AI Act dirigeant obligations : ce qui bascule réellement le 2 août
À la date d’entrée en pleine application de l’AI Act, prévue au 2 août 2026 selon le calendrier indicatif publié par la Commission européenne après l’adoption formelle du règlement (Règlement (UE) 2024/1689 sur l’intelligence artificielle), un dirigeant d’entreprise devient juridiquement responsable, en tant que déployeur, des systèmes d’intelligence artificielle qu’il met en production, même lorsque les modèles proviennent de fournisseurs mondiaux. Ce règlement de l’Union européenne transforme un sujet perçu comme purement technique en enjeu de gouvernance stratégique, car les obligations de conformité ne se limitent plus au RGPD mais couvrent désormais l’ensemble des systèmes d’intelligence et de traitement de données à haut niveau de risque, en particulier ceux visés à l’article 6 et à l’annexe III du règlement. Pour un PDG d’ETI, la question n’est plus de savoir si l’intelligence artificielle sera utilisée, mais à quel niveau de risque chaque système sera classé et comment organiser, dans la durée, la responsabilité de déployeur et la mise en conformité AI Act à l’échelle de l’entreprise.
La bascule principale concerne la qualification de « déployeur » de systèmes d’intelligence artificielle (article 3, définition de l’« utilisateur » d’un système d’IA), qui s’ajoute ou se substitue au rôle de simple client d’un fournisseur de technologie. Dès qu’un système est intégré dans vos processus RH, dans votre bureau d’études, dans votre relation client ou dans vos opérations, votre entreprise devient responsable de la mise en œuvre, de la supervision humaine et de la sécurité des données personnelles traitées. Les obligations couvrent la gestion des risques (articles 9 et 10 pour les systèmes d’IA à haut risque), la traçabilité des données d’entraînement, l’analyse d’impact sur les droits fondamentaux et la protection des données, avec des règles proches de la conformité réglementaire déjà connue pour le RGPD mais appliquées à des systèmes d’intelligence artificielle beaucoup plus dynamiques, évolutifs et interconnectés.
Les systèmes classés à haut risque sont au cœur de la régulation IA UE, avec des exigences renforcées de documentation, de gestion des risques et de supervision humaine effective. Un outil RH de présélection de candidatures, un système de scoring de crédit interne ou un modèle d’intelligence artificielle utilisé pour des décisions de sécurité industrielle peuvent relever de ces niveaux de risque élevés, comme illustré par les catégories de l’annexe III (recrutement, accès au crédit, infrastructures critiques). À l’inverse, un simple chatbot d’assistance interne peut rester à un niveau de risque plus faible, mais il n’échappe pas pour autant aux règles de base de sécurité, de protection des données personnelles et de respect de la vie privée, ni aux obligations générales de transparence prévues par le règlement. Concrètement, une ETI de 500 millions d’euros de chiffre d’affaires qui déploie un système d’IA à haut risque sans contrôle suffisant s’expose, en cas de manquement grave, à des amendes pouvant atteindre jusqu’à 7 % de son chiffre d’affaires annuel mondial ou 35 millions d’euros, le montant le plus élevé étant retenu, en plus des coûts de remédiation et de réputation.
Cartographier ses systèmes IA et assumer la responsabilité de déployeur
Pour un PDG, la première décision stratégique consiste à cartographier tous les systèmes d’intelligence artificielle utilisés dans l’entreprise, qu’ils soient achetés en SaaS, développés en interne ou intégrés via API. Cette cartographie doit distinguer les systèmes d’intelligence utilisés en interne, les systèmes orientés client final et les modèles de fondation, afin d’identifier les systèmes d’IA à haut risque et les systèmes de risque limité. Sans cette analyse structurée, il devient impossible de prioriser la mise en conformité AI Act, de calibrer les budgets en millions d’euros potentiels et de piloter la responsabilité de chaque responsable métier, en particulier dans les fonctions RH, finance, opérations et relation client.
Dans cette cartographie, la frontière entre fournisseur et déployeur doit être clarifiée pour chaque système, car l’AI Act précise que la responsabilité de déployeur ne peut pas être transférée contractuellement au fournisseur technologique (articles 24 et 26 sur les obligations des utilisateurs de systèmes d’IA à haut risque). Un contrat avec OpenAI, Anthropic ou un éditeur SaaS européen peut encadrer la sécurité, la protection des données et certains engagements de conformité réglementaire, mais il ne déplace pas la responsabilité finale du dirigeant sur les usages concrets dans l’entreprise. Le bureau du PDG doit donc exiger une analyse d’impact pour les systèmes d’intelligence artificielle critiques, incluant le traitement des données, les droits fondamentaux, la supervision humaine et les niveaux de risque résiduels acceptés, en cohérence avec les recommandations de la CNIL sur l’IA et la protection des données personnelles et avec les lignes directrices d’ENISA sur la gestion des risques liés à l’intelligence artificielle, et en articulation avec les analyses d’impact relatives à la protection des données déjà réalisées au titre du RGPD.
Cette cartographie doit intégrer les flux de données personnelles, les données d’entraînement, les données opérationnelles et les données sensibles, en lien avec le RGPD et les règles internes de sécurité. Un système peut être techniquement similaire chez deux fournisseurs, mais le niveau de risque réel dépendra de la mise en œuvre dans vos processus, du chiffre d’affaires concerné et de l’exposition aux affaires mondiales. Un modèle d’intelligence artificielle générative utilisé pour assister les équipes marketing n’aura pas le même niveau de risque qu’un système de décision automatisée en matière de crédit, même si les deux reposent sur des modèles de langage avancés. Concrètement, une ETI industrielle qui déploie un outil RH de tri automatisé des CV devra, par exemple, recenser les données utilisées, vérifier l’absence de biais discriminatoires, documenter les règles de décision et prévoir une revue humaine systématique avant tout rejet de candidature ; dans un cas réel observé dans le secteur technologique, une entreprise a dû revoir plus de 20 % de ses décisions automatisées après avoir détecté un biais de genre dans son algorithme de recrutement, avec plusieurs centaines de dossiers réexaminés manuellement et plusieurs semaines de remédiation.
Trois décisions dans les 100 jours : coût de la non conformité versus mise en conformité
Dans les cent prochains jours, un dirigeant doit d’abord décider qui sera le responsable exécutif de l’AI Act dirigeant obligations, avec un mandat clair couvrant la conformité réglementaire, la sécurité et la gestion des risques. Ce responsable doit piloter un programme de mise en conformité structuré, incluant l’analyse des systèmes de risque, la définition des niveaux de risque acceptables et la mise en place de procédures de supervision humaine pour les décisions sensibles. Sans ce centre de gravité, les initiatives locales de transformation artificielle resteront fragmentées et exposeront l’entreprise à des risques juridiques et réputationnels disproportionnés par rapport aux gains attendus, alors même que les autorités de contrôle disposeront de pouvoirs de sanction renforcés et de capacités d’audit sur site.
La deuxième décision clé concerne l’investissement dans les capacités internes d’analyse d’impact, de protection des données et de gouvernance des modèles d’intelligence artificielle. Il s’agit de comparer le coût direct de la mise en conformité, incluant les audits, les outils de suivi, la formation et l’adaptation des systèmes, avec le coût potentiel de la non conformité, qui peut atteindre plusieurs pourcents du chiffre d’affaires mondial et des amendes de plusieurs dizaines de millions d’euros selon les plafonds prévus par le règlement (articles 71 et suivants, avec des niveaux de sanctions pouvant aller jusqu’à 7 % du chiffre d’affaires annuel mondial ou 35 millions d’euros, le montant le plus élevé étant retenu). À cela s’ajoutent les coûts cachés liés à une atteinte à la vie privée, à une violation de données personnelles ou à une décision automatisée portant atteinte aux droits fondamentaux d’un client ou d’un salarié, sans compter les pertes de contrats lorsque des donneurs d’ordre exigent des garanties de conformité AI Act dans leurs appels d’offres.
La troisième décision porte sur la révision des contrats et des modèles opérationnels avec les fournisseurs de systèmes d’intelligence artificielle, afin d’aligner les responsabilités, les règles de sécurité et les engagements de protection des données. Les clauses doivent préciser les obligations de chaque partie en matière de traitement des données, de supervision humaine, de documentation des modèles et de remontée des incidents, tout en rappelant que la responsabilité finale de déployeur reste dans l’entreprise. En pratique, cela signifie que le PDG doit arbitrer entre la rapidité de mise en œuvre de nouveaux systèmes d’intelligence et le niveau de risque juridique accepté, en intégrant l’AI Act dirigeant obligations au même rang que les autres régimes de conformité structurants comme le RGPD. Une checklist simple pour ces 100 jours peut inclure : désigner un sponsor exécutif, lancer la cartographie des cas d’usage IA, identifier les systèmes potentiellement à haut risque, initier la revue contractuelle et planifier les premières formations des équipes clés ; dans une ETI de plusieurs milliers de salariés, ce type de plan peut représenter quelques centaines de jours-hommes sur la première année, formalisés dans un document interne téléchargeable sur l’intranet et mis à jour au fil de l’avancement du programme de conformité AI Act.
Chiffres clés à retenir sur l’AI Act et les entreprises
- Les sanctions maximales prévues par l’AI Act peuvent atteindre un pourcentage significatif du chiffre d’affaires mondial annuel de l’entreprise, en cohérence avec la logique déjà connue pour le RGPD et détaillée dans les dispositions relatives aux amendes administratives (articles 71 et suivants), avec des plafonds chiffrés en dizaines de millions d’euros ; pour une entreprise réalisant 1 milliard d’euros de chiffre d’affaires, une sanction de 3 % représenterait déjà 30 millions d’euros, sans compter les coûts de mise en conformité corrective.
- Les systèmes d’intelligence artificielle classés à haut risque sont soumis à des exigences renforcées de gestion des risques, de documentation technique, de traçabilité des données et de supervision humaine effective, telles que décrites dans les articles consacrés aux systèmes à haut risque et à l’annexe III, qui recense notamment les cas d’usage liés à l’emploi, à l’accès au crédit, à l’éducation, aux services publics essentiels et aux infrastructures critiques.
- La majorité des ETI européennes seront principalement concernées en tant que déployeurs de systèmes d’intelligence artificielle, plutôt qu’en tant que fournisseurs de modèles de base, ce qui renforce la nécessité d’une gouvernance interne robuste, d’une responsabilité de déployeur clairement assumée et d’une articulation fine entre conformité AI Act, gestion des risques opérationnels et stratégie de transformation numérique.
- Les coûts de mise en conformité incluent non seulement les investissements techniques, mais aussi la formation des équipes, l’adaptation des processus et la refonte des contrats avec les fournisseurs technologiques, ainsi que la mise en place de procédures de contrôle continu et de revue périodique des risques ; dans de grandes ETI, ces coûts peuvent représenter entre 0,5 % et 2 % du budget annuel IT et conformité sur les premières années de déploiement.
Questions fréquentes des dirigeants sur l’AI Act dirigeant obligations
Un contrat avec un grand fournisseur d’IA suffit il pour être conforme à l’AI Act ?
Un contrat solide avec un fournisseur comme OpenAI, Anthropic ou un éditeur SaaS européen est nécessaire, mais il ne suffit pas pour garantir la conformité à l’AI Act. Le règlement distingue clairement les obligations du fournisseur de modèles et celles du déployeur, qui reste responsable de l’usage concret dans ses processus métier. Le dirigeant doit donc compléter le contrat par une gouvernance interne, une analyse d’impact et des procédures de supervision humaine adaptées à chaque système, en s’appuyant sur les principes de gestion des risques, de transparence et de contrôle humain significatif prévus par la régulation IA UE.
Comment savoir si un système d’IA utilisé dans l’entreprise est classé à haut risque ?
La qualification de haut risque dépend du type de système, de son domaine d’application et de son impact potentiel sur les droits fondamentaux des personnes concernées. Les systèmes utilisés pour le recrutement, le crédit, l’accès à des services essentiels ou la sécurité industrielle sont particulièrement susceptibles d’entrer dans cette catégorie, comme le montre la liste des cas d’usage de l’annexe III. Une analyse structurée, menée avec les équipes juridiques, conformité et métiers, permet de déterminer le niveau de risque et les obligations associées, en combinant les critères de l’AI Act, les exigences du RGPD et les référentiels internes de gestion des risques.
Quelle est la différence entre les obligations de l’AI Act et celles du RGPD ?
Le RGPD se concentre sur la protection des données personnelles, la licéité du traitement et les droits des personnes, tandis que l’AI Act vise la sécurité, la transparence et la maîtrise des risques des systèmes d’intelligence artificielle eux mêmes. Les deux règlements se complètent, car un système d’IA traite souvent des données personnelles et doit donc respecter simultanément les deux cadres. Pour un dirigeant, l’enjeu est de construire une gouvernance intégrée, plutôt que deux silos de conformité distincts, en alignant les registres de traitement, les analyses d’impact, les politiques de gestion des risques IA et les dispositifs de supervision humaine.
Faut il suspendre certains projets d’IA en attendant d’y voir plus clair ?
La suspension systématique des projets n’est ni nécessaire ni souhaitable, car elle ferait perdre un avantage compétitif important à l’entreprise. En revanche, il est pertinent de geler temporairement les déploiements à fort impact sans analyse d’impact préalable, en particulier pour les systèmes susceptibles d’être classés à haut risque. Une approche par portefeuille, priorisant les cas d’usage à faible risque et forte valeur, permet de continuer à innover tout en sécurisant les projets les plus sensibles, avec des critères de priorisation clairs validés par la direction générale et intégrés au plan de transformation numérique.
Comment organiser la supervision humaine des décisions prises par l’IA ?
La supervision humaine ne se limite pas à valider ponctuellement une décision proposée par un système d’IA, elle implique une capacité réelle à comprendre, contester et corriger les résultats. Concrètement, cela suppose de définir des seuils d’alerte, des procédures d’escalade et des rôles clairs pour les équipes métiers, en lien avec la direction des risques et la direction juridique. Le dirigeant doit s’assurer que cette supervision est effective, documentée et intégrée dans les processus quotidiens, et pas seulement décrite dans une politique théorique, afin de répondre aux exigences de contrôle humain significatif prévues par la régulation IA UE et de démontrer, en cas de contrôle, que la responsabilité de déployeur IA est effectivement exercée.
Sources de référence
- Commission européenne – Règlement sur l’intelligence artificielle (AI Act), incluant les articles sur les systèmes à haut risque (articles 6 à 29), les obligations des déployeurs (notamment articles 24 et 26) et le régime de sanctions (articles 71 et suivants).
- CNIL – Recommandations sur l’IA et la protection des données personnelles, en complément du RGPD pour les traitements impliquant des systèmes d’intelligence artificielle, avec des fiches pratiques sur les analyses d’impact et la gestion des risques.
- Agence de l’Union européenne pour la cybersécurité (ENISA) – Lignes directrices sur la gestion des risques liés à l’IA et bonnes pratiques de sécurité pour les systèmes d’IA déployés en entreprise, incluant des cadres méthodologiques pour l’évaluation des risques et la mise en place de contrôles techniques et organisationnels.