AI Act expliqué : classification des risques, rôles et obligations

Le règlement européen sur l'intelligence artificielle n'est plus une perspective lointaine. Depuis le 1er août 2024, l'AI Act est en vigueur. Et le compte à rebours pour les obligations les plus exigeantes, celles qui concernent les systèmes d'IA à haut risque, s'arrête le 2 août 2026. Il reste moins de 5 mois pour les entreprises qui ne se sont pas encore saisies du sujet.

Pourtant, beaucoup d'organisations continuent de regarder ce texte de loin, persuadées qu'il ne les concerne pas directement. C'est une erreur. L'AI Act ne régule pas uniquement des technologies : il régule des acteurs, des responsabilités et des positions dans une chaîne de valeur. Et dans cette chaîne, presque toutes les entreprises qui utilisent, achètent, déploient ou distribuent de l'IA sont concernées.

Décryptons ce que ce règlement implique concrètement, au-delà des présentations simplifiées.

Un texte historique, mais souvent mal compris

L'AI Act représente une première mondiale : un cadre réglementaire complet, structuré et directement applicable à l'ensemble des systèmes et des acteurs de l'IA au sein de l'Union européenne. Son ambition va bien au-delà de la conformité technique. Ce texte cherche à organiser les conditions d'un développement de l'IA plus robuste, plus responsable et plus soutenable.

Mais réduire l'AI Act à une liste d'obligations à cocher serait une erreur stratégique. Il nous invite à penser une vraie gouvernance de l'IA dans l'entreprise, une gouvernance qui, bien pensée, devient un levier de performance et de différenciation, pas un frein.

Le niveau de risque ne dépend pas uniquement de la technologie. Il dépend avant tout de l'usage qui en est fait.

Les 4 niveaux de risque : une logique fondée sur l'impact

Le cœur du dispositif repose sur une classification des systèmes d'IA selon leur niveau de risque potentiel sur la sécurité, la santé et les droits fondamentaux des personnes.

‍

‍

🔴 Risque inacceptable — Interdiction totale (depuis février 2025)

Ces systèmes sont purement et simplement interdits. Ils portent atteinte aux valeurs dfondamentales de l'Union européenne.

Exemples concernés :

• Notation sociale des individus par les pouvoirs publics

• Exploitation de la vulnérabilité des personnes (âge, handicap, situation économique)

• Manipulation comportementale ou cognitive à l'insu des individus

• Reconnaissance des émotions dans des contextes professionnels ou éducatifs

🟠 Risque élevé — Encadrement strict (application complète : 2 août 2026)

Ces systèmes ne sont pas intrinsèquement dangereux, mais leur impact potentiel sur les individus les soumet à des exigences fortes. C'est ici que la majorité des entreprises vont devoir agir rapidement.

Exemples concernés :

• Outils de recrutement ou d'évaluation automatisée des candidats

• Algorithmes de scoring de crédit ou d'accès aux services financiers

• Systèmes d'aide au diagnostic médical

• Systèmes utilisés dans la justice, les forces de l'ordre ou les infrastructures critiques

• Outils d'évaluation des élèves dans l'éducation

🟡 Risque spécifique en matière de transparence — Obligations déclaratives (depuis août 2025)

Ces systèmes sont libres d'usage, mais doivent informer clairement les utilisateurs qu'ils interagissent avec une IA.

Exemples concernés :

• Chatbots et assistants virtuels

• Deepfakes et contenus synthétiques

• Tout contenu généré par IA destiné au public

🟢 Risque minimal — Usage libre

Ces systèmes ne sont soumis à aucune obligation spécifique, mais l'adoption volontaire de bonnes pratiques reste fortement recommandée.

Exemples : filtres anti-spam, systèmes de recommandation de contenus, IA d'optimisation interne sans impact direct sur les individus.

La distinction clé : systèmes d'IA vs modèles à usage général (GPAI)

C'est l'un des points les plus souvent mécompris, et pourtant fondamental pour identifier vos obligations réelles.

Un système d'IA est une application opérationnelle conçue pour un usage précis : un outil de recrutement automatisé, un algorithme de scoring, un système de diagnostic. C'est lui qui est au cœur du dispositif réglementaire.

Un modèle d'IA à usage général (GPAI), comme GPT ou les modèles de génération d'images, est une technologie de base réutilisable dans de multiples contextes. Il n'est pas lié à un usage unique. Les obligations qui s'y appliquent depuis août 2025 portent principalement sur la transparence, la documentation et le respect du droit d'auteur sur les données d'entraînement.

Ce que cela change pour vous : si votre entreprise utilise un modèle GPAI pour construire un système d'IA interne ou commerciale, vous êtes à la fois soumis aux obligations liées au modèle ET à celles liées au système. Les deux périmètres se cumulent.

Votre position dans la chaîne de valeur détermine vos obligations

L'AI Act ne traite pas tous les acteurs de la même façon. Il distingue cinq rôles, chacun portant un niveau de responsabilité différent.

Un point souvent sous-estimé : une même entreprise peut occuper plusieurs rôles simultanément selon les systèmes qu'elle utilise ou commercialise. Une entreprise SaaS B2B qui intègre de l'IA dans son produit est à la fois fournisseur pour ses clients et déployeur pour ses usages internes. Cette double casquette génère des obligations cumulées.

Le calendrier que vous ne pouvez plus ignorer

L'application de l'AI Act est progressive, mais le rythme s'accélère :

• ✅ 1er août 2024 — Entrée en vigueur officielle

• ✅ 2 février 2025 — Interdictions des IA à risque inacceptable : en vigueur

• ✅ 2 août 2025 — Obligations des modèles GPAI et règles de transparence : en vigueur

• 🔴 2 août 2026 — Application complète pour les systèmes à haut risque (Annexe III) : dans moins de 5 mois

• ⏳ 2 août 2027 — Extension aux produits intégrant des IA à haut risque (dispositifs médicaux, véhicules...)

Les sanctions prévues en cas de non-conformité sont significatives : jusqu'à 35 millions d'euros ou 7% du chiffre d'affaires mondial annuel pour les violations les plus graves.

Pourquoi la gouvernance IA est un avantage, pas une contrainte

Il serait réducteur de voir l'AI Act uniquement comme une charge réglementaire. Les organisations qui anticipent cette transformation en tirent des bénéfices concrets :

• Structuration des responsabilités : qui décide, qui valide, qui rend compte de l'usage de l'IA

• Priorisation des risques : tous les systèmes d'IA ne se valent pas — la gouvernance permet de concentrer les efforts là où l'impact est réel

• Confiance des parties prenantes : clients, partenaires, investisseurs, régulateurs accordent une prime de confiance croissante aux organisations qui démontrent une maîtrise de leur IA

• Accès à de nouveaux marchés : les appels d'offres publics et les contrats B2B exigeants intègrent de plus en plus des critères de conformité IA

• Alignement réglementaire durable : une gouvernance solide permet d'absorber les évolutions réglementaires futures sans repartir de zéro

La norme ISO 42001, premier standard international de management de l'IA, constitue à ce titre un levier structurant. Elle permet de mettre en place cette gouvernance dans un cadre éprouvé, inspiré des meilleures pratiques de management des risques.

Ce qu'il faut retenir

L'AI Act n'est ni un texte théorique, ni un problème lointain. Il est en vigueur, son application s'accélère, et la fenêtre d'anticipation se rétrécit. La bonne question n'est pas "sommes-nous concernés ?". La quasi-totalité des entreprises qui utilisent de l'IA l'est. La bonne question est : "Quel est l'usage réel de nos systèmes d'IA et quels impacts peuvent-ils générer ?"

C'est à partir de cette réponse que tout commence.

👉 Réservez votre place au prochain webinaire : Comment sécuriser vos usages IA de A à Z

‍