Commencer

D1 — L'EU AI Act : structurer plutôt que subir

D1Conformité juridique

Sujet

Le règlement européen sur l'intelligence artificielle (UE) 2024/1689 — communément appelé EU AI Act — impose aux organisations qui déploient des systèmes d'IA des obligations de robustesse, transparence, supervision humaine et traçabilité, particulièrement pour les usages classés à haut risque. Son entrée en application est progressive, les principales obligations pour les systèmes à haut risque devenant exigibles courant 2026-2027. Le règlement vise les déployeurs — c'est-à-dire les entreprises qui utilisent l'IA — pas seulement les fournisseurs de modèles.

Conseil

Nous vous conseillons d'aborder l'EU AI Act comme une opportunité d'audit interne plutôt que comme un fardeau à subir. Concrètement : commencer par cartographier vos usages IA réels (qui utilise quoi, sur quels cas, avec quelles données), évaluer la classification de risque de chaque usage, identifier ce qui relève des bonnes pratiques même quand ce n'est pas légalement requis. Liren AI Mapper instrumente cette cartographie et produit un dossier de conformité opposable, signé HMAC-SHA256, qui couvre les exigences principales du règlement. La philosophie CLAVIS soutient ce principe : la conformité n'est utile que si elle est l'expression d'une structuration réelle ; cocher des cases sans structurer en amont ne protège ni le déployeur, ni les personnes concernées.

L1 Niveau 1 — Néophyte

L'Europe a voté un règlement qui demande aux entreprises qui utilisent l'IA de respecter certaines règles — la supervision humaine, la transparence, la traçabilité des décisions, la mesure des risques. Il s'applique progressivement, et 2026 est une année clé. Beaucoup d'entreprises pensent que c'est l'affaire des les grands fournisseurs d'IA générative. C'est faux. Ce sont aussi les entreprises **utilisatrices** qui ont des obligations, distinctes de celles du fournisseur. Une bonne pratique consiste à voir ce règlement comme un audit utile — il vous oblige à savoir ce que fait votre IA, qui décide quoi, et avec quelle trace. C'est de toute façon ce qu'on devrait faire, indépendamment de la loi. Ne rien faire, en revanche, c'est laisser dériver.

L2 Niveau 2 — Utilisateur

L'EU AI Act peut faire peur — il est long, technique, et l'enrobage médiatique a souvent dramatisé son contenu. Pris dans le bon sens, c'est plus simple qu'il n'y paraît. Le règlement demande, en substance, trois choses : connaître les systèmes d'IA que votre organisation utilise (et leur niveau de risque), garantir une supervision humaine sur les décisions sensibles, et documenter ce qui se passe (qui a validé, quand, sur quels critères). La difficulté principale observée dans les entreprises qui s'y mettent n'est pas réglementaire — c'est la **méconnaissance du sujet IA lui-même**. On ne peut pas se mettre en conformité sur un outil qu'on ne maîtrise pas. C'est pour cette raison que l'AI Act devient, presque par accident, un excellent levier de montée en compétence interne : pour s'y conformer, il faut comprendre ce qu'on utilise. L'autre difficulté est la confusion sur les responsabilités. Beaucoup d'entreprises pensent que la conformité est l'affaire du fournisseur — celui qui développe le modèle. C'est faux. L'organisation qui **utilise** l'IA — le déployeur — a sa propre responsabilité, distincte. Si l'IA produit une décision discutable dans votre entreprise, c'est votre organisation qui sera questionnée, pas le fournisseur de modèle. La bonne pratique consiste à s'y prendre maintenant, par étapes, plutôt que d'attendre une mise en demeure. La vraie alerte n'est pas la réglementation — c'est l'inaction.

L3 Niveau 3 — Averti

L'EU AI Act structure une approche par niveau de risque : minimal, limité, élevé, et inacceptable (interdit). La majeure partie des obligations pèse sur les systèmes à haut risque, et concerne deux acteurs distincts. Le **fournisseur** du modèle a ses propres obligations — documentation technique, conformité du modèle. Le **déployeur** — l'organisation qui utilise le système — a des obligations distinctes : supervision humaine effective (cf. E3), tenue de registres, qualité des données d'entrée, gestion des risques, transparence vis-à-vis des utilisateurs finaux. Cette dualité est souvent mal comprise. Une organisation qui utilise une IA grand public pour traiter des candidatures ne peut pas se reposer sur la conformité du fournisseur — elle a sa propre responsabilité opérationnelle, contractuelle et documentaire. Cette responsabilité du déployeur est l'angle mort le plus fréquent observé. La difficulté principale rencontrée par les entreprises qui s'y mettent n'est pas juridique mais cognitive : le manque d'expérience IA empêche de qualifier correctement les usages. On ne peut pas classifier le risque d'un système IA qu'on ne comprend pas. C'est pour cette raison que la mise en conformité opère, en pratique, comme un audit profond de l'usage IA interne — souvent le premier que l'organisation ait conduit. À ce titre, il faut regretter que cet audit ne soit pas plus explicitement encouragé même hors obligation légale : il serait utile à toutes les organisations, qu'elles soient ou non concernées par les seuils du règlement. L'EU AI Act s'articule par ailleurs avec le RGPD pour les traitements de données personnelles via IA — sujet distinct mais imbriqué (cf. D2).

L4 Niveau 4 — Expert

Le règlement (UE) 2024/1689 distribue les obligations selon le niveau de risque des systèmes et selon le rôle des acteurs. Sur le plan opérationnel, les exigences principales du règlement pour les déployeurs de systèmes à haut risque incluent : un système de gestion des risques documenté (art. 9), une gouvernance des données d'entrée (art. 10), une tenue de registres et traçabilité (art. 12), des obligations de transparence vis-à-vis des utilisateurs finaux (art. 13), une supervision humaine effective (art. 14), et des exigences de robustesse, précision et cybersécurité du système en usage (art. 15). Ces obligations s'imposent à l'organisation déployeur indépendamment des obligations qui pèsent sur le fournisseur du modèle. Le calendrier d'application est progressif. L'entrée en vigueur du règlement date du 1er août 2024, l'interdiction des systèmes à risque inacceptable du 2 février 2025, et la principale fenêtre d'application pour les systèmes à haut risque court de l'été 2026 à l'été 2027 selon les catégories. Le règlement prévoit des sanctions pouvant atteindre 35 millions d'euros ou 7 % du chiffre d'affaires annuel mondial pour les manquements les plus graves, et des plafonds inférieurs pour les autres catégories d'infractions — information factuelle plutôt que pivot émotionnel pour le pilotage du programme de conformité. Le pilotage d'un programme de conformité doit anticiper ces échéances plutôt que d'attendre une mise en demeure. Sur le plan opérationnel, trois leviers structurent une stratégie mature. Premier levier : cartographie exhaustive des usages IA en production dans l'organisation, formels ou informels, avec qualification par niveau de risque selon la grille du règlement. Liren AI Mapper instrumente cette cartographie et produit un dossier de conformité opposable, signé cryptographiquement, intégrable dans le dossier de conformité global du déployeur. Deuxième levier : mise en place des dispositifs structurels exigés — supervision humaine (cf. E3), chaîne de validation (cf. E5), mesure de qualité et de robustesse (cf. B4, B2), traçabilité documentée. Troisième levier : articulation avec le RGPD pour les traitements de données personnelles par IA, qui ouvre un chapitre distinct mais imbriqué (cf. D2). Sur le plan stratégique, l'AI Act peut être abordé comme un fardeau ou comme un audit utile de l'usage IA interne. La seconde lecture est plus productive : elle transforme une contrainte réglementaire en levier de structuration et de montée en compétence. La vraie alerte n'est pas le règlement — c'est l'inaction, et la dérive silencieuse qui en résulte (cf. B2, A4).

Enjeux liés

Contextes où cet enjeu est critique

Agentique — quand l'IA agit, et non plus seulement répondChatbot — quand l'IA converse à votre placeCopilote — quand l'IA assiste sans remplacerAutomatisation de processus — quand l'IA prend en charge ce qui se répèteCommercial et avant-vente — quand l'IA prospecte et engage à votre nomMarketing et communication — quand l'IA porte votre voixService client — quand l'IA répond à vos clients à votre placeCréation d'images — quand l'IA dessine pour vousCréation vidéo — quand l'IA monte, génère et fait parlerRédaction — quand l'IA écrit ce que vous publiezTraduction — quand l'IA traverse les langues à votre placeAnalyse de documents — quand l'IA lit pour vousAnalyse de données — quand l'IA chiffre, prédit, suggèreCode et développement — quand l'IA écrit ce qui s'exécuteRessources humaines — quand l'IA touche aux trajectoires individuellesConformité et juridique — quand l'IA aide à comprendre la règleRecherche et veille — quand l'IA synthétise ce qui existeDécouverte — quand vous voulez d'abord comprendre les possibilités

Documenter votre conformité IA

AI Validator produit les preuves d'évaluation systématique exigées par l'EU AI Act et ISO 42001. Format auditable et signé.

Découvrir l'outil

Version Markdown (lecture LLM-friendly)