Conformité IA Act entreprise | Cabinet expert RGPD & IA – Unitae RGPD

IA Act : tout ce que votre organisation doit savoir pour être conforme

AI act

ce que vous devez savoir

Entré en vigueur le 1er août 2024, le Règlement européen sur l’intelligence artificielle — communément appelé IA Act — est la première réglementation mondiale encadrant les systèmes d’IA. Il impose des obligations progressives à toutes les organisations qui développent, déploient ou utilisent de l’IA sur le territoire européen.

Que vous soyez une PME, un CSE, une collectivité ou une grande entreprise, l’IA Act vous concerne probablement. Voici ce que vous devez savoir.

AI act

Qu'est-ce que l'IA Act et pourquoi est-il important ?

L’IA Act est un règlement européen adopté par le Parlement européen en mars 2024 et entré en vigueur en août 2024. Il s’applique à toutes les entreprises qui utilisent des systèmes d’IA pour des personnes situées dans l’Union européenne — qu’elles soient basées en Europe ou non.

À l’image du RGPD pour les données personnelles, l’IA Act introduit une approche fondée sur les risques : plus le risque qu’un système d’IA présente pour les droits fondamentaux est élevé, plus les obligations sont importantes.

Pourquoi agir maintenant ? Les premières obligations sont déjà en vigueur et le calendrier s’accélère. Les sanctions peuvent atteindre 35 millions d’euros ou 7 % du chiffre d’affaires mondial.

Que vous soyez une PME, un CSE, une collectivité ou une grande entreprise, l’IA Act vous concerne probablement. Voici ce que vous devez savoir.

Calendrier de mise en application

DateÉtapeCe qui s'applique
Août 2024Entrée en vigueurLe règlement est officiels
Février 2025Obligations Titre I & IIInterdictions des IA inacceptables, obligations de littératie IA
Août 2025Obligations IA à usage général (GPAI)Modèles comme GPT, Gemini, Llama, etc.
Août 2026Obligations IA à haut risqueSystèmes RH, crédit, biométrie, infrastructure critique
Août 2027Obligations IA haut risque (anciens systèmes)Systèmes déjà en production avant 2025

Les 4 niveaux de risque de l'IA Act

Inacceptable

Ex: Reconnaissance faciale en temps réel dans l'espace public. Obligations principales: INTERDIT — déploiement totalement prohibé

Haut risque

Ex: IA RH (recrutement, évaluation), crédit, infrastructure critique, biométrie. Obligations principales: Documentation, audit, enregistrement, supervision humaine obligatoire

Risque limité

Ex: Chatbots, deepfakes, IA générative. Obligation de transparence : informer l'utilisateur qu'il interagit avec une IA

Risque minimal

Ex: Filtres anti-spam, recommandations de produits, traduction automatique. Aucune obligation spécifique — bonnes pratiques recommandées

AI act

Qui est concerné par l'IA Act ?

L’IA Act s’applique à toutes les organisations qui, depuis le territoire de l’UE ou pour des personnes dans l’UE :

  • Développent des systèmes d’IA (startups, éditeurs logiciels, ESN…)
  • Déploient des systèmes d’IA auprès d’utilisateurs (fournisseurs SaaS, plateformes…)

Utilisent des systèmes d’IA dans leur activité (RH, marketing, service client, finance…)

Concrètement, si votre organisation utilise un chatbot, un outil de recrutement assisté par IA, un logiciel d’analyse comportementale ou un système de notation client, vous êtes potentiellement soumis à l’IA Act.

Cas concrets par type d’organisation

PME & entreprises : utilisation de ChatGPT, Copilot, HubSpot Breeze, logiciels RH avec scoring… Obligation de transparence minimum et parfois d’audit.

CSE : logiciels d’analyse des votes, outils de communication automatisés. Obligation de traçabilité.

Mairies & collectivités : vidéosurveillance intelligente, chatbots citoyens, outils de gestion des demandes. Niveau haut risque fréquent.

AI act

Les obligations concrètes pour votre organisation

Selon le niveau de risque de vos systèmes d’IA, voici ce que l’IA Act impose :

1. La littératie IA (obligatoire depuis février 2025)

Toutes les organisations doivent s’assurer que leurs collaborateurs qui utilisent ou supervisent des systèmes d’IA disposent d’un niveau suffisant de compréhension de l’IA. Cela implique de mettre en place des formations adaptées selon les rôles.

2. L’inventaire des systèmes d’IA

Identifier et documenter tous les systèmes d’IA utilisés dans votre organisation (à l’instar du registre des traitements RGPD). Pour chaque système : fournisseur, usage, niveau de risque, données traitées.

3. La charte d’utilisation de l’IA

Définir les règles d’usage acceptable de l’IA au sein de votre organisation : quels outils sont autorisés, dans quels contextes, avec quelles garde-fous.

4. La supervision humaine

Pour les systèmes à haut risque, l’IA Act impose qu’une personne physique soit toujours en mesure de superviser, corriger ou arrêter le système. Les décisions 100% automatisées ayant un impact significatif sont encadrées.

5. La transparence envers les personnes concernées

Informer les personnes lorsqu’elles interagissent avec une IA (chatbot, assistant vocal…) ou lorsqu’elles font l’objet d’une décision assistée par IA.

IA Act et RGPD : deux réglementations complémentaires

L'IA Act et le RGPD partagent les mêmes valeurs fondamentales : protection des droits des personnes, transparence et responsabilité. Ils se complètent et s'appliquent souvent simultanément.
RGPDIA Act
ObjetDonnées personnellesSystèmes d'IA
ApprocheFondée sur les finalitésFondée sur les risques
Sanction max.4% CA ou 20M€7% CA ou 35M€
RegistreRegistre des traitementsRegistre des systèmes IA
Analyse d'impactAIPD (obligatoire si risque élevé)Documentation technique (risque haut)
Autorité FRCNILCNIL (rôle confirmé)

Questions fréquentes

Suis-je concerné si j'utilise simplement ChatGPT ?

Oui, potentiellement. Depuis février 2025, l'obligation de littératie IA s'applique. Si vous utilisez ChatGPT dans un contexte professionnel, vous devez vous assurer que vos équipes comprennent le fonctionnement et les limites de cet outil.

L'IA Act s'applique-t-il aux associations et aux CSE ?

Oui. Dès lors qu'une organisation utilise des systèmes d'IA pour traiter des données ou prendre des décisions concernant des personnes (membres, salariés...), l'IA Act s'applique, quelle que soit la nature juridique de la structure.

Quelles sont les sanctions en cas de non-conformité ?

Les sanctions varient selon la gravité de l'infraction : de 7,5 millions d'euros (ou 1,5 % du CA mondial) pour des informations inexactes, jusqu'à 35 millions d'euros (ou 7 % du CA mondial) pour les violations les plus graves (utilisation d'une IA interdite).

Par où commencer pour se mettre en conformité IA Act?

1: réaliser un inventaire de tous les outils IA utilisés dans votre organisation. 2: identifier leur niveau de risque. 3: mettre en place une formation de sensibilisation pour les équipes concernées. Unitae RGPD propose un accompagnement structuré pour ces trois étapes.

AI act

Comment Unitae RGPD vous accompagne sur l'IA Act

Fort de son expertise en conformité RGPD, Unitae RGPD propose un accompagnement dédié pour la mise en conformité IA Act, adapté à chaque type d’organisation :

  • Audit IA Act : inventaire de vos systèmes d’IA et cartographie des risques
  • Charte d’usage de l’IA : rédaction d’une politique interne d’utilisation de l’IA
  • Registre IA : mise en place et tenue du registre des systèmes d’IA
  • Formation littératie IA : sensibilisation de vos équipes aux enjeux et obligations
  • Accompagnement DPO : intégration de l’IA Act dans votre mission DPO externalisé

Offres dédiées pour les entreprises, les CSE et les collectivités publiques (mairies, établissements publics).

Contactez-nous pour un diagnostic IA Act gratuit!

contactez-nous