de citoyens européens, comme les assistants virtuels ou les recommandations générées par les plateformes de streaming.

Ce qui change à compter du 2 août 2025

Le calendrier d’application de l’AI Act est progressif, et le 2 août marque une échéance majeure, avec l’entrée en vigueur des premières obligations concrètes pour l’écosystème IA.

Les fournisseurs de modèles d’IA à usage général (GPAI – General Purpose AI) devront :

• Publier un résumé des jeux de données d'entraînement ;
• Décrire les capacités, limitations et risques connus du modèle ;
• Attester du respect des droits de propriété intellectuelle ;
• Fournir des instructions claires d’utilisation.

En parallèle, les autorités de surveillance prennent fonction :

• L’AI Office européen est officiellement opérationnel ;
• Les organismes notifiés peuvent commencer à être désignés pour les évaluations de conformité.

Enfin, le régime de sanctions financières est activé :

• Jusqu’à 35 millions d’euros ou 7 % du chiffre d’affaires mondial pour les violations les plus graves.

Ces règles s’appliquent à toute entreprise dont les systèmes d’IA sont proposés ou utilisés dans l’Union, appliquant le même principe d’extraterritorialité que le RGPD.

Une approche basée sur les niveaux de risques

Le principe central de l’AI Act repose sur une classification des systèmes d’IA en quatre niveaux de risque, chacun impliquant des obligations spécifiques :

• Risque inacceptable (ex. : notation sociale de masse) → interdiction pure et simple ;
• Risque élevé (ex. : IA utilisée pour le recrutement, l’éducation, les soins de santé, etc.) → obligations renforcées de conformité (évaluation, documentation, supervision humaine, etc.) ;
• Risque limité → obligation d’informer l’utilisateur (ex. : chatbot) ;
• Risque minimal ou nul → libre utilisation (ex. : filtres d’image ou assistants vocaux standards).

Notez que les obligations liées aux systèmes à haut risque ne seront pas effectives au 2 août 2025, mais entreront en vigueur courant 2026. Il reste donc crucial de s’y préparer dès maintenant.

Fournisseur vs deployeur : responsabilités et obligations

Dans le cadre de l’AI Act, la distinction entre les rôles de « fournisseur » et de « déployeur » devient centrale.

Le fournisseur est celui qui développe ou fait développer un système d’IA, ou qui le met sur le marché sous sa propre marque, que ce soit à titre gratuit ou payant. Sa responsabilité première est de garantir la conformité du système avec les exigences de sécurité, de fiabilité et de respect des droits fondamentaux définies par le règlement. 

Cela implique la production d’une documentation technique rigoureuse, la transparence sur les données utilisées, et la communication d’instructions claires pour une utilisation sûre de la technologie. Pour les modèles d’IA à usage général, le fournisseur doit également publier un résumé des données d’entraînement et démontrer le respect des règles de propriété intellectuelle.

Le déployeur est l’entité qui utilise un système d’IA sous son autorité, hors usage strictement personnel. Le déployeur doit mettre en œuvre le système conformément aux recommandations du fournisseur et en veillant à la protection des droits des utilisateurs finaux. Il doit s’assurer de la compétence de son personnel pour garantir une utilisation responsable et sécurisée de l’IA, surveiller le fonctionnement du système et signaler tout incident ou risque potentiel. Le déployeur est également tenu de collaborer lors des audits ou contrôles réglementaires en fournissant toutes les informations nécessaires.

Lorsqu’un système d’IA est classé « à haut risque », les obligations se renforcent pour les deux parties. Fournisseurs et déployeurs doivent alors mettre en place des procédures de gestion des risques, documenter précisément le fonctionnement et les usages du système, et assurer une transparence accrue vis-à-vis des utilisateurs et des autorités de contrôle. 

Quatre bonnes pratiques à mettre en place pour vos projets d’IA

1. Définissez le niveau de risque associé à au système d’IA impliqué dans votre projet, conformément à la classification prévue par l’AI Act. Précisez aussi le rôle exact de l’entreprise dans le projet : agit-elle en tant que fournisseur, déployeur ou simple prestataire de services data ?

2. Établissez si des données personnelles sont utilisées lors du développement ou de l’exploitation du système d’IA. Si c’est le cas, toutes les obligations du RGPD doivent être appliquées au projet.

3. Examinez attentivement les jeux de données utilisés pour entraîner le système afin de détecter des biais éventuels (qualité, représentativité statistique, biais cognitifs, etc.) qui pourraient impacter la performance ou l’équité du modèle.

4. Anticipez la production de la documentation requise : dossier technique, analyse des risques, mesures de transparence et évaluation de la conformité, en veillant à répondre aux exigences spécifiques à chaque niveau de risque

Si le 2 août 2025 marque un tournant réglementaire pour toutes les organisations impliquées dans le développement ou l’exploitation de l’IA, il ne s’agit que d’une première étape. Le calendrier de l’AI act est voué à s’étendre jusqu’en 2026-2027, avec des obligations croissantes.

‍

Concernant cette réglementation, la mise en conformité ne s’improvise pas : elle suppose de structurer sa gouvernance IA, de documenter ses modèles, et d’assurer la transparence vis-à-vis des utilisateurs comme des régulateurs. Contactez-nous pour découvrir comment fifty-five peut vous aider à vous adapter à l’AI Act et appliquer l’IA de façon raisonnée, innovante et sécurisée.

‍