FAQ
FAQ AI Act européen
L'AI Act (Règlement UE 2024/1689) est entré en vigueur le 1er août 2024. Ses obligations principales arrivent le 1er août 2026. Si ton entreprise utilise ou déploie un système d'IA — même via une API tierce comme OpenAI — tu es potentiellement concerné. Ce guide répond aux 8 questions les plus posées par les équipes techniques et juridiques des PME/ETI françaises qui veulent se mettre en conformité sans se noyer dans 144 articles de réglementation.
Questions et réponses
Qu'est-ce que l'AI Act européen ?
L'AI Act (Règlement UE 2024/1689) est le premier cadre réglementaire mondial sur l'intelligence artificielle. Publié au Journal Officiel de l'UE le 12 juillet 2024, il classe les systèmes IA en 4 niveaux de risque (inacceptable, élevé, limité, minimal) et impose des obligations proportionnelles à chaque niveau. Il s'applique à tous les acteurs qui mettent sur le marché européen des systèmes IA — fournisseurs, déployeurs, importateurs — qu'ils soient établis en Europe ou non. L'objectif : garantir que l'IA en Europe est sûre, transparente, traçable, non discriminatoire et respectueuse des droits fondamentaux.
Quand l'AI Act entre-t-il en vigueur concrètement ?
L'AI Act suit un calendrier progressif : (1) 01-02-2025 : interdictions des pratiques IA inacceptables (manipulation subliminale, scoring social). (2) 01-08-2025 : règles sur les modèles IA à usage général (GPAI) dont GPT-4, Mistral Large, Claude. (3) 01-08-2026 : obligations principales pour les systèmes IA à risque élevé — c'est la date critique pour la plupart des entreprises. (4) 01-08-2027 : extension aux systèmes IA embarqués dans des produits réglementés (dispositifs médicaux, machines). Si tu utilises une API IA dans un process métier, la deadline du 01-08-2026 te concerne directement.
À qui l'AI Act s'applique-t-il ? Les 4 niveaux de risque expliqués.
L'AI Act distingue 4 niveaux : (1) Risque inacceptable — interdit : notation sociale par des États, manipulation comportementale à l'insu, identification biométrique en temps réel dans des espaces publics. (2) Risque élevé — obligations strictes : IA dans le recrutement, le crédit, la justice, l'éducation, les infrastructures critiques. Registre UE, documentation technique, supervision humaine obligatoires. (3) Risque limité — obligations de transparence : chatbots, deepfakes. Tu dois informer l'utilisateur qu'il interagit avec une IA. (4) Risque minimal — aucune obligation : filtres anti-spam, recommandations de contenu, jeux vidéo IA.
Comment savoir si mon système IA est classé à risque élevé ?
Un système IA est à risque élevé s'il est utilisé dans l'un des domaines listés à l'Annexe III de l'AI Act : infrastructure critique (énergie, eau, transports), éducation et formation professionnelle, emploi et gestion des travailleurs, accès aux services essentiels (crédit, assurance), application de la loi, gestion des migrations et des frontières, administration de la justice. Une IA SaaS B2B standard (analyse de données, GEO, marketing) n'est généralement PAS à risque élevé. En cas de doute, l'outil de classification de l'EU AI Office (ai.gov.eu) publie des guidelines sectorielles depuis janvier 2026.
Quelles obligations pour un SaaS qui utilise l'API OpenAI ?
Si ton SaaS utilise OpenAI comme composant technique (appels API), tu es un déployeur au sens de l'AI Act. Les obligations dépendent du niveau de risque de ton cas d'usage (voir question précédente). Pour un risque limité (chatbot visible par l'utilisateur) : obligation d'information — indiquer clairement que l'utilisateur interagit avec une IA. Pour un usage interne de traitement de données (non-visible utilisateur, risque minimal) : aucune obligation réglementaire AI Act spécifique. Dans tous les cas : documenter l'usage dans ton registre de traitement RGPD article 30, et vérifier que ton DPA avec OpenAI est à jour (voir FAQ RGPD & IA).
Qui doit tenir le registre des systèmes IA à risque élevé ?
Les fournisseurs et déployeurs de systèmes IA à risque élevé doivent enregistrer leurs systèmes dans la base de données EU gérée par l'EU AI Office (registre public prévu à l'article 71). Pour les fournisseurs établis hors UE, l'enregistrement passe par leur représentant autorisé en Europe. Pour les déployeurs (entreprises qui utilisent une IA tierce dans un contexte à risque élevé), l'obligation d'enregistrement ne s'applique qu'aux entités publiques — les entreprises privées ont surtout des obligations de documentation interne et de supervision humaine. La date d'activation du registre est le 01-08-2026.
Quelles sont les sanctions en cas de non-conformité à l'AI Act ?
L'AI Act prévoit trois niveaux de sanctions : (1) Violations des interdictions (risque inacceptable) : jusqu'à 35 M EUR ou 7 % du CA mondial annuel — le montant le plus élevé s'applique. (2) Non-conformité aux obligations des systèmes à risque élevé ou GPAI : jusqu'à 15 M EUR ou 3 % du CA mondial. (3) Informations incorrectes fournies aux autorités : jusqu'à 7,5 M EUR ou 1 % du CA. Pour les PME, les plafonds sont les mêmes en pourcentage mais les montants nominaux sont ajustés. L'autorité compétente en France est la CNIL, désignée coordinateur IA national depuis janvier 2025.
AI Act vs RGPD : complémentaires ou contradictoires ?
Complémentaires, mais avec des zones de tension. Le RGPD régit les données personnelles, l'AI Act régit les systèmes IA — les deux se chevauchent quand un système IA traite des données personnelles. Points d'alignement : bases légales RGPD + exigences de transparence AI Act vont dans le même sens. Points de tension : l'AI Act impose de conserver des logs techniques pendant 6 mois (article 12), ce qui peut entrer en conflit avec le principe de minimisation et les durées de conservation RGPD. La CNIL a publié en mars 2026 un guide de mise en conformité croisée RGPD/AI Act disponible sur cnil.fr.
Explorer les autres FAQ
Vérifie la conformité IA de ta marque — gratuit
L'AI Search Grader analyse la visibilité de ta marque dans les 5 IA principales. Sans inscription, résultat en 30 secondes.