AI Act : quels changements pour les entreprises ?

Ce texte vise à encadrer au sein de l’Union européenne la mise sur le marché, la mise en service et l’utilisation de systèmes d’intelligence artificielle. Ses dispositions entrent progressivement en application, depuis le 2 février 2025 et jusqu’au 2 août 2027. 

Décryptage des points essentiels à retenir de cette nouvelle réglementation européenne.

Qui est concerné ? 

En premier lieu, l’AI Act s’impose aux fournisseurs de systèmes d’IA : ceux situés dans l’Union européenne, ceux qui mettent un système d’IA sur le marché dans l’Union européenne et ceux dont les systèmes d’IA génèrent des résultats dans l’Union européenne. 

Sont également concernés les importateurs et les distributeurs de ces systèmes dans l’Union européenne.

L’AI Act s’impose aussi aux “déployeurs” que le règlement qualifie comme toute personne “utilisant sous sa propre autorité un système d’IA sauf lorsque ce système est utilisé dans le cadre d’une activité personnelle à caractère non professionnel”. 

En d’autres termes, toute entreprise qui utilise dans le cadre de son activité un outil d’IA est qualifiable de déployeur et apparaît donc soumise aux obligations de l’AI Act.

Le périmètre des acteurs concernés par ce nouveau texte apparaît donc particulièrement étendu. L’intensité des obligations imposées varie néanmoins beaucoup selon les acteurs et surtout selon la nature du risque associé au système d’IA considéré.

Quelles obligations ?

L’AI Act repose en effet sur une approche de gestion des risques graduée et prévoit dans ce cadre : 

• L’interdiction totale de certaines pratiques – considérées particulièrement dangereuses d’un point de vue éthique et au regard de la protection des droits fondamentaux ;

• Des obligations de conformité étendues concernant les systèmes d’IA dits à “hauts risques”. Parmi ceux-ci, on trouve notamment certains outils impliquant des techniques biométriques, ceux utilisés dans le cadre de l’éducation et de la formation professionnelle ou encore dans un contexte d’emploi et de recrutement. Un certain nombre de systèmes d’IA mis en œuvre dans un contexte industriel sont également concernés ;

• Des obligations spécifiques relatives aux modèles d’IA à usage général (incluant les LLM sur la base de laquelle sont fondés les outils d’IA générative – Chatgpt, Mistral, Midjourney, etc …)

• Des obligations en matière de transparence, pour certaines applications comme les outils de génération de contenus, s’appliquant indépendamment du degré de risque du système d’IA concerné.

La nature des obligations de l’AI Act susceptibles de s’appliquer aux entreprises n’est donc pas uniforme mais dépend de leur rôle, du profil de risque associé au système d’IA considéré et de l’utilisation qui peut en être faite. 

S’il est difficile d’établir ici une liste exhaustive des obligations imposées par ce texte volumineux, on peut néanmoins retenir que celui-ci impose aux fournisseurs de systèmes d’IA à haut risque (principaux concernés par ce règlement) de mettre en place des mesures de conformité exigeantes : contrôle de la qualité des jeux de données, surveillance humaine impérative, gestion appropriée des risques notamment en matière de cybersécurité, tenue d’une documentation de conformité. Ces fournisseurs devront également mettre en œuvre une procédure spécifique d’évaluation de conformité avant toute mise sur le marché ou mise en service de leurs systèmes.

En matière de transparence, l’AI Act impose que les utilisateurs soient informés en amont du fait qu’ils interagissent avec un système d’IA, que les contenus générés par IA fassent l’objet d’un marquage ou encore qu’une information spécifique soit apportée en cas de contenus de type deepfake.

Les fournisseurs de modèles d’IA à usage général sont également soumis à des exigences importantes de mise en conformité, incluant notamment la mise en place de mesures visant à la protection des droits d’auteur. La Commission européenne a publié en juillet 2025 un code de bonnes pratiques pour l’IA à usage général, outil volontaire, fournissant des conseils opérationnels de mise en conformité aux acteurs concernés.

Quelles sanctions ? 

Le règlement sanctionne la mise en œuvre de pratiques interdites en matière d’IA par des amendes administratives pouvant aller jusqu’à 35 millions d’euros ou 7% du chiffre d’affaires annuel mondial total de l’exercice précédent (le montant le plus élevé étant retenu). 

Quant à l’irrespect des exigences de mise en conformité pour les systèmes d’IA à haut risque et les modèles d’IA à usage général, il pourra faire l’objet d’amendes administratives jusqu’à 15 millions d’euros ou 3% du chiffre d’affaires annuel mondial total de l’exercice précédent (le montant le plus élevé étant retenu).

À partir de quand s’applique l’AI Act ?

L’AI Act prévoit une mise en application progressive. 

Les obligations en matière d’IA interdites et de modèles d’IA à usage général sont entrées en application en février et juillet 2025. 

Les dispositions applicables aux systèmes d’IA à haut risque, ainsi que celles en matière de transparence, seront quant à elles applicables à compter du 2 août 2026. 

Enfin, les obligations relatives aux systèmes d’IA à haut risque destinés à être utilisés comme composants de sécurité de produits entreront en application au 2 août 2027.

Une réglementation amenée à évoluer ? 

Dans un contexte économique mondial de course à l’IA, l’adoption de ce texte a fait l’objet d’un certain nombre de contestations, celui-ci ayant pu être perçu comme un frein à la compétitivité européenne dans l’IA et le numérique. 

A cet égard, la Commission européenne a récemment présenté, le 19 novembre 2025, un projet de mesures, dit « Digital Omnibus », visant à simplifier plusieurs règlementations numériques européennes, dont l’AI Act. Il n’est donc pas exclu que ce dernier soit amené à évoluer dans les mois à venir. 

À suivre !