L'essentiel
- L'AI Act classe les systèmes d'IA en 4 niveaux de risque : inacceptable, élevé, limité, minimal.
- Les systèmes à risque élevé (recrutement, crédit, justice) sont soumis à des audits obligatoires.
- Les grandes IA génératives (GPT, Gemini) ont des obligations de transparence spécifiques.
- Les amendes peuvent atteindre 35 millions d'euros ou 7 % du CA mondial.
Une architecture réglementaire en quatre niveaux
L'AI Act ne s'applique pas de la même manière à tous les systèmes d'IA. Il introduit une classification par niveau de risque qui détermine les obligations applicables.
Risque inacceptable : certaines applications sont purement et simplement interdites dans l'UE. La notation sociale à la manière chinoise, la reconnaissance faciale en temps réel dans les espaces publics (avec exceptions très limitées pour la sécurité nationale), les systèmes de manipulation psychologique subliminale. Ces interdictions sont inconditionnelles.
Risque élevé : les systèmes utilisés dans des secteurs sensibles — recrutement, évaluation crédit, décisions médicales, justice, infrastructures critiques — doivent passer des audits de conformité avant déploiement, maintenir une documentation technique détaillée et rester sous supervision humaine.
Ce que ça change pour les entreprises françaises
Pour une PME française qui utilise un chatbot de service client basé sur GPT-4, l'AI Act impose peu d'obligations directes — le système est à risque "limité" et les obligations se résument à informer les utilisateurs qu'ils interagissent avec une IA.
En revanche, une entreprise qui utilise l'IA pour trier des CV, décider d'attributions de prêts, ou surveiller la productivité de ses employés se retrouve dans la catégorie "risque élevé" — avec toutes les obligations associées : audit préalable, registre des risques, responsable désigné, documentation technique.
"L'AI Act est le RGPD de l'IA. Beaucoup d'entreprises ne réalisent pas encore ce que ça implique — exactement comme en 2016 avec le RGPD."
Les obligations spécifiques aux IA génératives
L'AI Act a été révisé en cours de route pour inclure les "modèles à usage général" (GPAI) — une catégorie conçue pour encadrer GPT, Gemini et leurs équivalents. Les fournisseurs de ces modèles doivent documenter leurs données d'entraînement, publier un résumé du contenu utilisé, respecter la législation sur le droit d'auteur, et pour les modèles les plus puissants, effectuer des évaluations adversariales (red-teaming).
Un risque réel : le frein à l'innovation européenne
La critique principale de l'AI Act vient des entreprises tech et des startups : la conformité est coûteuse, les processus d'audit longs, et les définitions de "risque élevé" trop larges. Plusieurs entreprises américaines ont déjà annoncé restreindre le déploiement de certaines fonctionnalités IA en Europe plutôt que de se conformer.
Le risque est réel : l'Europe pourrait se retrouver avec moins d'accès aux outils d'IA de pointe, au moment où les États-Unis et la Chine accélèrent leurs investissements sans contrainte équivalente. Le pari de Bruxelles est que la régulation crée de la confiance, et donc de l'adoption — un pari dont il faudra attendre 2028-2030 pour voir s'il est gagnant.