EU AI Act : ce que les entreprises doivent savoir sur les nouvelles règles relatives à l’IA
- par Ilona K.

Table des matières
À mesure que l’intelligence artificielle (IA) se généralise, de nouvelles réglementations émergent pour définir la manière dont les entreprises peuvent développer et utiliser les technologies d’IA. L’un des textes clés est l’ EU AI Act (une loi de l’Union européenne qui encadre le développement et l’utilisation des systèmes d’IA et qui, dans certains cas, s’applique également aux entreprises situées hors de l’UE). Voyons ce qu’il réglemente, à qui il s’applique et comment les entreprises peuvent s’y préparer.
Qu’est-ce que l’EU AI Act ?
L’ EU AI Act est la première loi globale de l’Union européenne encadrant l’utilisation de l’intelligence artificielle.
Son objectif est d’établir des règles uniformes pour le développement et l’utilisation de l’IA, tout en soutenant le progrès technologique et en atténuant les risques potentiels pour la société. L’EU AI Act n’est qu’un élément d’une stratégie plus large de l’UE visant à développer une intelligence artificielle digne de confiance et centrée sur l’humain, qui comprend l’ AI Continental Action Plan, l’ AI Innovation Package et le lancement des AI Factories (des infrastructures destinées au développement et au déploiement de l’intelligence artificielle). Ensemble, ces initiatives visent non seulement à garantir la sécurité et à protéger les droits fondamentaux, mais aussi à stimuler l’investissement, l’innovation et l’adoption plus large de l’IA dans l’UE.
L’EU AI Act repose sur une approche fondée sur les risques, ce qui signifie que plus la probabilité qu’un système d’IA ait une incidence sur la sécurité, les droits ou les intérêts des personnes est élevée, plus les exigences qui lui sont imposées sont strictes. Ainsi, l’AI Act n’établit pas de règles uniformes pour tous les systèmes d’IA. Ceux-ci sont plutôt répartis en quatre catégories de risque, chacune assortie de ses propres exigences :

1. Risque inacceptable
Cette catégorie comprend les systèmes d’IA dont l’utilisation est interdite parce qu’ils menacent la sécurité ou les droits humains fondamentaux, tels que les systèmes de notation sociale ; les technologies qui utilisent l’IA pour manipuler le comportement humain ou exploiter les vulnérabilités des personnes ; la reconnaissance des émotions sur le lieu de travail et dans les établissements d’enseignement ; ainsi que certains types d’identification biométrique dans les espaces publics. L’interdiction de ces pratiques est entrée en vigueur en février 2025.
2. Risque élevé
Cette catégorie comprend les systèmes d’IA susceptibles d’avoir un impact important sur la vie des personnes, comme les solutions utilisées dans l’éducation, la santé, l’emploi, les infrastructures critiques, les forces de l’ordre, la migration et l’évaluation du crédit.
L’AI Act fixe les exigences les plus strictes pour ces systèmes. Celles-ci incluent la gestion des risques, l’utilisation de données de haute qualité, la tenue d’une documentation technique, la supervision humaine, ainsi que le respect d’exigences en matière de fiabilité, d’exactitude et de cybersécurité.

3. Risque limité
Cette catégorie met l’accent sur la transparence dans l’utilisation de l’IA. Par exemple, les utilisateurs doivent savoir lorsqu’ils interagissent avec un système d’IA, comme un chatbot. En outre, certains contenus créés à l’aide de l’IA, notamment les deepfakes, doivent être signalés comme tels. La plupart des exigences de transparence s’appliqueront à partir d’août 2026.
4. Risque minimal ou nul
La plupart des applications d’IA entrent dans cette catégorie. Cela inclut les filtres anti-spam, l’IA dans les jeux vidéo et de nombreux autres outils du quotidien. L’AI Act n’établit pas d’exigences obligatoires supplémentaires pour ces applications.
Cette approche permet le développement sans entrave des technologies lorsque les risques potentiels sont minimes, tout en établissant des exigences plus strictes pour les cas d’utilisation de l’IA susceptibles d’avoir une incidence sur la sécurité ou les droits humains fondamentaux.
À qui s’applique l’EU AI Act ?

Les exigences de l’AI Act ne s’appliquent pas uniquement aux entreprises qui créent des LLM ou d’autres systèmes d’IA. En pratique, la loi peut concerner un éventail beaucoup plus large d’organisations, car l’IA fait déjà partie de nombreux produits numériques et processus métier.
Les entreprises peuvent utiliser l’IA aussi bien en interne qu’au moyen de solutions tierces intégrées à des sites web, des produits ou des systèmes internes. Il peut s’agir d’un chatbot de support client qui répond aux questions des clients, d’un système de recommandation qui aide les utilisateurs à trouver le bon produit ou service, d’un outil de génération de contenu ou d’une solution d’analyse des activités suspectes.
Le simple fait d’utiliser l’IA ne signifie pas automatiquement qu’une entreprise est soumise à l’ensemble des exigences de l’EU AI Act. Les responsabilités dépendent du rôle que joue l’organisation dans l’utilisation de l’IA, de l’outil utilisé et du fait qu’il relève ou non des catégories encadrées par la loi.
Pourquoi c’est important pour les entreprises internationales
La principale caractéristique de l’EU AI Act est son application extraterritoriale.
Si une organisation propose des biens ou des services à des utilisateurs dans l’Union européenne, ou si les résultats de ses systèmes d’IA sont utilisés dans l’UE, certaines dispositions de la loi peuvent s’appliquer à cette entreprise, quel que soit son pays d’immatriculation.
C’est pourquoi l’AI Act suscite déjà de l’intérêt bien au-delà du marché européen.
Une entreprise internationale peut utiliser l’IA pour automatiser le support client, traiter les demandes des clients ou personnaliser ses services. Si des clients situés dans des pays de l’UE utilisent ces fonctionnalités, l’entreprise devrait évaluer quelles exigences légales peuvent s’appliquer spécifiquement à ces usages de l’IA.
Cela ne signifie pas que toute entreprise travaillant avec des clients européens doit automatiquement se conformer à toutes les dispositions de l’AI Act. Cependant, il n’est plus possible d’ignorer la nouvelle loi au seul motif que l’entreprise est enregistrée en dehors de l’Union européenne.
Pourquoi c’est important pour le secteur des domaines
Le secteur des domaines met lui aussi activement en œuvre l’IA.
Aujourd’hui, l’IA aide les utilisateurs à trouver des noms de domaine disponibles, suggère des alternatives à partir de mots-clés ou de descriptions de projets, automatise le support client et analyse les demandes des clients.
L’intelligence artificielle est également utilisée pour renforcer la sécurité. Les algorithmes peuvent repérer des enregistrements suspects, analyser des activités atypiques ou contribuer à détecter des domaines potentiellement utilisés pour le phishing et d’autres abus.
De tels scénarios montrent à quel point l’IA est déjà étroitement intégrée au secteur moderne des domaines.
Si ces services sont accessibles aux utilisateurs dans l’Union européenne, les entreprises devraient évaluer à l’avance si certaines exigences de l’EU AI Act s’appliquent aux outils d’IA qu’elles utilisent.
Ce que les entreprises devraient faire dès maintenant
Les entreprises devraient évaluer avec soin la manière dont elles utilisent l’IA dans leurs activités. Une telle analyse peut les aider à comprendre quelles dispositions légales peuvent concerner leur organisation et quelles mesures pourraient être nécessaires par la suite :
- Dresser la liste des outils d’IA utilisés dans l’entreprise, y compris les fonctions intégrées de services tiers, les chatbots, les outils d’automatisation et les solutions d’analyse de données.
- Déterminer le rôle de l’entreprise par rapport à chaque solution d’IA, c’est-à-dire si elle développe son propre système d’IA, intègre un outil existant à son produit ou l’utilise uniquement pour des processus internes.
- Évaluer la finalité des systèmes d’IA utilisés et déterminer s’ils relèvent de catégories pour lesquelles l’AI Act prévoit des exigences supplémentaires.
- Si l’entreprise relève de l’AI Act, identifier les membres du personnel qui travaillent avec des outils d’IA et veiller à ce qu’ils disposent du niveau requis de culture de l’IA, comme l’exige la loi.
- Suivre les évolutions réglementaires, y compris les éventuelles modifications des échéances et des exigences dans le cadre de l’initiative Digital Omnibus.
Cette évaluation préliminaire peut aider l’entreprise à comprendre quelles dispositions de l’AI Act peuvent la concerner et à se préparer à l’application future des exigences de la loi.
L’utilisation de l’IA devient un élément standard de l’activité numérique. Les entreprises mettent en œuvre l’IA pour accélérer le service client, automatiser les tâches répétitives, renforcer la sécurité et rendre leurs services plus faciles à utiliser.
Dans le même temps, les exigences relatives à l’utilisation de ces technologies évoluent également.
Quand les exigences de l’EU AI Act entreront-elles en vigueur ?

Bien que l’EU AI Act soit officiellement entré en vigueur en 2024, ses dispositions sont mises en œuvre progressivement. L’objectif est de laisser aux entreprises le temps de s’adapter aux nouvelles exigences. À ce jour, cinq grandes étapes peuvent être identifiées :
Février 2025 : premières interdictions et exigences en matière de culture de l’IA
Les premières dispositions de la loi sont entrées en vigueur le 2 février 2025.
Premièrement, l’interdiction d’utiliser des systèmes d’IA classés comme présentant un risque inacceptable est entrée en vigueur. Il s’agit notamment des systèmes de notation sociale, des technologies fondées sur la manipulation du comportement humain, de certains types d’identification biométrique dans les espaces publics et d’un certain nombre d’autres pratiques que l’UE juge incompatibles avec la protection des droits humains fondamentaux.
Deuxièmement, les entreprises couvertes par l’AI Act doivent garantir un niveau adéquat de culture de l’IA parmi les membres du personnel qui travaillent avec l’intelligence artificielle. Cela n’implique pas de certification obligatoire ni de formation uniforme. Toutefois, les organisations doivent s’assurer que les personnes concernées comprennent les capacités et les limites des systèmes d’IA qu’elles utilisent, connaissent les risques associés et sont en mesure d’utiliser ces outils de façon responsable. L’évaluation tient compte du rôle de la personne, des spécificités des solutions d’IA utilisées et du contexte dans lequel elles sont utilisées.
Août 2025 : règles relatives aux modèles à usage général
L’étape suivante a commencé le 2 août 2025, lorsque les exigences ont commencé à s’appliquer aux fournisseurs de modèles d’intelligence artificielle à usage général (GPAI), par exemple les grands modèles de langage (LLM) pouvant être utilisés pour un large éventail de tâches.
Pour les fournisseurs de ces modèles, la loi impose des obligations de préparation de documentation technique, de respect des exigences en matière de droit d’auteur, de transparence suffisante et, pour les modèles les plus puissants, de gestion des risques systémiques.
Pour la plupart des entreprises qui se contentent d’utiliser des services d’IA prêts à l’emploi, cette étape a une portée plutôt indirecte. Toutefois, ces exigences s’appliquent aux développeurs et aux fournisseurs des modèles d’IA de base sur lesquels reposent de nombreux services modernes.
Août 2026 : principales exigences pour les entreprises
L’échéance la plus importante pour la plupart des entreprises sera le 2 août 2026.
C’est à cette date qu’une part importante des dispositions de l’AI Act s’appliquera, notamment les exigences relatives aux systèmes d’IA à haut risque, les responsabilités des acteurs du marché, les règles de transparence et les pouvoirs des autorités de surveillance.
Plus précisément, les exigences applicables aux systèmes d’IA à haut risque entreront en vigueur, notamment :
- la gestion des risques tout au long du cycle de vie du système ;
- la garantie de la qualité des données utilisées pour l’entraînement et le fonctionnement de l’IA ;
- la tenue d’une documentation technique ;
- l’enregistrement des événements afin d’assurer la traçabilité du fonctionnement du système ;
- la supervision humaine du fonctionnement de l’IA ;
- le respect des exigences en matière d’exactitude, de fiabilité et de cybersécurité.
De nombreuses exigences de transparence s’appliqueront également pendant cette période. Par exemple, les utilisateurs doivent être informés lorsqu’ils interagissent avec un système d’IA, comme un chatbot, et certains contenus générés par l’IA, notamment les deepfakes, doivent être signalés comme tels.
Août 2027 : l’IA dans les produits réglementés
L’étape suivante de la mise en œuvre de l’AI Act commencera le 2 août 2027. À partir de cette date, la loi s’appliquera aux systèmes d’IA qui constituent des composants de sécurité de produits déjà réglementés par le droit de l’UE. Cela concerne, par exemple, les dispositifs médicaux, les machines, les véhicules et d’autres produits dans lesquels l’intelligence artificielle influe sur la sécurité d’utilisation.
Fin 2030 : fin de la période de transition
La dernière étape de la mise en œuvre de l’AI Act prendra fin le 31 décembre 2030. À cette date, certains grands systèmes d’information de l’Union européenne énumérés à l’ Annex X de l’AI Act (une liste de certains grands systèmes d’information de l’UE pour lesquels la loi prévoit une période de transition plus longue jusqu’à la pleine conformité à l’AI Act) devront respecter les exigences de la loi.
Cette date n’entraînera pas de nouvelles obligations pour la plupart des entreprises, mais elle marquera l’achèvement de la mise en œuvre progressive de la loi. European Commission discute actuellement de l’initiative Digital Omnibus (un ensemble de modifications législatives visant à simplifier et à harmoniser la réglementation numérique dans l’UE et à réduire la charge administrative pesant sur les entreprises), qui propose de reporter l’entrée en vigueur de certaines exigences applicables aux systèmes d’IA à haut risque, à titre indicatif jusqu’à la fin de 2027.
Toutefois, ces changements n’ont pas encore été adoptés. Il est donc conseillé aux entreprises de se référer au calendrier actuel de mise en œuvre de l’AI Act et de ne pas retarder leurs préparatifs dans l’attente de possibles modifications.
Se préparer aux nouvelles exigences ne signifie pas nécessairement procéder dès aujourd’hui à des changements de grande ampleur. Toutefois, comprendre où et comment l’IA est utilisée au sein d’une entreprise peut vous aider à évaluer rapidement les risques potentiels, à éviter des complications inattendues à l’avenir et à vous adapter plus sereinement aux nouvelles réglementations.
FAQ
L’EU AI Act s’applique-t-il aux entreprises situées en dehors de l’Union européenne ?
Oui. L’AI Act a une application extraterritoriale. Dans certains cas, ses exigences peuvent s’appliquer aux entreprises enregistrées en dehors de l’UE si elles proposent des produits ou des services à des utilisateurs dans l’UE, ou si les résultats de leurs systèmes d’IA sont utilisés au sein de l’UE.
Toutes les entreprises sont-elles tenues de se conformer à l’EU AI Act ?
Non. Les obligations dépendent du rôle que joue l’entreprise dans l’utilisation de l’IA, des systèmes d’IA concernés et de la catégorie de risque à laquelle ils appartiennent. Le simple fait d’utiliser l’IA n’entraîne pas automatiquement l’application de toutes les exigences de la loi.
Quels systèmes d’IA sont les plus strictement réglementés ?
Les exigences les plus strictes s’appliquent aux systèmes d’IA à haut risque. Il s’agit notamment des solutions utilisées dans la santé, l’éducation, l’emploi, les infrastructures critiques, les forces de l’ordre et l’évaluation du crédit. Pour ces systèmes, l’AI Act fixe des exigences en matière de gestion des risques, de qualité des données, de documentation, de supervision humaine et de cybersécurité.
Quand la plupart des exigences de l’EU AI Act entreront-elles en vigueur ?
Bien que la loi soit entrée en vigueur en 2024, ses dispositions sont mises en œuvre par étapes. L’une des dates clés est le 2 août 2026, date à laquelle une part importante des exigences applicables aux entreprises entrera en vigueur, notamment les règles relatives aux systèmes d’IA à haut risque et les exigences de transparence. Toutefois, certaines dispositions sont déjà en vigueur depuis février et août 2025.
Que devrait faire une entreprise dès maintenant ?
Commencez par une évaluation interne de son utilisation de l’IA, par exemple en déterminant quels outils d’IA sont utilisés dans l’entreprise, où ils sont utilisés, quel rôle l’organisation joue par rapport à ces systèmes et s’ils peuvent relever de l’AI Act. Cette analyse peut aider à comprendre à l’avance quelles obligations pourraient apparaître à mesure que la loi entre en application.
Vous souhaitez rester au fait des tendances du secteur technologique ? Consultez le blog d’it.com Domains et contactez-nous sur les réseaux sociaux.
Cet article a été traduit par une intelligence artificielle et peut contenir des imprécisions. Consultez la version originale en anglais.

À lire aussi
Tendances
5 tendances tech pour aider les entreprises à se développer en ligne en 2026
- Lecture de 15 min


Tendances
Découvrir l’extension .it.com : un domaine moderne pour un monde numérique
- Lecture de 13 min

Tendances
Que sont les annonces Google AI Max et votre entreprise en a‑t‑elle besoin ?
- Lecture de 8 min
