Un comité de direction d’ETI nous a posé la question l’an dernier, presque gêné : « On a combien de systèmes d’IA, au juste ? » Personne autour de la table ne savait. Entre le chatbot du support, l’outil de tri de CV des RH, le scoring du risque client et trois ou quatre extensions de Microsoft 365 activées sans bruit, la liste réelle dépassait la quinzaine. C’est là que commence l’AI Act. Pas dans un texte juridique. Dans un inventaire que la plupart des entreprises n’ont jamais fait.
Le règlement européen sur l’intelligence artificielle est entré en vigueur en août 2024 et s’applique par paliers jusqu’en 2027. En 2026, on n’anticipe plus : certaines obligations mordent déjà, d’autres arrivent dans les mois qui viennent. Cet article ne récite pas les articles du règlement. Il dit ce qu’il faut faire, dans quel ordre, et ce qu’il ne faut surtout pas faire.
Classer vos cas d’usage, pas « l’IA » en général
L’AI Act ne régule pas la technologie, il régule l’usage. Le même modèle de langage peut être anodin dans un cas et à haut risque dans un autre. Tout part donc d’une question, posée système par système : à quoi sert-il, et sur qui décide-t-il ?
Quatre niveaux structurent le texte. Voici comment ils tombent sur des cas que vous reconnaîtrez.
- Risque inacceptable (interdit depuis février 2025) : notation sociale, manipulation des comportements, reconnaissance des émotions sur le lieu de travail, certaines formes de catégorisation biométrique. Si l’un de ces usages traîne dans un coin de votre SI, ce n’est pas un sujet de conformité, c’est un arrêt immédiat.
- Haut risque : le cœur du règlement pour la plupart des entreprises. Tri de CV et présélection de candidats, scoring de crédit, décisions affectant l’accès à un emploi, à un service essentiel, à une formation. Un outil de tri de CV est explicitement à haut risque. Un scoring crédit aussi. Ce niveau déclenche le gros des obligations.
- Risque limité : obligation de transparence, surtout. Un chatbot doit dire qu’il est une IA. Un contenu généré (image, texte, audio) doit être identifiable comme tel. C’est peu coûteux et trop souvent oublié.
- Risque minimal : la majorité silencieuse. Filtre anti-spam, suggestion de produits, correcteur orthographique. Aucune obligation spécifique. Inutile de leur consacrer trois réunions.
Le piège classique, ici : un chatbot RH. En façade, c’est du risque limité, il suffit qu’il s’annonce comme IA. Mais s’il commence à présélectionner des candidatures ou à orienter des décisions de mobilité interne, il bascule en haut risque. La frontière ne tient pas au modèle. Elle tient à ce qu’on lui fait faire.
Le calendrier : ce qui mord déjà
Beaucoup de dirigeants pensent encore que 2026 ou 2027 « laissent le temps ». Faux. Une partie du texte produit déjà des effets.
- Février 2025 : interdiction des usages à risque inacceptable, et obligation d’« AI literacy » — vos équipes qui utilisent l’IA doivent avoir un niveau de compréhension suffisant. C’est en vigueur.
- Août 2025 : obligations pour les modèles d’IA à usage général (les fournisseurs de grands modèles), gouvernance européenne et nationale en place.
- Août 2026 : application des obligations de transparence (risque limité) et d’une grande partie du régime haut risque. C’est l’échéance qui doit cadrer votre feuille de route.
- Août 2027 : dernier palier, pour les systèmes à haut risque intégrés dans des produits déjà soumis à une réglementation sectorielle.
Traduction opérationnelle : si vous exploitez un système à haut risque, l’horizon utile n’est pas 2027. C’est l’été 2026, et la documentation se prépare des mois à l’avance.
Ce qu’il faut réellement faire maintenant
Oubliez la pile de PDF de cabinets juridiques. Voici la séquence concrète, dans l’ordre où elle a du sens.
- Inventaire des systèmes d’IA. Listez tout : applications maison, briques achetées, fonctions IA embarquées dans des SaaS que vous payez déjà. C’est l’étape que tout le monde sous-estime. En pratique, on découvre toujours deux à trois fois plus de systèmes que prévu.
- Classification. Pour chaque entrée, attribuez un niveau de risque. Soyez précis sur la finalité réelle, pas sur la finalité affichée dans la brochure du fournisseur.
- Registre. Un document vivant : qui est responsable, quel fournisseur, quelles données en entrée, quelle décision en sortie, quel niveau de risque. C’est la colonne vertébrale de toute la démarche. Sans lui, vous repartez de zéro à chaque audit.
- Évaluation de risque sur le haut risque. Pour ces systèmes-là : analyse des biais, qualité et représentativité des données d’entraînement, risques pour les personnes concernées, mesures de mitigation.
- Documentation technique. Comment le système est conçu, ce sur quoi il a été entraîné, ses limites connues, ses performances. Le réflexe utile : la documenter au fil de l’eau, pas dans la panique d’un contrôle.
- Supervision humaine. Pas un humain qui clique « OK » machinalement. Quelqu’un qui peut comprendre la sortie, la contester, l’écraser. Un recruteur doit pouvoir retenir un candidat écarté par l’outil, et savoir pourquoi l’outil l’avait écarté.
- Information des utilisateurs. Les personnes soumises à une décision assistée par IA doivent le savoir. Le candidat, le demandeur de crédit, le client. C’est une obligation, et c’est aussi une question de confiance.
RGPD et AI Act : ne pas refaire le travail deux fois
Bonne nouvelle pour qui a sérieusement traité le RGPD : une part du chemin est déjà faite. Les deux textes se recoupent largement. Registre des traitements et registre des systèmes d’IA partagent une même logique, et l’analyse d’impact relative à la protection des données (AIPD) se nourrit de l’évaluation de risque AI Act, et réciproquement. Base légale, minimisation, information des personnes : ce vocabulaire vous est déjà familier.
L’erreur serait de monter deux dispositifs parallèles, deux registres, deux comités, deux jeux de documents qui divergent au bout de six mois. Adossez la gouvernance IA à ce que le DPO fait déjà. Étendez, ne dupliquez pas.
Les deux pièges, et qui doit tenir le sujet
Il y a deux façons de se tromper, opposées et aussi coûteuses l’une que l’autre.
Le déni, d’abord. « On verra en 2027 », « ça ne nous concerne pas vraiment ». Pendant ce temps, les systèmes se multiplient dans les directions métier, hors radar, et la dette de conformité grossit en silence. Le jour où un candidat conteste un refus automatisé, ou qu’un régulateur pose une question, on découvre qu’on ne sait même pas répondre à « combien de systèmes ? ».
La sur-conformité, ensuite. Plus insidieuse, parce qu’elle a l’air vertueuse. On gèle tous les projets IA « par précaution », on impose un comité d’éthique pour valider un correcteur orthographique, on rédige cent pages pour un outil à risque minimal. Résultat : l’innovation s’arrête, et l’énergie se perd sur ce qui ne compte pas. La conformité bien menée concentre l’effort sur le haut risque et laisse respirer le reste.
Reste la vraie question : qui porte tout ça ? Pas le DSI seul, ce n’est pas qu’un sujet technique. Pas le juriste seul, il ne voit pas les systèmes. En pratique, le trio qui fonctionne, c’est un référent IA (souvent rattaché à la data ou à la transformation) qui pilote, le DPO sur l’articulation données, et le RSSI sur la sécurité des systèmes. Le comité de direction tranche les arbitrages de risque, parce que ce sont des décisions d’entreprise, pas des détails de mise en conformité.
Commencez petit, mais commencez. Un inventaire honnête vaut mieux qu’une politique de gouvernance parfaite restée dans un tiroir. C’est exactement ce que nous mettons en place avec nos clients dans l’offre Run, Ops & gouvernance IA, et que détaille notre guide Gouvernance IA, RGPD & AI Act. Comprendre le règlement n’a jamais été le point dur. Savoir enfin ce qui tourne chez vous, si.