IA

AI Act (AIACT) : on arrête de paniquer, on comprend, et on fait les choses proprement (15 min)

Daniel
📖 12 min de lecture 👁 15 vues

Il y a deux types de réactions quand je prononce “AI Act” en réunion :

  1. Le regard vide : “Ah oui, l’Europe… encore une loi…”
  2. Le regard panique : “C’est le RGPD mais en pire, non ? On va devoir arrêter l’IA ?!”

Respirons.

L’AI Act n’est pas là pour “tuer l’IA”. Il est là pour arrêter certains usages, encadrer les usages sensibles, et forcer un minimum de sérieux quand une IA peut impacter des droits, une santé, une carrière, un crédit, une justice.

Et franchement ? Sur le principe… c’est plutôt sain.

0) Avant de rentrer dans le dur : 3 idées simples à garder en tête

1. L’AI Act ne vise pas “l’IA” en général : il vise des usages.
Tu peux faire de l’IA “tranquille” (filtre anti-spam, recommandations de produits, amélioration d’un process interne) sans tomber dans la catégorie “film d’horreur réglementaire”.

2. C’est une logique “risque”.
Plus ton système peut faire des dégâts, plus tu dois documenter, contrôler, tracer, superviser. (Stratégie numérique de l’UE)

3. Certaines obligations sont déjà en vigueur, d’autres arrivent (et très vite).
Notamment : interdictions + AI literacy depuis le 2 février 2025, et règles GPAI depuis le 2 août 2025. (Stratégie numérique de l’UE)

1) L’AI Act, c’est quoi (et ce que ce n’est pas)

L’AI Act, c’est un règlement européen qui pose un cadre commun pour développer, commercialiser et utiliser des systèmes d’IA dans l’UE. L’objectif affiché : une IA digne de confiance, sans empêcher l’innovation. (EUR-Lex)

Ce que ce n’est pas :

  • Ce n’est pas un bannissement de l’IA.
  • Ce n’est pas “juste pour ChatGPT”. (Même si les modèles “généralistes” sont clairement dans le viseur.) (Stratégie numérique de l’UE)
  • Ce n’est pas une baguette magique qui remplace RGPD, cybersécurité, droit du travail, etc. (Spoiler : le RGPD reste le RGPD.) (CNIL)

En fait, l’AI Act ressemble beaucoup à un truc que les industriels connaissent déjà :
un cadre type “mise sur le marché + conformité + surveillance”.
Sauf que là… l’objet, c’est une IA.

2) La mécanique centrale : 4 niveaux de risque (et un bon sens assez brutal)

L’AI Act classe les systèmes d’IA selon 4 niveaux. (Stratégie numérique de l’UE)

1) Risque inacceptable : interdit

C’est le “non” ferme. Pas “on verra”. Pas “on mettra une charte”. Interdit. (Stratégie numérique de l’UE)

2) Haut risque : autorisé mais très encadré

C’est le gros morceau : santé, sécurité, droits fondamentaux. Là, on veut du sérieux avant mise en service : gestion des risques, qualité des données, logs, documentation, supervision humaine, robustesse, cybersécurité… (Stratégie numérique de l’UE)

3) Transparence : autorisé, mais tu dois l’annoncer

Typiquement : chatbots, contenus générés, deepfakes. L’idée : les gens doivent savoir quand ils interagissent avec une machine ou consomment du contenu synthétique. (Stratégie numérique de l’UE)

4) Risque minimal : rien de spécifique

La majorité des IA entrent ici (ex : jeux vidéo, filtres anti-spam). (Stratégie numérique de l’UE)

Et là, petit moment vérité :

Si votre “IA” ne peut pas concrètement nuire à quelqu’un, il y a de fortes chances que vous ne soyez pas dans la zone rouge.

3) Les 8 pratiques interdites : là où l’Europe dit “stop”

L’AI Act interdit 8 pratiques considérées comme une menace claire pour les droits, la sécurité ou la dignité des personnes. (Stratégie numérique de l’UE)

Sans faire l’intégralité du roman, voici le genre de choses visées :

  • manipulation et tromperie nuisibles,
  • exploitation de vulnérabilités (enfants, personnes fragiles…),
  • social scoring,
  • prédiction/évaluation du risque d’infraction pénale à titre individuel,
  • scraping non ciblé (internet/CCTV) pour gonfler des bases de reconnaissance faciale,
  • reconnaissance des émotions au travail et à l’école,
  • catégorisation biométrique pour déduire des caractéristiques protégées,
  • identification biométrique à distance en temps réel par les forces de l’ordre dans l’espace public (avec un cadre très particulier). (Stratégie numérique de l’UE)

Et si tu te dis : “Ok, moi je fais juste un assistant pour rédiger des mails”…
Bonne nouvelle : tu es probablement très loin de ces cas.

4) Le vrai sujet pour les entreprises : “haut risque” ne veut pas dire “science-fiction”

Quand on parle d’IA “à haut risque”, les gens imaginent souvent un robot juge, ou une IA qui pilote un hôpital.

Sauf que… l’IA “haut risque” peut être très banale.

Exemples typiques (tirés des catégories visées) :

Ce n’est pas “futuriste”.
C’est souvent… un logiciel RH, un outil bancaire, un module de contrôle, un scoring.

Et “haut risque” implique quoi, concrètement ?

Avant mise sur le marché / mise en service, il faut notamment : (Stratégie numérique de l’UE)

  • un système d’évaluation et de mitigation des risques,
  • des données de qualité (réduction des biais/discriminations),
  • des logs pour la traçabilité,
  • une documentation détaillée,
  • de l’info claire pour l’utilisateur/déployeur,
  • de la supervision humaine,
  • robustesse, précision, cybersécurité.

Traduction terrain :

“Tu ne balances pas un modèle opaque dans un process sensible en mode YOLO.”

5) Transparence : le point qui va rattraper beaucoup de monde (marketing inclus)

La transparence, c’est la zone “ça a l’air simple… jusqu’à ce que ça ne le soit plus”.

L’AI Act prévoit des obligations pour que les gens sachent :

Donc oui : votre équipe com’ qui poste une vidéo “trop réelle” générée par IA… va devoir apprendre un nouveau réflexe.

Et non : “tout le monde le fait” n’est pas un argument.
(Je vous renvoie à mon autre marotte : les mots, la rigueur, tout ça.)

6) GPAI / modèles généralistes : “ça concerne surtout les gros”… jusqu’au jour où vous êtes dans la chaîne

Depuis le 2 août 2025, les règles concernant les modèles d’IA à usage général (GPAI) sont applicables. (Stratégie numérique de l’UE)

L’idée : ces modèles servent de “briques de base” à plein de systèmes.

Et donc l’AI Act prévoit des obligations spécifiques pour les fournisseurs de GPAI, notamment :

  • transparence,
  • règles liées au copyright,
  • et, pour les modèles à “risque systémique”, évaluation et mitigation des risques. (Stratégie numérique de l’UE)

“Ok mais moi je suis une PME, je n’entraîne pas un modèle”

Très souvent, tu es plutôt :

  • déployeur (tu utilises un service),
  • ou tu intègres une brique IA dans un produit,
  • ou tu proposes une solution qui “s’appuie sur” un modèle.

Et là, le sujet devient :
qu’est-ce que ton fournisseur te fournit comme garanties / docs / conditions d’usage ?

Le point intéressant : la Commission a publié des instruments de support (guidelines, code de pratique GPAI, modèle de “public summary” des données d’entraînement) pour aider à se conformer. (Stratégie numérique de l’UE)

Mais (plot twist), il y a eu pas mal de débats sur le calendrier et sur la disponibilité des outils de “code of practice”. (Reuters)

7) Les dates : parce que “bientôt” ne sert à rien

Voici le calendrier à connaître, avec des dates claires :

  • 12 juillet 2024 : publication au Journal officiel. (CNIL)
  • 1 août 2024 : entrée en vigueur. (CNIL)
  • 2 février 2025 : application des interdictions (risque inacceptable) + AI literacy. (Stratégie numérique de l’UE)
  • 2 août 2025 : application des règles GPAI + gouvernance. (Stratégie numérique de l’UE)
  • 2 août 2026 : AI Act pleinement applicable (notamment haut risque “Annexe III”). (CNIL)
  • 2 août 2027 : délai étendu pour certaines IA “haut risque” intégrées à des produits régulés (“Annexe I” / produits). (CNIL)

On est le 15 février 2026 :

  • les interdictions, c’est déjà passé,
  • le GPAI, c’est déjà passé,
  • le gros des obligations “high-risk” arrive dans quelques mois (2 août 2026).

Donc si ton organisation a des usages sensibles… c’est le moment d’être adulte.

8) L’obligation la plus sous-estimée : l’AI literacy (oui, c’est déjà applicable)

Depuis le 2 février 2025, l’AI Act met aussi l’accent sur la “AI literacy” (culture/compétences IA) – en gros : s’assurer que les personnes qui utilisent de l’IA comprennent suffisamment ce qu’elles font. (Stratégie numérique de l’UE)

Et là, je vois venir le grand classique :

“On va acheter une formation e-learning de 6 heures et cocher la case.”

Mauvaise approche.

La bonne approche, c’est “juste assez de rigueur” :

Un plan simple (et réaliste)

  • 1h : vocabulaire + limites (hallucinations, biais, confidentialité, copyright).
  • 1h : bonnes pratiques métier (prompting utile, validation humaine, traçabilité).
  • 30 min : cas concrets par équipe (RH, com’, support, sales, IT…).
  • 10 min : une “charte d’usage” courte (ce qu’on fait / ce qu’on ne fait pas).

L’objectif n’est pas de transformer tout le monde en data scientist.
C’est d’éviter que quelqu’un balance des données sensibles dans un outil externe, ou prenne une décision RH sur la foi d’un score magique.

9) Les sanctions : oui, les chiffres piquent (et c’est fait pour)

On va être clair : les plafonds d’amende sont dissuasifs.

Selon l’infraction, on parle notamment de : (ai-act-service-desk.ec.europa.eu)

  • jusqu’à 35 M€ ou 7% du CA mondial (pratiques interdites),
  • jusqu’à 15 M€ ou 3% (obligations opérateurs / transparence, etc.),
  • jusqu’à 7,5 M€ ou 1% (infos fausses/incomplètes aux autorités).

Et l’AI Act précise que pour les PME, le plafond est “le plus bas” entre montant fixe et pourcentage (ce qui évite certains scénarios absurdes). (ai-act-service-desk.ec.europa.eu)

Mais le vrai sujet n’est pas “le montant”.
Le vrai sujet c’est : la capacité à démontrer que tu maîtrises tes usages.

En clair : si tu peux montrer que tu as identifié tes cas d’usage, classé les risques, mis des garde-fous, formé les équipes, et documenté ce qui doit l’être… tu n’es pas dans la posture “on a joué avec une tronçonneuse les yeux fermés”.

10) “Ok, on fait quoi ?” Un plan anti-théâtre en 6 étapes

Je te propose une démarche simple, orientée terrain.

1) Faire l’inventaire (oui, vraiment)

Liste :

  • les outils IA utilisés (internes, SaaS, plugins, copilotes),
  • qui les utilise,
  • pour quoi,
  • avec quelles données.

Spoiler : la moitié des usages IA sont souvent “informels” (et donc risqués).

2) Classer selon les 4 niveaux de risque

Tu n’as pas besoin d’un cabinet à 1 200 €/jour pour faire une première passe.

  • C’est un chatbot interne ? → transparence / gouvernance légère.
  • C’est un tri CV ? → danger “haut risque”.
  • C’est de l’émotion detection en entretien ? → on s’éloigne dangereusement des zones autorisées. (Stratégie numérique de l’UE)

3) Identifier ton rôle : fournisseur ou déployeur ?

  • Si tu vends une solution IA : tu as des obligations “provider”.
  • Si tu utilises une solution IA : tu as des obligations “deployer”.
  • Si tu fais les deux : bon courage, et documente bien.

4) Vérifier les fournisseurs (le fameux “on veut les preuves”)

Demande (au minimum) :

  • docs, limites, conditions d’usage,
  • mesures de sécurité,
  • garanties sur les données,
  • et pour les briques GPAI : comment ils se positionnent vis-à-vis des obligations (transparence, copyright, etc.). (Stratégie numérique de l’UE)

5) Mettre en place les garde-fous “humains”

  • validation humaine sur les cas sensibles,
  • traçabilité (logs / justification),
  • procédures d’escalade,
  • règles sur les données.

6) Former (AI literacy) + écrire une charte courte

Pas 30 pages.
Une page. Deux max.
Avec des exemples concrets.

Conclusion : l’AI Act, ce n’est pas “un truc de juristes”. C’est un test de maturité.

Ce que l’AI Act demande, au fond, c’est :

  • de savoir l’IA est utilisée,
  • de savoir ce qu’elle peut impacter,
  • et de prouver qu’on ne pilote pas des décisions sensibles à l’aveugle.

Et si tu fais ça bien… tu gagnes aussi :

  • en qualité,
  • en robustesse,
  • en confiance interne,
  • et en crédibilité commerciale.

Bref : ce n’est pas juste une contrainte.
C’est aussi une opportunité de sortir du “vernis IA” et de passer en mode pro.

(Bonus) La phrase toute prête à ressortir en réunion

“L’AI Act ne nous demande pas d’arrêter l’IA. Il nous demande d’arrêter l’IA floue, non maîtrisée, et potentiellement injuste. Donc : on cartographie, on classe le risque, on met des garde-fous, et on avance.”

Sources et liens

📚 Articles similaires

IA génératives d’images : accélérateur de com’… ou machine à embrouilles ?

15 février 2026

IA, LLM : mode d’emploi (pour éviter de nourrir l’IA avec vos secrets)

15 février 2026

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *