Depuis le 2 février 2025, certaines pratiques d'intelligence artificielle sont déjà interdites en Europe, et pourtant, moins de 30 % des PME européennes ont entamé une démarche de mise en conformité. L'AI Act — premier cadre législatif mondial sur l'IA — impose des obligations concrètes aux entreprises, bien au-delà des seuls géants technologiques. Dirigeants, juristes, DSI ou responsables conformité : cette FAQ structurée vous permet de comprendre rapidement ce que le règlement exige et ce qu'il faut faire concrètement avant l'échéance critique d'août 2026. Le cabinet CONNECT AVOCATS, avocat à Paris 9 et intervenant dans le domaine du droit du numérique, accompagne les entreprises dans cette transition réglementaire majeure, en conseil comme en mise en conformité opérationnelle.
Ce qu'il faut retenir
Le Règlement (UE) 2024/1689, communément appelé AI Act, a été adopté le 13 juin 2024 et est entré en vigueur le 1er août 2024. Il s'agit du premier texte législatif au monde visant à encadrer de manière globale le développement, la commercialisation et l'utilisation des systèmes d'intelligence artificielle. Son ambition : protéger les droits fondamentaux des citoyens européens face à l'explosion des usages de l'IA en entreprise.
Le contexte justifie cette intervention : selon le Microsoft Work Trend Index 2024, 86 % des employés utilisent l'IA chaque semaine dans leur cadre professionnel. Or, jusqu'à l'adoption de ce règlement, aucun cadre juridique unifié n'existait pour encadrer ces usages. Point essentiel : l'AI Act a une portée extraterritoriale. Il s'applique à toute organisation, même établie hors de l'Union européenne, dès lors que ses systèmes d'IA sont utilisés sur le territoire européen. Une entreprise française utilisant un logiciel RH américain intégrant de l'IA est donc directement concernée.
Avant toute démarche, il est indispensable de comprendre ce que le règlement vise précisément. Selon l'Article 3 du règlement, seuls les systèmes capables de « tirer des conclusions » à partir de données — via du machine learning, du traitement du langage naturel, de la reconnaissance d'image ou de la logique symbolique — entrent dans le périmètre de l'AI Act. Un moteur de règles statiques (« if… then… else… ») n'en relève pas nécessairement. Concrètement, un CRM avec scoring prédictif des leads, un ERP avec recommandations automatisées, un ATS classant les profils par ML — tous ces outils contiennent des composants IA au sens du règlement et doivent figurer dans la cartographie. La Commission européenne a prévu la publication de lignes directrices pratiques et d'exemples concrets d'ici le 1er février 2026 pour aider les entreprises à identifier les systèmes à haut risque. Attention toutefois à ne pas inclure dans la cartographie des outils purement fondés sur des règles fixes, sans capacité d'apprentissage ou d'inférence : cela diluerait l'analyse et surchargerait inutilement la démarche.
???? Conseil : Avant de lancer votre cartographie IA, identifiez dans chaque outil logiciel utilisé par vos équipes la présence d'un composant d'apprentissage automatique, de traitement du langage naturel ou de reconnaissance d'image. Si l'outil se contente d'appliquer des règles prédéfinies sans inférence, il est probablement hors périmètre. En cas de doute, un avocat compétent en intelligence artificielle peut vous aider à qualifier chaque outil et éviter une cartographie trop large ou, à l'inverse, incomplète.
C'est l'une des idées reçues les plus répandues : beaucoup de dirigeants pensent que l'AI Act ne concerne que les entreprises technologiques développant des IA. En réalité, le périmètre est bien plus large. Le règlement distingue quatre rôles dans la chaîne de valeur : fournisseur, déployeur, importateur et distributeur. La quasi-totalité des PME et ETI françaises entre dans la catégorie de déployeur, c'est-à-dire toute entité utilisant un système d'IA tiers dans un cadre professionnel.
Concrètement, si votre entreprise utilise un CRM prédictif, un logiciel de tri de CV, un chatbot sur son site internet ou un outil de génération de contenu, elle est déployeuse au sens de l'AI Act. Un piège mérite une attention particulière : votre entreprise peut basculer du statut de déployeur à celui de fournisseur — et hériter de toutes les obligations correspondantes — si elle modifie substantiellement un système d'IA, change son usage prévu initial, ou le commercialise sous sa propre marque. Seuls sont exclus les systèmes à usage militaire, la R&D scientifique non commerciale et les usages purement personnels.
???? Exemple concret : Aurélien Marchetti, cofondateur d'une agence de recrutement de 45 salariés à Lyon, utilise un ATS américain intégrant un module de scoring des candidatures par machine learning. Il pensait n'être concerné que par le RGPD. Or, son agence est qualifiée de « déployeur » d'un système IA à haut risque au sens de l'AI Act. En outre, son équipe technique avait paramétré des pondérations personnalisées dans l'algorithme de scoring pour favoriser certains profils. Ce niveau de modification a fait basculer l'agence du statut de déployeur à celui de fournisseur pour ce système, multipliant ses obligations réglementaires — documentation technique, évaluation de conformité, marquage CE.
L'AI Act repose sur une approche graduée en quatre niveaux de risque, qui détermine l'intensité des obligations applicables à chaque système.
Attention au piège fréquent : un modèle GPAI générique comme ChatGPT, Copilot ou Gemini utilisé pour une tâche à haut risque — par exemple le tri de CV — soumet le déployeur aux obligations applicables aux systèmes à haut risque pour cet usage spécifique. La question clé à se poser pour chaque outil est simple : « Ce système influence-t-il des décisions impactant directement la vie des personnes ? »
L'Article 27 du Règlement (UE) 2024/1689 impose une obligation supplémentaire rarement anticipée : l'Évaluation de l'Impact sur les Droits Fondamentaux (FRIA — Fundamental Rights Impact Assessment), qui doit être réalisée avant la première mise en service d'un système à haut risque, et non après. Cette obligation est imposée aux organismes publics (administrations, hôpitaux publics, France Travail), aux opérateurs d'infrastructures critiques, aux établissements d'enseignement et aux déployeurs privés en matière de crédit, solvabilité et assurance vie. En revanche, une entreprise privée utilisant simplement un ATS ou un CRM prédictif n'est pas automatiquement soumise à la FRIA formelle — ses obligations relèvent de l'Article 26 (supervision humaine, logs, information des personnes).
La FRIA est plus large qu'une AIPD au sens du RGPD : elle couvre l'ensemble de la Charte des droits fondamentaux de l'UE (non-discrimination, dignité, accès à la justice), pas seulement la protection des données. Chaque droit doit être évalué indépendamment — un impact positif sur un droit ne compense pas un impact négatif sur un autre. Une fois réalisée, ses résultats doivent être notifiés à la CNIL.
⚠️ À noter : Ne confondez pas FRIA et AIPD. Si votre entreprise est une structure privée utilisant des outils IA sans intervenir dans le crédit, la solvabilité ou l'assurance vie, vous n'êtes pas tenu de réaliser une FRIA formelle au titre de l'Article 27 — imposer cet exercice sans base légale surchargerait inutilement votre démarche de conformité. Vos obligations relèvent alors de l'Article 26 : supervision humaine, conservation des logs et information des personnes concernées.
Le calendrier d'application est progressif, mais certaines dates sont déjà passées. Le 2 février 2025 a marqué l'interdiction des IA à risque inacceptable et l'entrée en vigueur de l'obligation de formation « AI literacy » pour les équipes (Article 4). Le 2 août 2025 impose les obligations relatives aux modèles d'IA à usage général (GPAI) : documentation technique, transparence, respect du droit d'auteur.
L'échéance critique est le 2 août 2026 : application complète aux systèmes à haut risque et aux obligations de transparence. La CNIL a d'ores et déjà annoncé le renforcement de ses contrôles sur les systèmes RH à partir de l'automne 2026. Enfin, le 2 août 2027 étendra le dispositif aux produits réglementés intégrant de l'IA (dispositifs médicaux, machines, jouets). La proposition « Digital Omnibus » envisage des reports partiels — report de l'Annexe III relative aux systèmes haut risque à décembre 2027, et de l'Annexe I relative aux produits réglementés à août 2028 — mais elle n'est pas encore formellement adoptée par le Parlement et le Conseil européens : le calendrier officiel reste la seule référence opposable à ce jour.
Depuis février 2025, toutes les entreprises doivent garantir l'AI literacy de leurs équipes et respecter les interdictions de pratiques prohibées. Précision importante : la formation doit être adaptée par groupe de salariés selon leur rôle et le niveau de risque des outils qu'ils utilisent — un recruteur utilisant un ATS à IA n'a pas les mêmes besoins qu'un manager utilisant Copilot ou qu'un assistant RH. La Commission européenne souligne explicitement qu'une expérience ou un diplôme en IA peut devenir rapidement obsolète compte tenu des évolutions technologiques : une mise à jour régulière de la formation est nécessaire, pas seulement une session initiale.
À partir d'août 2026, les déployeurs de systèmes à haut risque devront en outre utiliser les systèmes conformément aux instructions du fournisseur, assurer une supervision humaine effective, conserver les logs d'activité, informer les personnes concernées — un candidat évalué par un ATS doit être prévenu — et déclarer tout incident grave aux autorités compétentes.
En droit du travail français, l'employeur a l'obligation d'informer et de consulter le CSE avant l'introduction de tout système d'IA ayant un impact sur les conditions de travail, la performance ou les rémunérations des salariés. Cette obligation s'applique en parallèle et en plus de l'AI Act — elle est indépendante du niveau de risque du système. Le CSE peut déclencher une expertise sur ces sujets. En pratique, la charte IA d'entreprise (liste des outils validés, règles d'usage, interdictions d'usage non approuvé) peut être présentée au CSE dans le cadre de cette consultation obligatoire. Cette obligation ne s'applique qu'aux entreprises disposant d'un CSE, soit celles d'au moins 11 salariés — les TPE n'y sont pas soumises.
Les sanctions sont dissuasives et graduées : jusqu'à 35 millions d'euros ou 7 % du chiffre d'affaires mondial pour les pratiques interdites, jusqu'à 15 millions d'euros ou 3 % pour les manquements haut risque, et jusqu'à 7,5 millions d'euros ou 1 % pour les manquements de transparence. Ces sanctions se cumulent avec celles du RGPD (jusqu'à 20 millions d'euros ou 4 % du CA), portant l'exposition financière totale à plus de 55 millions d'euros dans les cas les plus graves. En France, la CNIL, la DGCCRF et l'Arcom sont les autorités de contrôle désignées, et un système non conforme peut être retiré du marché européen.
???? Exemple concret : Nadia Ferhani, DRH d'une ETI industrielle de 280 salariés à Nantes, a déployé un outil IA de planification des équipes et d'évaluation des performances sans consulter le CSE au préalable. Parallèlement, l'outil — classé haut risque — n'avait fait l'objet d'aucune information individuelle auprès des salariés. Lors d'un contrôle CNIL déclenché par un signalement syndical, l'entreprise s'est retrouvée exposée à un double risque : sanction AI Act au titre de l'Article 26 (défaut d'information des personnes et de supervision humaine) et sanction RGPD pour défaut de base légale et d'information. Le cumul potentiel des amendes a conduit la direction à mandater en urgence un avocat compétent en droit du numérique pour régulariser la situation — consultation CSE rétroactive, mise en conformité documentaire et information des salariés.
Première étape : réaliser un inventaire complet de tous les outils IA utilisés dans l'entreprise, y compris les usages dits de « Shadow AI ». Selon le Salesforce AI at Work Report, 49 % des employés utilisent des outils IA non approuvés par leur employeur. Mais le risque ne se limite pas aux outils personnels non déclarés : les outils IA intégrés directement au poste de travail — Microsoft Copilot, Google Gemini, Notion AI, Slack AI — accèdent aux emails, fichiers, données CRM et données RH souvent sans restrictions spécifiques configurées par l'entreprise, ce qui constitue un risque direct de non-conformité au titre des Articles 4 et 26 du règlement. Ce risque s'applique même aux outils officiellement achetés par l'entreprise mais non paramétrés de façon conforme. L'entreprise ne peut pas remplir ses obligations documentaires sur des systèmes qu'elle ne connaît pas — ou qu'elle connaît mais n'a pas configurés.
Deuxième et troisième étapes : déterminer votre rôle pour chaque système (fournisseur ou déployeur) et classer chaque outil par niveau de risque. Ensuite, mettez en place sans délai la formation AI literacy de vos équipes — cette obligation est déjà applicable et finançable via les OPCO.
Étapes suivantes : révisez vos contrats fournisseurs SaaS IA — selon les estimations du secteur, une proportion importante de contrats existants ne comporte pas encore les clauses adaptées à l’AI Act. Voici les 8 clauses essentielles à intégrer dans tout contrat IA entre fournisseur et déployeur :
Enfin, désignez un référent conformité IA interne — DPO, DSI ou dirigeant — pour coordonner la démarche et éviter de créer deux silos parallèles RGPD et AI Act.
Selon une étude de la Direction Générale des Entreprises (DGE), le coût annuel de conformité pour une PME déployeuse de systèmes à haut risque se situe entre 2 000 et 8 000 euros (audit et formation inclus). Pour une PME utilisant des outils IA standard (ChatGPT, outils de recrutement), les estimations avancent entre 15 000 et 50 000 euros pour l'audit initial et la mise en conformité. Pour des systèmes d'IA développés en interne, les coûts peuvent atteindre de 100 000 à 500 000 euros. Le processus complet de mise en conformité pour un système à haut risque prend de 6 à 12 mois. Ces fourchettes varient significativement selon la complexité des systèmes, le nombre d'outils à cartographier et le niveau d'avancement RGPD déjà atteint dans l'entreprise — elles ne constituent pas un engagement tarifaire opposable.
???? Conseil : Pour les PME et startups développant un système d'IA original, les Articles 57 à 63 du règlement prévoient des bacs à sable réglementaires (AI sandboxes) : des environnements de test contrôlés, supervisés par les autorités nationales (en France : CNIL et DGE), permettant de développer et tester des systèmes d'IA avant commercialisation, sans risque immédiat de sanction. Ces sandboxes permettent de valider la conformité « by design » sans investissement lourd en conformité préalable. Leur déploiement effectif en France est conditionné à la désignation formelle des autorités nationales (calendrier 2025-2026). Attention : ce dispositif ne s'applique pas aux entreprises déployant des outils tiers « sur étagère ».
Non, et c'est une excellente nouvelle. L'AI Act ne remplace pas le RGPD : les deux textes s'appliquent simultanément dès lors qu'un système d'IA traite des données personnelles, ce qui est quasi systématique en RH, scoring et relation client. Mais il existe une synergie documentaire majeure : l'Article 27(4) du règlement reconnaît explicitement qu'une AIPD (Analyse d'Impact sur la Protection des Données) rigoureusement réalisée au titre du RGPD couvre déjà environ une part significative des exigences d’analyse de risques de l'AI Act.
L'approche recommandée consiste à enrichir les AIPD existantes avec les questions propres à l'AI Act — biais algorithmiques, supervision humaine, cybersécurité — plutôt que de repartir d'une page blanche. Toutefois, une tension normative mérite une attention particulière : l'AI Act exige l'exactitude et la complétude des données d'entraînement, ce qui peut entrer en contradiction directe avec le principe de minimisation des données du RGPD. Une documentation précise des arbitrages effectués entre ces deux exigences est nécessaire pour démontrer la diligence de l'entreprise et gérer ce risque de contradiction normative en cas de contrôle croisé CNIL. Construisez un socle de conformité commun : cartographie unifiée, registre unique, gouvernance transverse impliquant le DPO. Le rôle d'un avocat compétent en droit du numérique est ici déterminant pour coordonner cette double mise en conformité AI Act et RGPD, sécuriser les contrats fournisseurs et prévenir les risques de contentieux.
CONNECT AVOCATS, cabinet basé à Paris 9, intervient précisément à cette intersection du droit des affaires et du droit du numérique. Fort de son expérience en matière de conformité RGPD, de rédaction de contrats technologiques et de conseil aux entreprises innovantes, le cabinet accompagne dirigeants et responsables conformité dans chaque étape de la mise en conformité AI Act — de l'audit initial à la révision contractuelle, en passant par la gouvernance IA interne. Si vous êtes concerné par ces obligations, n'attendez pas l'échéance d'août 2026 pour agir : sollicitez dès maintenant un accompagnement structuré et confidentiel.