L'AI Act pour les entreprises non régulées — ce qui change vraiment

Disclaimer de lecture cabinet. Ce papier propose une lecture architecture du Règlement (UE) 2024/1689, dit AI Act, pour des directions générales, DSI et directions transformation. Il ne se substitue pas à un avis juridique. Pour qualifier les obligations applicables à une situation précise, consultez votre DPO, votre direction juridique et, selon les enjeux, un cabinet d'avocats. Les dates et obligations ci-dessous s'appuient sur les sources officielles citées en fin d'article, consultées le 26 mai 2026.

L'AI Act est entré en vigueur le 1er août 2024. Pourtant, une partie des directions générales d'ETI considère encore que le règlement ne les concerne pas vraiment : parce qu'elles ne sont pas dans la banque, la santé ou l'énergie ; parce qu'elles n'opèrent pas de système biométrique ; parce qu'elles pensent ne faire qu'utiliser des outils d'IA générative.

Cette lecture est fragile. Le règlement est construit par niveau de risque, mais il touche aussi des usages ordinaires : assistants conversationnels, génération de contenu, outils RH, systèmes d'aide à la décision, agents connectés à des données métier. La bonne question n'est donc pas "sommes-nous une entreprise régulée ?", mais "quels systèmes d'IA déployons-nous, avec quel rôle, quel niveau de risque et quelles traces ?"

Le calendrier — une application progressive

Le calendrier est échelonné. La date souvent retenue, le 2 août 2026, n'est pas l'entrée en vigueur du règlement : c'est la date d'application générale, après plusieurs jalons déjà franchis.

Lecture prudente au 26 mai 2026 :

• 1er août 2024 — entrée en vigueur de l'AI Act.
• 2 février 2025 — les dispositions générales, l'obligation de littératie IA et les pratiques interdites sont applicables.
• 2 août 2025 — les règles de gouvernance et les obligations relatives aux modèles d'IA à usage général, ou GPAI, sont applicables pour les fournisseurs de ces modèles.
• 2 août 2026 — la majorité des règles s'applique, dont les obligations de transparence de l'article 50, selon la timeline officielle de l'AI Act Service Desk.
• Haut risque et Digital Omnibus — la Commission européenne a annoncé le 7 mai 2026 un accord politique sur le paquet Digital Omnibus : 2 décembre 2027 pour certains domaines haut risque comme biométrie, infrastructures critiques, éducation, emploi, migration, asile et contrôle aux frontières ; 2 août 2028 pour les systèmes intégrés dans certains produits régulés. Les textes doivent être formellement adoptés puis publiés au Journal officiel avant d'être traités comme droit consolidé.

La conclusion opérationnelle est simple : certaines obligations sont déjà actives, d'autres arrivent vite, et les lignes directrices 2026 sont encore en cours de stabilisation. Attendre la date finale pour cartographier les systèmes IA revient à traiter un sujet d'architecture comme une urgence documentaire.

Les quatre niveaux de risque

Le règlement classe les systèmes d'IA en niveaux de risque, avec des obligations différenciées.

Risque inacceptable. Certaines pratiques sont interdites depuis le 2 février 2025. Pour beaucoup d'entreprises non régulées, ce niveau ne sera pas le cœur du sujet. Il justifie toutefois un audit des outils utilisés en interne, notamment les fonctionnalités susceptibles de toucher au scoring social, à la manipulation, à la reconnaissance d'émotions au travail ou à certaines formes de catégorisation biométrique.

Haut risque. Les systèmes haut risque sont notamment ceux utilisés dans des domaines sensibles listés par le règlement : éducation, emploi, accès à certains services essentiels, application de la loi, migration, justice, biométrie, infrastructures critiques. Exemple courant côté entreprise : un outil IA de tri, classement ou scoring de candidatures peut faire entrer l'organisation dans un régime plus strict, même si l'outil est fourni par un éditeur externe.

Risque limité, ou transparence. C'est le niveau le plus proche des usages quotidiens : chatbots, contenus synthétiques, deepfakes, systèmes génératifs interagissant avec des personnes. Les obligations de l'article 50 ne sont pas encore applicables au 26 mai 2026 ; elles doivent démarrer le 2 août 2026. Elles doivent pourtant être préparées maintenant, car elles touchent l'interface, les contenus, les journaux et les processus de publication.

Risque minimal. De nombreux usages ne déclenchent pas d'obligation spécifique au titre de l'AI Act. Cela ne les dispense pas des autres régimes applicables, notamment le RGPD, la sécurité, la confidentialité contractuelle ou les politiques internes.

Article 50 — le sujet de transparence à anticiper

L'article 50 est probablement la disposition la plus directement visible pour un grand nombre d'entreprises non régulées. Il vise certains fournisseurs et déployeurs de systèmes interactifs ou génératifs : informer quand une personne interagit avec une IA, marquer certains contenus synthétiques, signaler certaines manipulations d'image, audio, vidéo ou texte, et respecter des exigences de clarté et d'accessibilité.

Point important : ces obligations de transparence démarrent le 2 août 2026, selon l'AI Act Service Desk et la FAQ de la Commission. Elles ne sont donc pas encore "opposables aujourd'hui" au 26 mai 2026. En revanche, elles doivent déjà être traitées comme des exigences de conception.

Concrètement, cela concerne potentiellement :

• un chatbot client ;
• un assistant interne ;
• un agent conversationnel branché à une base documentaire ;
• un générateur d'images ou de vidéos marketing ;
• un système de synthèse vocale ;
• un outil produisant du texte publié sur un sujet d'intérêt public.

Le réflexe architectural consiste à prévoir les labels, métadonnées, journaux, critères d'exception et validations humaines au niveau du système. Ajoutés après coup, ces éléments deviennent vite des rustines UX et compliance.

GPAI — pourquoi les utilisateurs doivent suivre le sujet

Depuis le 2 août 2025, les obligations relatives aux modèles d'IA à usage général concernent d'abord les fournisseurs de ces modèles. La Commission a publié un Code de pratique GPAI et des lignes directrices pour clarifier le périmètre de ces obligations.

Pour une entreprise utilisatrice, l'enjeu n'est pas de se déclarer fournisseur GPAI par défaut. L'enjeu est plus prosaïque :

• demander la documentation disponible aux fournisseurs importants ;
• suivre les politiques de droit d'auteur, de sécurité et de transparence ;
• documenter le rôle exact de chaque modèle dans le système ;
• distinguer ce qui relève du fournisseur du modèle, de l'éditeur applicatif, de l'intégrateur et du déployeur final.

Lorsqu'une organisation intègre un modèle dans un produit ou un processus métier, la qualification de son rôle peut devenir subtile. Fine-tuning, prompts système structurants, couches de sécurité, données métier et orchestration d'agents peuvent modifier le niveau de responsabilité. Cette qualification est juridique ; la réponse d'architecture est de rendre les dépendances explicites et auditables.

RGPD et AI Act — deux régimes qui se cumulent

L'AI Act ne remplace pas le RGPD. Lorsque le système d'IA traite des données personnelles, les deux cadres doivent être lus ensemble.

Les recommandations de la CNIL pour les systèmes d'IA rappellent des principes qui restent structurants :

1. définir une finalité claire ;
2. identifier une base légale ;
3. minimiser les données ;
4. distinguer apprentissage, expérimentation et production ;
5. fixer des durées de conservation ;
6. documenter les jeux de données et les traitements ;
7. permettre l'exercice des droits ;
8. évaluer les risques de biais et de discrimination ;
9. sécuriser les accès, les données et les modèles ;
10. évaluer le système dans le temps.

Ces principes ne sont pas tous des obligations AI Act. Ils recoupent toutefois la logique de gouvernance attendue pour des systèmes IA robustes : finalité, trace, supervision, documentation, évaluation continue. Pour une direction, l'intérêt est d'éviter deux chantiers séparés : un chantier data privacy d'un côté, un chantier AI Act de l'autre, puis une refonte d'architecture pour les faire tenir ensemble.

Cinq réflexes architecturaux

La doctrine cabinet est claire : la conformité réglementaire ne se traite pas comme un livrable d'audit ponctuel, mais comme une propriété d'architecture. Cinq réflexes en découlent.

1. Cartographier les systèmes IA déployés. Inclure les outils SaaS dotés de fonctions IA, les copilotes, les assistants internes, les chatbots clients, les agents connectés aux données métier et les workflows automatisés utilisant des modèles. La cartographie révèle souvent des systèmes que personne n'avait nommés comme de l'IA.

2. Qualifier chaque système par niveau de risque. Le niveau de risque dépend de l'usage prévu, du contexte, des personnes affectées et du rôle de l'organisation. Cette qualification ne doit pas être improvisée au moment d'un audit.

3. Instrumenter la transparence dès la conception. Labels, mentions, journalisation, marquage de contenus synthétiques, contrôles éditoriaux et exceptions doivent être prévus dans le parcours. La transparence n'est pas seulement une phrase ajoutée en bas d'écran.

4. Documenter par défaut. Décisions d'architecture, dépendances fournisseur, jeux de données, prompts système, modèles, versions, seuils, validations humaines, incidents : ce sont les matériaux d'une revue de conformité future.

5. Intégrer la supervision humaine au système. La supervision humaine n'est pas un principe abstrait. Elle implique des seuils d'escalade, des responsables identifiés, des journaux d'intervention et des capacités de reprise lorsque le système sort de son cadre.

Ce que ça change pour la décision

Pour une direction, le principal changement n'est pas de transformer chaque projet IA en dossier juridique. C'est de refuser les systèmes opaques.

Un système IA qui ne sait pas dire ce qu'il fait, pourquoi il le fait, avec quelles données, sous quelle responsabilité et avec quelle supervision restera fragile : fragile pour la conformité, mais aussi fragile pour l'exploitation, le support, la sécurité et la confiance interne.

L'AI Act, lu comme une contrainte isolée, peut ressembler à une charge. Lu comme une grille d'architecture, il devient un moyen de trier les expérimentations, de prioriser les chantiers et de faire passer les systèmes IA d'un usage opportuniste à un usage gouverné.

---

Rappel. Cette lecture ne qualifie pas juridiquement un système particulier. La qualification d'un rôle (fournisseur, déployeur, importateur, distributeur), d'un niveau de risque ou d'une obligation applicable doit être validée avec les conseils compétents.

Sources officielles consultées

• Règlement (UE) 2024/1689 du Parlement européen et du Conseil du 13 juin 2024, texte officiel EUR-Lex : https://eur-lex.europa.eu/eli/reg/2024/1689/oj?locale=fr.
• Commission européenne, AI Act — overview and timeline, page officielle : https://digital-strategy.ec.europa.eu/en/policies/regulatory-framework-ai.
• AI Act Service Desk, Timeline for the Implementation of the EU AI Act, service officiel de la Commission : https://ai-act-service-desk.ec.europa.eu/en/ai-act/timeline/timeline-implementation-eu-ai-act.
• AI Act Service Desk, Frequently Asked Questions, service officiel de la Commission : https://ai-act-service-desk.ec.europa.eu/en/faq.
• Commission européenne, EU agrees to simplify AI rules to boost innovation and ban 'nudification' apps to protect citizens, 7 mai 2026 : https://digital-strategy.ec.europa.eu/en/news/eu-agrees-simplify-ai-rules-boost-innovation-and-ban-nudification-apps-protect-citizens.
• Commission européenne, General-Purpose AI Code of Practice now available, 10 juillet 2025 : https://digital-strategy.ec.europa.eu/en/news/general-purpose-ai-code-practice-now-available.
• Commission européenne, Guidelines for providers of general-purpose AI models, 18 juillet 2025 : https://digital-strategy.ec.europa.eu/en/news/commission-publishes-guidelines-providers-general-purpose-ai-models.
• CNIL, IA : comment être en conformité avec le RGPD ? : https://www.cnil.fr/fr/intelligence-artificielle/ia-comment-etre-en-conformite-avec-le-rgpd.
• CNIL, recommandations pour le développement des systèmes d'IA, hub de ressources : https://www.cnil.fr/fr/ia-comment-se-mettre-en-conformite.