L'essentiel en 30 secondes

  • L'IA Act est la première réglementation mondiale complète sur l'intelligence artificielle
  • Les pratiques interdites s'appliquent depuis février 2025 (scoring social, manipulation...)
  • Les obligations GPAI (modèles comme ChatGPT, Claude) s'appliquent depuis août 2025
  • Les systèmes à haut risque seront encadrés à partir d'août 2026
  • Sanctions jusqu'à 35 M€ ou 7% du CA mondial

L'Union européenne a adopté en avril 2024 le règlement sur l'intelligence artificielle, communément appelé IA Act ou AI Act. Cette législation historique établit le premier cadre juridique complet au monde pour encadrer le développement et l'utilisation de l'IA. Pour les entreprises, comprendre et anticiper ces obligations n'est plus une option — c'est une nécessité stratégique.

Calendrier d'application : où en sommes-nous ?

L'IA Act adopte une approche progressive. Toutes les obligations n'entrent pas en vigueur simultanément, ce qui laisse aux entreprises le temps de se préparer.

1er août 2024
Entrée en vigueur du règlement
2 février 2025
Pratiques interdites + obligation de littératie IA
2 août 2025
Obligations GPAI (modèles à usage général) + gouvernance
Décembre 2025
Outil de signalement whistleblower lancé par la Commission
2 août 2026
Systèmes IA à haut risque (Annexe III)
2 août 2027
IA à haut risque dans produits réglementés + conformité GPAI existants

Report possible

En novembre 2025, la Commission européenne a proposé via le "Digital Omnibus" de reporter certaines échéances à décembre 2027. Cependant, les pratiques interdites et les obligations GPAI restent en vigueur.

Les quatre niveaux de risque

L'IA Act classe les systèmes d'intelligence artificielle en quatre catégories selon leur niveau de risque. Cette approche proportionnée vise à ne pas freiner l'innovation tout en protégeant les droits fondamentaux.

1. Risque inacceptable : les pratiques interdites

Depuis le 2 février 2025, ces usages de l'IA sont purement et simplement interdits en Europe :

Pratique interdite Description
Scoring social Notation des individus basée sur leur comportement social ou leurs caractéristiques personnelles
Manipulation subliminale Techniques exploitant les vulnérabilités psychologiques pour influencer les comportements
Reconnaissance des émotions Détection des émotions sur le lieu de travail ou dans les établissements d'enseignement
Scraping biométrique Collecte non ciblée d'images faciales sur Internet pour créer des bases de données
Police prédictive Prédiction de la criminalité basée uniquement sur le profilage
Identification biométrique temps réel Dans les lieux publics (sauf exceptions strictement encadrées pour les forces de l'ordre)

2. Risque élevé : documentation et conformité

Les systèmes d'IA à haut risque sont listés dans l'Annexe III du règlement. Ils concernent des domaines où l'IA peut avoir un impact significatif sur les droits des personnes :

  • Biométrie : Identification, catégorisation, reconnaissance des émotions
  • Infrastructures critiques : Gestion du trafic, énergie, eau
  • Éducation : Accès aux établissements, évaluation, détection de triche
  • Emploi : Recrutement, promotion, surveillance des salariés
  • Services essentiels : Scoring crédit, assurance, prestations sociales
  • Application de la loi : Détection de mensonges, profilage
  • Migration : Contrôle aux frontières, demandes d'asile

Pour ces systèmes, les fournisseurs doivent mettre en place :

  • Un système de gestion des risques
  • Une gouvernance des données d'entraînement
  • Une documentation technique complète
  • Des mécanismes de traçabilité
  • Un contrôle humain approprié
  • Le marquage CE après évaluation de conformité

3. Risque limité : transparence obligatoire

Certains systèmes d'IA présentent un risque limité mais nécessitent une obligation de transparence :

  • Chatbots : L'utilisateur doit savoir qu'il interagit avec une IA, pas un humain
  • Deepfakes : Les contenus synthétiques imitant des personnes réelles doivent être clairement marqués
  • Systèmes de catégorisation : Information sur le fonctionnement
  • Génération de contenu : Mention que le contenu a été généré par IA

Impact sur les chatbots marketing

  • Tous les chatbots sur vos sites web doivent informer les visiteurs qu'ils interagissent avec une IA
  • Une mention visible au début de la conversation suffit
  • Les assistants virtuels de service client sont concernés

4. Risque minimal : pas d'obligation spécifique

La grande majorité des systèmes d'IA (filtres anti-spam, jeux vidéo, assistants de productivité basiques...) présentent un risque minimal et ne sont soumis à aucune obligation particulière.

Les obligations GPAI : ChatGPT, Claude, Gemini concernés

Les modèles d'IA à usage général (GPAI - General Purpose AI) font l'objet d'un régime spécifique. Depuis le 2 août 2025, les fournisseurs de ces modèles doivent respecter des obligations de transparence et de documentation.

Qui est concerné ?

Fournisseur Modèles concernés
OpenAI GPT-5, GPT-4o, DALL-E
Anthropic Claude Opus 4.5, Sonnet, Haiku
Google Gemini 3.0, PaLM
Meta Llama 3.3
Mistral Mistral Large, Mixtral

Obligations des fournisseurs GPAI

  • Documentation technique : Architecture, processus d'entraînement, consommation énergétique
  • Politique d'utilisation : Usages autorisés, restrictions, interdictions
  • Résumé des données d'entraînement : Conformité avec le droit d'auteur
  • Instructions aux déployeurs : Guide d'intégration et bonnes pratiques

Le cas des modèles à risque systémique

Les modèles GPAI dépassant le seuil de 10²⁵ FLOPs (puissance de calcul d'entraînement) sont considérés comme présentant un risque systémique. Ils doivent en plus :

  • Réaliser des évaluations de modèle et des tests adversariaux
  • Documenter et signaler les incidents graves
  • Assurer la cybersécurité du modèle et de son infrastructure
  • Notifier la Commission dans les 2 semaines si le seuil est atteint

GPT-5, Claude Opus 4.5 et Gemini 3.0 Pro entrent probablement dans cette catégorie.

Sanctions : des montants dissuasifs

Type d'infraction Amende maximale
Pratiques interdites (Article 5) 35 M€ ou 7% du CA mondial
Non-conformité systèmes haut risque 15 M€ ou 3% du CA mondial
Informations incorrectes aux autorités 7,5 M€ ou 1% du CA mondial

Pour les PME, des montants réduits sont prévus : le plus faible entre l'amende forfaitaire et le pourcentage du CA s'applique.

Comment se mettre en conformité ?

Étape 1 : Cartographier vos systèmes d'IA

Première étape indispensable : recenser tous les outils utilisant de l'IA dans votre organisation :

  • Logiciels métier avec fonctionnalités IA
  • Plugins et extensions (ChatGPT dans vos outils)
  • Services cloud et API tierces
  • Chatbots sur vos sites web
  • Outils de marketing automation
  • Solutions RH (tri de CV, évaluation...)

Étape 2 : Classifier les risques

Pour chaque système identifié, déterminez sa catégorie de risque selon l'IA Act. Les systèmes touchant à l'emploi, au crédit ou à la sécurité sont généralement à haut risque.

Étape 3 : Documenter

Pour les systèmes concernés, constituez un dossier incluant :

  • Description et objectifs du système
  • Données utilisées et leur provenance
  • Métriques de performance
  • Limites et biais identifiés
  • Mesures de contrôle humain

Étape 4 : Informer et former

  • Mettre à jour les mentions légales de vos chatbots
  • Informer les salariés de l'utilisation d'IA dans les processus RH
  • Former les équipes aux enjeux de l'IA responsable
  • Désigner un responsable de la conformité IA

Impact sur la visibilité IA et le marketing digital

L'IA Act a des implications directes pour les stratégies AEO et GEO :

  • Chatbots marketing : Obligation d'informer les visiteurs
  • Contenus générés par IA : Potentielle obligation de marquage
  • Conformité comme signal de confiance : Les moteurs et IA pourraient valoriser les acteurs responsables
  • Transparence algorithmique : Documentation des systèmes de recommandation

La conformité comme avantage compétitif

  • Transformez la contrainte réglementaire en gage de sérieux
  • Positionnez-vous comme acteur responsable de l'IA
  • Anticipez les critères de conformité dans les appels d'offres
  • Les moteurs de recherche pourraient valoriser les sites conformes

FAQ : Questions fréquentes sur l'IA Act

Mon entreprise utilise ChatGPT. Suis-je concerné par l'IA Act ?
En tant que déployeur (utilisateur) d'un système d'IA, vous avez des obligations limitées. Vous devez principalement vous assurer que l'utilisation est conforme aux conditions du fournisseur et informer les personnes concernées si l'IA impacte leurs droits (ex: décisions RH). C'est OpenAI, en tant que fournisseur, qui supporte la majorité des obligations GPAI.
Les startups bénéficient-elles d'exemptions ?
L'IA Act prévoit des bacs à sable réglementaires (regulatory sandboxes) permettant aux startups et PME de tester leurs innovations dans un cadre allégé. De plus, les montants des sanctions sont plafonnés plus bas pour les petites structures.
Mon chatbot de service client doit-il être modifié ?
Oui. Depuis février 2025, tous les chatbots doivent informer clairement les utilisateurs qu'ils interagissent avec une IA. Une mention au début de la conversation ("Je suis un assistant virtuel propulsé par l'IA") suffit généralement.
L'IA Act s'applique-t-il aux entreprises hors UE ?
Oui. Comme le RGPD, l'IA Act a une portée extraterritoriale. Il s'applique aux entreprises non-européennes dès lors que leurs systèmes d'IA sont utilisés dans l'UE ou que les outputs affectent des personnes situées dans l'UE.

Vérifiez votre visibilité sur les IA

Découvrez comment votre marque apparaît sur ChatGPT, Claude, Gemini et Perplexity

Commencer l'audit gratuit

Articles connexes

Guide AEO : Answer Engine Optimization Guide GEO : Generative Engine Optimization IA conversationnelles à surveiller en 2025 Glossaire : IA Act