L'AI Act européen — le premier cadre réglementaire mondial dédié à l'intelligence artificielle — impose depuis 2024 des obligations progressives aux entreprises. En France, à partir de 2026, les entreprises utilisant des systèmes d'IA classés "à haut risque" doivent démontrer leur conformité. Voici ce que ça change concrètement.
Les grandes lignes du règlement européen IA (AI Act)
Adopté en juin 2024, l'AI Act classe les systèmes d'IA en quatre catégories selon leur niveau de risque :
- Risque inacceptable (interdit) : systèmes de notation sociale, manipulation subliminale, reconnaissance faciale en temps réel dans les espaces publics (sauf exceptions policières).
- Haut risque (obligations strictes) : IA dans le recrutement, le crédit bancaire, l'éducation, les infrastructures critiques, la justice.
- Risque limité (obligations de transparence) : chatbots, systèmes génératifs de contenu — l'utilisateur doit être informé qu'il interagit avec une IA.
- Risque minimal (pas d'obligation spécifique) : jeux vidéo, filtres anti-spam.
Quelles entreprises sont concernées en 2026 ?
Les obligations s'appliquent aux fournisseurs (éditeurs) et aux déployeurs (entreprises qui utilisent des systèmes d'IA dans leur activité). Concrètement, si vous utilisez un logiciel de tri de CV automatisé, un outil de scoring de crédit, ou un système de surveillance des salariés, vous êtes déployeur et vous avez des obligations.
Trois chiffres à retenir : les amendes peuvent atteindre 35 millions d'euros ou 7 % du CA mondial pour les infractions graves. La Commission Européenne estime que 85 % des entreprises françaises utilisant de l'IA se situent dans la catégorie "risque limité", mais 15 % — soit plusieurs milliers d'entreprises — entrent dans la catégorie "haut risque".
Les obligations concrètes pour les entreprises à haut risque
Si votre entreprise utilise un système IA à haut risque (recrutement algorithmique, scoring de crédit, évaluation des performances automatisée...), voici vos obligations :
- Établir une documentation technique : description du système, données d'entraînement, performances, biais identifiés.
- Mettre en place une supervision humaine : toute décision automatisée significative doit pouvoir être revue par un humain.
- Tenir un registre des logs : traçabilité des décisions prises par le système sur au moins 6 mois.
- Évaluer les risques ex ante et in use : avant déploiement et régulièrement pendant l'utilisation.
- Désigner un responsable IA (AI Officer) dans les entreprises de taille significative.
Et pour les chatbots et outils GenAI ?
Les outils GenAI (ChatGPT, Gemini, Copilot) utilisés en entreprise tombent dans la catégorie "risque limité". L'obligation principale : informer clairement les utilisateurs qu'ils interagissent avec une IA. Les contenus générés par IA doivent être identifiables comme tels. Pas d'obligation de registre complexe, mais une politique d'usage interne est fortement recommandée.
Par où commencer votre mise en conformité AI Act ?
- Cartographier vos usages IA : listez tous les outils IA utilisés dans votre entreprise (recrutement, service client, finance, RH).
- Classer chaque système selon les 4 catégories de risque.
- Prioriser les systèmes à haut risque : ils nécessitent une action immédiate en 2026.
- Nommer un référent conformité IA.
- Documenter les systèmes existants : fiche technique, fournisseur, données utilisées.
FAQ — Réglementation IA entreprises 2026
L'AI Act s'applique-t-il aux PME françaises ?
Oui, mais avec des allègements. Les micro-entreprises et PME de moins de 50 salariés bénéficient d'obligations allégées, notamment l'exemption de certains enregistrements documentaires. En revanche, si elles déploient des systèmes à haut risque, les obligations de fond s'appliquent sans exemption de taille.
Quelles sont les amendes prévues par l'AI Act ?
Les amendes varient selon la gravité : jusqu'à 35 M€ ou 7 % du CA mondial pour les violations des règles sur les IA interdites, jusqu'à 15 M€ ou 3 % du CA pour les systèmes à haut risque non conformes, et jusqu'à 7,5 M€ ou 1,5 % du CA pour la fourniture d'informations incorrectes à l'autorité de surveillance.
Qui contrôle l'application de l'AI Act en France ?
La CNIL a été désignée comme autorité nationale compétente pour l'AI Act en France, en coordination avec d'autres régulateurs sectoriels (AMF pour la finance, ANSSI pour la cybersécurité). L'Office européen de l'IA est l'autorité de surveillance centrale au niveau européen.
