Le règlement européen sur l'intelligence artificielle entre progressivement en vigueur en 2026. Comme le RGPD en son temps, il va structurer les pratiques bien au-delà des frontières de l'Union. Voici ce que chaque entreprise doit comprendre et anticiper.
Ce que l'IA Act interdit et ce qu'il encadre
L'IA Act classe les systèmes IA en quatre niveaux de risque. Les systèmes à risque inacceptable sont purement interdits : notation sociale des citoyens, manipulation comportementale, reconnaissance faciale en temps réel dans les espaces publics (avec exceptions limitées).
Les systèmes à haut risque, eux, sont autorisés mais encadrés : recrutement automatisé, scoring de crédit, systèmes médicaux, infrastructures critiques. Ils nécessitent une documentation complète, des tests de robustesse et une supervision humaine.
Ce qui change concrètement pour les PME et ETI
Les chatbots et assistants IA
Tout système d'IA interagissant avec des humains doit désormais se signaler comme tel. Votre chatbot doit informer l'utilisateur qu'il parle à une IA. Simple à implémenter, mais obligatoire sous peine de sanction.
Les systèmes de recrutement
Si vous utilisez un outil IA pour filtrer des CV ou scorer des candidats, il entre dans la catégorie haut risque. Documentation obligatoire, audit régulier, droit de recours pour les candidats.
Les recommandations automatisées
Les systèmes de recommandation utilisés dans des contextes sensibles (crédit, assurance, santé) sont soumis à des obligations de transparence renforcées.
À faire maintenant : inventoriez tous vos systèmes IA en production et classez-les par niveau de risque. C'est le premier livrable attendu par les autorités de contrôle.
Comment se préparer : notre méthode en 4 étapes
Étape 1 : cartographiez l'existant. Identifiez chaque système IA utilisé dans votre organisation, même les outils SaaS tiers qui intègrent de l'IA.
Étape 2 : évaluez le risque de chacun selon la grille de l'IA Act. La plupart des outils bureautiques IA (Copilot, ChatGPT pour la rédaction) sont à risque minimal.
Étape 3 : documentez les systèmes à haut risque. Pour chaque système : objectif, données utilisées, biais identifiés, mesures de mitigation, responsable désigné.
Étape 4 : formez vos équipes. La conformité n'est pas qu'un sujet juridique, c'est un sujet de gouvernance opérationnelle.
DataSAI accompagne les entreprises dans leur mise en conformité IA Act. Notre audit de conformité de 2 semaines vous donne une cartographie complète et un plan d'action priorisé.
Avec toute mon attention,
Article très complet et ancré dans la réalité du terrain. On retrouve exactement les mêmes patterns chez nos clients. La partie sur les coûts d'inférence est particulièrement précieuse, c'est un sujet que peu d'articles abordent franchement.
Merci Thomas ! Effectivement, l'optimisation des coûts est souvent négligée en phase de prototypage mais devient critique en production. N'hésitez pas à nous contacter si vous voulez approfondir ce point.
Je partage cet article à toute mon équipe. La distinction entre « démo impressionnante » et « production robuste » est exactement le débat qu'on a en ce moment en interne. Le conseil sur les human checkpoints est actionnable immédiatement.
Très bon article. Je nuancerais sur le délai de 18 jours pour déployer un premier agent, dans mon expérience c'est plus proche de 4 à 6 semaines quand on intègre vraiment les contraintes de sécurité et de RGPD.
Remarque tout à fait juste Marc. Les 18 jours correspondent à un premier agent en environnement de test ou pour un cas d'usage bien délimité. En production avec toutes les contraintes enterprise, votre estimation est réaliste.