Qu'est-ce que l'AI Act (Artificial Intelligence Act) ?
Une définition de l'AI Act
L'AI Act est une réglementation européenne adoptée le 13 juin 2024, entrée en vigueur le 1er août 2024. Elle encadre le développement, la commercialisation et l'utilisation des systèmes et modèles d'intelligence artificielle au sein de l'Union européenne, en les classant selon 4 niveaux de risque.
Mise à jour majeure (juin 2026) - Omnibus : Ce guide intègre les modifications apportées par le paquet omnibus numérique (COM(2025) 87), qui allège significativement les obligations pour la grande majorité des entreprises. Les systèmes d'IA industriels intégrés à des produits déjà conformes CE sont désormais (quasi) exemptés du régime haut risque.
AI Act vs RGPD : Quelle différence ?
Aujourd'hui, le RGPD ne s'applique qu'aux données personnelles. L'AI Act vient combler un vide juridique concernant les intelligences artificielles. L'AI Act est donc complémentaire au RGPD : les deux peuvent s'appliquer simultanément si une IA traite des données personnelles.
AI Act Omnibus 2026 : ce qui change
Le paquet omnibus numérique a profondément restructuré l'AI Act. Voici les modifications majeures.
Les systèmes désormais (quasi) exemptés
Le règlement omnibus (COM(2025) 87) exempte quasi-totalement du régime haut risque les systèmes d'IA qui sont des composants de sécurité intégrés à des produits déjà soumis à une évaluation de conformité CE tierce (machines, dispositifs médicaux, véhicules...). Pour ces systèmes, seule subsiste l'obligation d'enregistrement dans la base de données UE.
Attention : cette exemption ne dispense pas de l'enregistrement, obligatoire sans exception.
Les nouveaux délais
- 2 août 2026 : Application complète IA à haut risque (Annexe III) - maintenu
- 2 août 2027 : IA à haut risque Annexe I (produits CE) - maintenu
- Systèmes existants déployés avant août 2026 : délai supplémentaire jusqu'au 31 décembre 2030 pour les systèmes mis sur le marché avant la date d'application
Ce que ça change pour les DPO d'ETI
Si votre entreprise utilise ou déploie une IA tierce (SaaS RH, scoring crédit, outil de recrutement), la charge de conformité se déplace vers le fournisseur. Le déployeur reste co-responsable de la surveillance et de la documentation d'utilisation, mais n'a plus à réaliser l'évaluation de conformité complète.
Qui est concerné par l'AI Act ?
La mise en conformité à l'AI Act concerne :
- toutes les organisations (entreprises, associations, organismes de recherche, etc.) qui fournissent, distribuent ou déploient des systèmes d'IA ;
- dont le siège social est situé dans l'un des etats membres de l'Union Européenne ;
- et/ou qui commercialisent des SIA sur le marché intérieur de l'Union Européenne.
Exemple : Une entreprise américaine qui vend un logiciel de recrutement par IA à des entreprises françaises est soumise à l'AI Act.
Quels sont les 4 niveaux de risque de l'AI Act ?
L'AI Act classe les systèmes d'IA en 4 catégories de risque, chacune avec ses propres obligations.
Niveau 1 : L'IA à risque inacceptable
Les systèmes et modèles d'IA à risque inacceptable sont interdits. Ils contreviennent aux valeurs de l'UE et portent atteinte aux droits fondamentaux. Ils ne peuvent pas être commercialisés au sein de l'Union européenne.
Exemples interdits depuis le 2 février 2025 :
- Scoring social par les gouvernements
- Exploitation des vulnérabilités (âge, handicap, situation sociale)
- Scraping d'images faciales pour constituer des bases de reconnaissance faciale
Niveau 2 : L'IA à haut risque
Systèmes susceptibles d'avoir un impact significatif sur la santé, la sécurité ou les droits fondamentaux. 8 domaines définis par l'Annexe III :
- Identification et catégorisation biométrique
- Gestion d'infrastructures critiques
- Education et formation professionnelle
- Emploi et gestion de travailleurs (tri de CV, évaluation de salariés)
- Accès aux services essentiels (scoring de crédit, aides sociales)
- Application de la loi
- Migration et contrôles aux frontières
- Administration de la justice
Post-Omnibus : si votre système IA est un composant de sécurité intégré dans un produit déjà certifié CE (machine, dispositif médical...), l'exemption quasi-totale s'applique - seul l'enregistrement reste obligatoire.
Niveau 3 : IA à risque limité
Systèmes qui interagissent avec les utilisateurs sans risque élevé : chatbots, systèmes de recommandation, détecteurs de plagiat. Obligation : informer l'utilisateur qu'il interagit avec une IA.
Exemple : Mention "Cette conversation est gérée par un assistant virtuel" ou "Cette image a été générée par IA".
Niveau 4 : IA à risque minime
Tous les autres systèmes d'IA : filtres anti-spam, correcteurs orthographiques, IA de jeux vidéo... Pas d'obligation particulière. Il est simplement recommandé de mettre en place un code de conduite volontaire.
Comment se mettre en conformité avec l'AI Act ?
Voici le parcours de conformité structuré en fonction de votre profil.
1- Réaliser une cartographie des systèmes d'IA
Les obligations s'appliquent à chaque système d'IA et non à l'entreprise dans son ensemble. Cartographiez tous les systèmes existants et les projets en développement intégrant l'IA. Incluez les IA tierces déployées (SaaS, APIs).
2- Evaluer les niveaux de risque des systèmes et modèles d'IA existants et en projet
Evaluez le niveau de risque selon :
- le secteur d'activité (banque, santé, RH, etc.)
- les cas d'utilisation concrets
- la puissance du modèle d'IA
- les types de données utilisées (personnelles, sensibles)
- post-Omnibus : le produit hôte est-il déjà certifié CE ?
3- Classer les systèmes d'IA en fonction des niveaux de risque
Classez chaque système : minime, risque limité, haut risque ou inacceptable. Si inacceptable : le produit ne peut pas être commercialisé. Dans les autres cas, adaptez les actions au niveau de risque.
4- Mise en conformité d'un système à haut risque
Pour un système à haut risque (non exempté post-Omnibus), les étapes sont :
- Mettre en place un système de gestion des risques
- Valider la qualité et la non-discrimination des données
- Evaluer la précision, la robustesse, garantir la cybersécurité
- Garantir un contrôle humain
- Respecter l'obligation de transparence et d'information
- Tenir un registre des activités
- Concevoir la documentation technique
- Procéder à la déclaration de conformité
- S'assurer du marquage CE
- Procéder à l'enregistrement dans la base de données UE
Appliquer l'AI Act à sa chaîne de sous-traitance
L'AI Act ne s'arrête pas à votre périmètre interne : si vous achetez ou intégrez un système d'IA fourni par un tiers, vous restez co-responsable de sa conformité. Les obligations de transparence, de documentation et d'évaluation des risques s'étendent à toute la chaîne. Pour structurer cet examen, voir notre méthode d'audit IA des sous-traitants.
Calendrier d'application AI Act 2024-2030
- 1er août 2024 - Entrée en vigueur officielle
- 2 février 2025 - Interdictions IA à risque inacceptable (en vigueur)
- 2 août 2025 - Obligations modèles GPAI (en vigueur)
- 2 août 2026 - Application complète IA à haut risque (Annexe III)
- 2 août 2027 - IA à haut risque Annexe I (dispositifs médicaux, jouets...)
- 31 décembre 2030 - Systèmes existants déployés avant août 2026 (délai Omnibus)
Sanctions AI Act : que risquez-vous ?
Quelles sont les sanctions AI Act ?
Les sanctions varient selon le niveau de risque : jusqu'à 35M€ ou 7% du CA mondial pour les IA interdites, 15M€ ou 3% pour les IA haut risque non conformes, et 7,5M€ ou 1% pour les manquements de transparence.
Pour les PME et startups : les sanctions sont plafonnées au montant le plus bas entre le seuil absolu et le pourcentage du CA.
Quand l'AI Act entre-t-il en vigueur ?
L'AI Act est entré en vigueur le 1er août 2024. Son application est progressive : interdictions depuis février 2025, obligations GPAI depuis août 2025, et application complète le 2 août 2026.
FAQ AI Act
Qu'est-ce que l'AI Act ?
L'AI Act (Règlement UE 2024/1689) est le premier cadre juridique mondial sur l'intelligence artificielle, adopté par l'Union européenne. Il encadre le développement, la commercialisation et l'utilisation des systèmes d'IA en Europe selon 4 niveaux de risque.
Quand l'AI Act entre-t-il en vigueur ?
L'AI Act est entré en vigueur le 1er août 2024. Son application est progressive : interdictions depuis février 2025, obligations GPAI depuis août 2025, et application complète le 2 août 2026.
Qui est concerné par l'AI Act ?
Toute organisation qui développe, commercialise ou utilise des systèmes d'IA dans l'Union européenne, ou dont les systèmes d'IA sont utilisés par des personnes situées dans l'UE, même si l'entreprise est hors Europe.
Quels sont les 4 niveaux de risque de l'AI Act ?
1) Risque inacceptable : IA interdites (scoring social, manipulation). 2) Haut risque : obligations strictes (recrutement, crédit, santé). 3) Risque limité : obligation de transparence (chatbots). 4) Risque minimal : pas d'obligation spécifique.
Quelles sont les sanctions AI Act ?
Les sanctions varient selon le niveau de risque : jusqu'à 35M€ ou 7% du CA mondial pour les IA interdites, 15M€ ou 3% pour les IA haut risque non conformes, et 7,5M€ ou 1% pour les manquements de transparence.
Quelle différence entre AI Act et RGPD ?
Le RGPD encadre les données personnelles, l'AI Act encadre les systèmes d'intelligence artificielle. Les deux sont complémentaires et peuvent s'appliquer simultanément si une IA traite des données personnelles.
L'Omnibus a-t-il modifié mes obligations AI Act ?
Oui, significativement. Le paquet omnibus (COM(2025) 87) exempte quasi-totalement du régime haut risque les systèmes d'IA intégrés dans des produits déjà certifiés CE. Il ajoute aussi un délai supplémentaire jusqu'au 31 décembre 2030 pour les systèmes déployés avant août 2026. Seul l'enregistrement reste obligatoire sans exception.
Quels systèmes IA sont exemptés post-Omnibus ?
L'IA industrielle intégrée à des produits déjà couverts par une certification CE tierce (machines, dispositifs médicaux, équipements de protection...) est quasi-exemptée du régime haut risque. Cette exemption ne dispense pas de l'enregistrement, obligatoire sans exception.
Leto vous accompagne dans votre conformité AI Act + RGPD
Leto est la plateforme SaaS qui centralise votre conformité RGPD et AI Act : cartographie automatisée des systèmes d'IA, évaluation des niveaux de risque, templates AIPD, formation des équipes, veille réglementaire.
.png)
