AI Act : suis-je concerné, et que dois-je faire ?
L’AI Act est le règlement européen qui encadre les systèmes d’IA selon leur niveau de risque. Il ne s’applique pas d’un bloc, mais par étapes : certaines interdictions sont déjà en vigueur, et les obligations qui pèsent sur les systèmes les plus sensibles se déploient progressivement, selon un calendrier que l’Union continue d’ajuster. Surtout, il ne concerne pas que les géants de la tech. Le premier réflexe utile n’est donc pas de surveiller une date, c’est de savoir dans quelle case vous vous situez.
Beaucoup d’entreprises découvriront trop tard qu’elles étaient concernées. Pas parce que le sujet est obscur, mais parce qu’elles supposent que « ça ne nous concerne pas ». Souvent à tort.
L’AI Act, c’est quoi exactement ?
C’est le premier cadre réglementaire européen sur l’intelligence artificielle. Sa logique est simple : plus un système d’IA peut affecter des personnes, plus il est encadré. Son application est progressive. Certaines pratiques jugées inacceptables sont déjà interdites, et les obligations les plus lourdes, qui visent les systèmes à haut risque, entrent en vigueur par paliers sur les prochaines années. Le calendrier précis a évolué et continue d’être ajusté : raison de plus pour ne pas miser sa préparation sur une seule date, mais sur la compréhension de son exposition.
Suis-je concerné, même sans être une entreprise tech ?
Probablement plus que vous ne le pensez. L’AI Act ne vise pas que les éditeurs d’IA. Toute organisation qui fournit, intègre ou déploie un système d’IA peut avoir des obligations, selon l’usage et le niveau de risque. Si vous utilisez un assistant IA dans votre relation client, vos ressources humaines ou vos processus internes, vous êtes peut-être un « déployeur » avec des devoirs à la clé, sans l’avoir réalisé.
Quelles sont les obligations, concrètement ?
Elles dépendent du niveau de risque : un usage à faible risque entraîne peu de contraintes, là où un système à haut risque en concentre l’essentiel. Pour ces systèmes les plus sensibles, les obligations tournent autour de cinq points : la gouvernance des données (savoir quelles données alimentent votre IA, et avec quelles garanties), la journalisation (tracer ce que fait le système pour pouvoir l’expliquer), la supervision humaine (garder un humain dans la boucle sur les décisions qui comptent), la documentation technique (décrire le système, ses limites et ses usages prévus), et la transparence (informer les personnes lorsqu’elles interagissent avec une IA). La première question n’est donc pas « comment je me conforme », mais « à quel niveau de risque se situe mon usage ».
Par où commencer, sans courir après le calendrier ?
Le premier pas n’est ni juridique ni technique : c’est de faire l’état des lieux. Quels systèmes d’IA utilisez-vous ou déployez-vous, pour quoi faire, à quel niveau de risque ? À partir de là, une gap analysis montre où vous en êtes, ce qui manque et ce qui est prioritaire, puis une feuille de route réaliste. Le calendrier réglementaire bougera peut-être encore, mais ce travail de cartographie de votre exposition, lui, reste valable quoi qu’il arrive.
Ce qu’un décideur doit retenir
N’attendez pas une échéance pour découvrir que vous étiez concerné. Savoir dans quelle case vous vous situez coûte peu, et cela transforme une inquiétude vague en un plan clair, robuste quelles que soient les dates finalement retenues.
Si vous n’êtes pas sûr de ce qui s’applique à vous, c’est le bon moment pour faire le point.