EU AI Act : ce que chaque équipe IA doit vraiment savoir

01 Un règlement qui redéfinit les règles du jeu

Entré en vigueur le 1er août 2024, le Règlement européen sur l'intelligence artificielle — connu sous le nom d'EU AI Act — est la première législation au monde à réguler l'IA de manière transversale et contraignante. Il ne s'agit pas d'un texte de principes ou d'une charte de bonnes pratiques : c'est un règlement directement applicable dans les 27 États membres, assorti d'amendes pouvant atteindre 35 millions € ou 7 % du chiffre d'affaires mondial.

Pour les équipes IA en entreprise, ce règlement change trois choses fondamentales. Premièrement, il impose une classification obligatoire de tout système d'IA déployé ou utilisé. Deuxièmement, il définit des obligations différenciées selon le rôle joué dans la chaîne de valeur IA — fournisseur, déployeur ou utilisateur. Troisièmement, il instaure un régime de responsabilité qui dépasse largement la seule conformité RGPD.

L'applicabilité est progressive : certaines dispositions sont déjà en vigueur (interdictions de pratiques à risque inacceptable depuis février 2025), d'autres s'appliquent à partir d'août 2025, et l'essentiel des obligations pour les systèmes à haut risque entre en force en août 2026. La fenêtre de préparation est étroite — et les équipes qui n'ont pas encore entamé leur analyse de conformité accumulent un retard difficile à rattraper.

Point clé

Le champ d'application géographique de l'EU AI Act est extra-territorial : il s'applique dès lors qu'un système d'IA est utilisé dans l'Union européenne, quelle que soit la localisation du fournisseur. Un outil SaaS développé aux États-Unis et utilisé par vos équipes est donc couvert.

02 La pyramide des risques

L'architecture réglementaire de l'EU AI Act repose sur une logique de gestion proportionnelle du risque : plus un système d'IA peut causer de préjudice, plus les obligations associées sont lourdes. Quatre niveaux structurent cette pyramide, du plus critique au plus bénin.

Fig. 1 — Pyramide des quatre niveaux de risque de l'EU AI Act · Source : Règlement (UE) 2024/1689

Niveau 1 — Risque inacceptable (interdit)

Sont purement et simplement interdits depuis février 2025 : les systèmes de notation sociale par les pouvoirs publics, l'exploitation des vulnérabilités psychologiques ou physiques, la manipulation comportementale subliminale, et — avec des exceptions strictement encadrées — la reconnaissance biométrique en temps réel dans les espaces publics. Ces pratiques sont illicites, sans dérogation commerciale possible.

Niveau 2 — Haut risque (obligations lourdes)

C'est la catégorie qui concernera le plus grand nombre d'équipes IA d'entreprise. Sont classés à haut risque les systèmes utilisés dans des domaines listés à l'Annexe III du règlement : infrastructures critiques, éducation, emploi et gestion RH, accès aux services essentiels (crédit, assurance), application de la loi, administration de la justice, gestion des migrations. Un outil de scoring de CV, un système de détection de fraude bancaire, ou un assistant médical d'aide au diagnostic entrent dans cette catégorie.

Niveau 3 — Risque limité (transparence)

Cette catégorie couvre principalement les chatbots, les systèmes de génération de contenus synthétiques (images, vidéos, audio) et les systèmes d'inférence d'émotions. L'obligation principale est la divulgation : l'utilisateur doit savoir qu'il interagit avec un système d'IA. Un assistant conversationnel déployé en service client est ici concerné.

Niveau 4 — Risque minimal (libre)

La grande majorité des outils IA — filtres anti-spam, moteurs de recommandation de contenu, outils créatifs — ne fait l'objet d'aucune obligation spécifique, si ce n'est les règles de droit commun. Le règlement encourage toutefois l'adoption de codes de conduite volontaires.

03 Le calendrier d'application

L'EU AI Act s'applique selon un calendrier progressif sur deux ans. Comprendre ces jalons est critique pour prioriser les chantiers de conformité de votre équipe.

Fig. 2 — Timeline d'application de l'EU AI Act · Jalons réglementaires clés

Le jalon d'août 2026 est le plus critique pour la majorité des entreprises. Il marque l'entrée en vigueur complète des obligations pour les systèmes à haut risque : évaluation de conformité, enregistrement dans la base de données EU, documentation technique, journaux d'activité, supervision humaine, robustesse et exactitude. À cette date, les autorités nationales de surveillance seront pleinement opérationnelles.

Attention

Les modèles d'IA à usage général (GPAI — pensez GPT-4, Claude, Mistral Large…) sont soumis à des règles spécifiques depuis août 2025. Si votre organisation intègre ces modèles dans ses produits, vous êtes déjà concernés par des obligations de documentation et de politique de copyright.

04 Les obligations concrètes par rôle

L'EU AI Act distingue rigoureusement trois rôles dans la chaîne de valeur IA, chacun portant un niveau d'obligation différent. Confondre ces rôles est l'une des erreurs les plus fréquentes — et les plus coûteuses — des équipes techniques.

Fournisseur, déployeur, utilisateur : qui est qui ?

Le fournisseur (provider) est l'entité qui développe ou fait développer un système d'IA et le met sur le marché ou en service, sous son nom ou sa marque. Le déployeur (deployer) est toute personne physique ou morale qui utilise un système d'IA à haut risque sous sa propre autorité, à l'exception de l'usage personnel non professionnel. L'utilisateur final (au sens du règlement, souvent l'employé ou le citoyen) bénéficie quant à lui de droits d'information et de recours.

Dans la pratique, une grande entreprise peut être simultanément fournisseur et déployeur : fournisseur lorsqu'elle développe un outil IA interne et le met à disposition de ses filiales, déployeur lorsqu'elle intègre une API de modèle tiers pour alimenter ses processus RH.

Obligation	Fournisseur	Déployeur	Utilisateur
Documentation technique complète	Obligatoire	Partielle	—
Évaluation de conformité (CE)	Obligatoire	—	—
Enregistrement dans la base EU	Obligatoire	Certains cas	—
Supervision humaine effective	À concevoir	À assurer	—
Gestion des risques (AMS)	Obligatoire	Complémentaire	—
Transparence envers utilisateurs	Via IFU	Obligatoire	Droit de recours

La notion d'instructions d'utilisation (Instructions for Use, IFU) mérite une attention particulière : le fournisseur doit les produire, le déployeur doit s'y conformer strictement. En cas d'usage hors des IFU, la responsabilité bascule vers le déployeur.

"L'EU AI Act ne régule pas la technologie en elle-même — il régule les décisions que cette technologie contribue à prendre. C'est un changement de paradigme pour la gouvernance IA en entreprise."

05 Les 5 pièges à éviter

L'expérience des premières analyses de conformité révèle des patterns d'erreurs récurrents. Voici les cinq plus fréquents et les plus coûteux à corriger tardivement.

Piège 1 — Confondre fournisseur et déployeur

La distinction est juridique, pas technique. Une équipe interne qui développe un outil de scoring RH basé sur un LLM open source est fournisseur au sens du règlement — pas simple utilisatrice. Ce statut emporte l'obligation de documentation technique, d'évaluation de conformité et d'enregistrement. Beaucoup d'équipes IT se croient à tort à l'abri derrière leur fournisseur de modèle.
Piège 2 — Sous-estimer les systèmes RH

Les outils de tri de CV, de scoring de candidats, d'évaluation de performance ou de détection de turnover sont explicitement classés haut risque par l'Annexe III. Beaucoup d'entreprises ont déployé ces outils comme de simples "tableaux de bord analytics" — ils sont pourtant soumis à l'intégralité des obligations haut risque. La nature de la décision prime sur la forme de l'interface.
Piège 3 — Négliger la documentation des données d'entraînement

L'Article 10 impose des exigences précises sur les données : leur provenance, leur traitement, la détection et correction des biais, leur représentativité. Un modèle fine-tuné sur des données maison sans documentation de gouvernance des données (data governance) sera non conforme, même si ses performances techniques sont excellentes. Le chantier de rétro-documentation est souvent massivement sous-estimé.
Piège 4 — Oublier le registre interne des systèmes IA

L'EU AI Act exige que les déployeurs tiennent un registre des systèmes IA à haut risque utilisés. En pratique, la plupart des grandes organisations ne savent pas précisément quels systèmes d'IA ils utilisent, par quel fournisseur, dans quel processus métier, et avec quelle supervision humaine. L'inventaire est le préalable à tout programme de conformité — et il révèle généralement bien plus de systèmes concernés qu'attendu.
Piège 5 — Traiter la conformité comme un projet one-shot

L'EU AI Act impose une gestion continue des risques tout au long du cycle de vie du système. Un système conforme au moment de son déploiement peut cesser de l'être si ses données changent, si son usage évolue, si de nouveaux biais sont détectés. La conformité n'est pas un audit ponctuel — c'est un processus opérationnel intégré, comparable à la gestion de la sécurité informatique.

06 Ce que DEEP-5 intègre dans ses missions

Chez DEEP-5, la conformité à l'EU AI Act n'est pas un module optionnel ajouté en fin de projet — elle est structurellement intégrée à chaque mission, dès la phase de cadrage. Concrètement, cela signifie que chaque solution que nous concevons ou déployons fait l'objet d'une classification de risque documentée, d'une analyse des obligations applicables selon le rôle du client (fournisseur ou déployeur), et d'une feuille de route de conformité associée.

Sur les systèmes à haut risque, nous intégrons systématiquement : la conception du mécanisme de supervision humaine (human oversight), la documentation des choix d'architecture de données conformément à l'Article 10, la mise en place de journaux d'activité horodatés et auditable, et l'accompagnement à l'enregistrement dans la base de données européenne.

Notre approche d'ingénierie est pragmatique : nous aidons nos clients à atteindre la conformité sans sacrifier la vitesse d'exécution ni la valeur métier. La conformité bien architecturée est un avantage compétitif — elle ouvre l'accès à des marchés publics, renforce la confiance des partenaires, et réduit le risque réputationnel. Elle n'est pas un frein à l'innovation, c'est le cadre qui la rend durable.

Notre approche d'ingénierie

Chaque mission DEEP-5 inclut une AI Act Readiness Review : classification des systèmes, cartographie des obligations, identification des écarts et plan d'action priorisé. Disponible en format sprint (2 semaines) ou intégré à une mission longue.

Prêt à évaluer votre conformité EU AI Act ?

Nos experts analysent votre portefeuille de systèmes IA et vous livrent un plan d'action concret en 2 semaines.

Parler à un expert