Qu’est-ce que l’AI Act ?

L’Union européenne a adopté l’AI Act (ou règlement sur l'intelligence artificielle), qui est entré en vigueur le 1er août 2024. Il s'agit du premier cadre législatif mondial encadrant l’intelligence artificielle (IA). Il pose un cadre strict pour les usages des systèmes d'intelligence artificielle (IA), en fonction de leur niveau de risque.

Vous êtes une entreprise, une startup ou une PME ? Voici ce que vous devez absolument savoir.

L’AI Act, qu'est-ce que c'est ?

L’AI Act (ou règlement sur l’intelligence artificielle) est un règlement européen adopté en 2024. Son objectif est de définir des règles harmonisées encadrant le recours aux systèmes d'IA (SIA) ainsi qu'aux modèles d'IA afin de garantir que les systèmes et les modèles d'IA respectent les droits fondamentaux, les valeurs européennes et les principes de sécurité.

Il s’applique à toute organisation développant, déployant, distribuant ou utilisant des systèmes ou modèles d’IA dans l’UE. Cela concerne aussi bien les grandes entreprises que les TPE/PME et startups.

L'AI Act adopte une "approche produit" dans la mesure où ce sont les systèmes et les modèles d'IA qui doivent être mis en conformité.

Outre la mise en conformité à la règlementation, l'AI Act permet aux entreprises de renforcer leur responsabilité sociale en se positionnant comme des acteurs innovants de manière responsable.

Qui est concerné dans les faits ?

La plus grande partie des obligations de l'AI Act concerne les fournisseurs de systèmes d'IA ou de modèles d'IA.

Cependant, même si vous ne développez pas vous-même des systèmes d'IA, vous pouvez faire partie des catégories d'opérateurs visés par le règlement.

Vous pouvez être :

• Déployeur d’un système d’IA, c'est à dire que vous l'utilisez dans le cadre de votre activité professionnelle. Par exemple un chatbot conversationnel sur votre site web.

• Importateur ou distributeur, c'est à dire que vous importez au sein de l'UE ou commercialisez au sein de l'UE des systèmes d'IA.

Exemples concrets :

• Une agence RH qui utilise une IA pour analyser des CV

• Une PME qui utilise ChatGPT dans son service client

• Une startup qui développe une IA permettant de faciliter la réalisation de diagnostics médicaux

Une logique de régulation par niveau de risque

L'AI Act crée des obligations nouvelles pour :

• Les systèmes d'IA ;

• Les modèles d'IA à usage général.

Les niveaux de risques associés aux système d'IA

L'AI Act distingue 4 niveaux de risque différents :

Si votre entreprise utilise un système d'IA “à haut risque” (SIAHR), vous serez soumis à des exigences strictes : documentation, évaluation de conformité, gestion des biais, qualité des données, etc.

Les catégories de modèles d'IA à usage général

L'AI Act encadre les modèles d'IA à usage général en les classant en deux catégories :

• Les modèles d'IA à usage général ne présentant pas un risque systémique ; et

• Les modèles d'IA à usage général présentant un risque systémique.

Les obligations créées par l'AI Act diffèrent en fonction de la catégorie du modèle d'IA à usage général. Ces obligations pèsent uniquement sur les fournisseurs de ces modèles et non sur les entités utilisant ces modèles.

Les obligations portent notamment sur la documentation du fonctionnement du modèle, le respect du droit d'auteur et des droits voisins ainsi que sur la mise à disposition d'un résumé du contenu utilisé pour la formation du modèle.

Des obligations supplémentaires sont à respecter pour les modèles d'IA à usage général présentant un risque systémique. Ces obligations portent sur la réalisation d'une analyse des risques, la mise en place d'un processus de gestions des incidents et l'application de mesures de cybersécurité adéquates.

Dans la pratique, la grande majorité des entreprises, notamment les TPE/PME, ne sont pas concernées par ces obligations.

Quelles sont les nouvelles obligations ?

Selon votre rôle, vous devrez peut-être :

• Évaluer les risques de votre système d'IA ;

• Assurer la qualité des données d’apprentissage ;

• Fournir des informations claires aux utilisateurs ;

• Mettre en place une surveillance humaine ;

• Documenter vos systèmes ;

• Enregistrer certains logs ;

• Signaler les incidents graves ;

• Etc.

Voici ci-dessous un tableau récapitulatif des obligations issues du guide de mise en conformité à l'AI Act publié par le CIGREF :

💡 Même l’usage d’IA générative (comme ChatGPT ou Midjourney) devra respecter des obligations de transparence : l’utilisateur doit savoir qu’il interagit avec une IA.

Quand s’applique l’AI Act ?

Comment s’y préparer concrètement ?

1. Faites l’inventaire des solutions IA utilisées dans votre entreprise.

2. Identifiez leur niveau de risque (via une grille ou un audit rapide).

3. Documentez les usages (fournisseurs, finalités, données traitées).

4. Formez vos équipes aux bonnes pratiques IA.

5. Mettez en place un plan de conformité IA, comme pour le RGPD.

   
   

🎯 Pensez à la double conformité : si votre IA traite des données personnelles, elle doit aussi être conforme au RGPD.

Dans cette situation, les systèmes d'IA devront être conformes aux deux règlementations (AI Act et RGPD) car la Commission Nationale de l'Informatique et des Libertés (CNIL) a fait de la conformité des systèmes d'IA au RGPD une de ses priorités.

mydari vous accompagne

Chez Mydari, nous aidons les TPE/PME à anticiper l’AI Act sans complexité inutile. Notre approche :

• Un audit express de vos usages IA

• Un plan de mise en conformité sur-mesure

• Un accompagnement opérationnel, sans jargon, ni usine à gaz

La mise en conformité à l'AI Act doit être anticipée.

👉 Prenez rendez-vous pour en parler : www.mydari.fr

🎯 En résumé

Le AI Act est un tournant réglementaire majeur. Comme le RGPD en son temps, il va impacter la quasi-totalité des entreprises européennes, y compris les plus petites. Se préparer dès maintenant est un avantage compétitif : vous montrez que votre entreprise est responsable, transparente, et digne de confiance.