ChatGPT intégré au service client, logiciel de tri de CV, chatbot sur votre site e-commerce : en 2025, rares sont les entreprises qui n'utilisent pas au moins un outil d'intelligence artificielle. Or, depuis le 1er août 2024, un cadre juridique contraignant encadre ces usages en Europe. Le Règlement (UE) 2024/1689, dit AI Act, constitue le premier texte législatif mondial entièrement dédié à la régulation des systèmes d'IA, et certaines interdictions et obligations de l’AI Act sont déjà applicables, avec un calendrier de mise en œuvre progressif des mécanismes de contrôle et de sanction. Pourtant, selon une étude Deloitte, près d'une entreprise sur deux n'est pas prête. CONNECT AVOCATS, cabinet d'avocats à Paris 9 intervenant dans le domaine du droit du numérique et de la conformité réglementaire, décrypte pour vous ce texte fondateur afin de vous permettre de comprendre vos obligations et d'anticiper les risques.
Ce qu'il faut retenir
Adopté en mars 2024 par le Parlement européen à une majorité écrasante de 523 voix pour, 46 contre et 49 abstentions, l'AI Act a été publié au Journal officiel de l'Union européenne le 12 juillet 2024, avant d'entrer en vigueur le 1er août 2024. Son ambition est claire : garantir que les systèmes d'IA commercialisés en Europe soient sécurisés, éthiques et respectueux des droits fondamentaux, tout en créant un cadre juridique prévisible permettant aux entreprises d'innover en confiance.
Le règlement s'applique dans les 27 États membres et dispose d'une portée extraterritoriale. Concrètement, toute entreprise — y compris hors UE — dont les systèmes d'IA produisent des résultats ou sont utilisés sur le territoire de l'Union est concernée. L'approche retenue est fondée sur les usages, et non sur la technologie sous-jacente : un même modèle technique peut relever de niveaux de risque différents selon son contexte d'utilisation. Pour les entreprises souhaitant anticiper ces enjeux, un accompagnement juridique en intelligence artificielle permet de sécuriser chaque étape du processus de mise en conformité.
Le cœur du dispositif repose sur une classification graduée en quatre niveaux de risque. Chaque entreprise doit comprendre cette logique pour évaluer précisément ses obligations de conformité.
Depuis le 2 février 2025, certaines pratiques sont purement et simplement prohibées. Il s'agit notamment du scoring social de type « crédit social », de la manipulation cognitive subliminale, de la catégorisation biométrique sur des critères sensibles (race, opinions politiques, convictions religieuses), de la reconnaissance faciale en temps réel dans les espaces publics, de la police prédictive ou encore de l'inférence des émotions sur le lieu de travail.
Les sanctions sont immédiates et structurées en trois paliers. Pour les pratiques interdites (risque inacceptable), elles atteignent jusqu'à 35 millions d'euros ou 7 % du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu. Le non-respect des obligations pour les systèmes à haut risque et les modèles GPAI est sanctionné jusqu'à 15 millions d'euros ou 3 % du chiffre d'affaires annuel mondial. Enfin, la fourniture d'informations incorrectes ou trompeuses aux autorités compétentes est sanctionnée jusqu'à 7,5 millions d'euros ou 1 % du CA annuel mondial. Les PME et start-ups bénéficient d'un plafonnement spécifique à ces deux derniers paliers. Pour une PME réalisant 10 millions d'euros de chiffre d'affaires, l'amende pourrait ainsi atteindre 700 000 euros pour un seul manquement relevant du premier palier.
L'Annexe III du règlement identifie huit domaines dans lesquels les systèmes d'IA sont automatiquement présumés à haut risque. Le recrutement et la gestion RH figurent en bonne place : tri automatisé de CV, évaluation des candidats, notation des performances. S'y ajoutent la santé, l'éducation, la justice, les services financiers comme le scoring de crédit, les infrastructures critiques, la biométrie et la gestion des migrations.
Pour ces systèmes, les obligations sont considérables : documentation technique complète conservée dix ans, supervision humaine obligatoire, marquage CE avant commercialisation, enregistrement dans une base de données européenne publiquement accessible, et mise en place d'un processus continu de gestion des risques conforme à l'Article 9 du règlement.
Une nuance mérite attention : un système listé en Annexe III peut échapper au classement « haut risque » s'il n'effectue qu'une tâche procédurale étroite, par exemple trier des documents entrants ou détecter des doublons. Toutefois, si un fournisseur estime que son système ne relève pas du haut risque, il doit documenter cette évaluation avant la mise sur le marché et procéder à un enregistrement préalable (Article 6, paragraphe 4). La Commission européenne devait fournir, au plus tard le 2 février 2026, des lignes directrices accompagnées d'une liste exhaustive d'exemples pratiques de cas d'utilisation à haut risque et de cas n'entrant pas dans cette catégorie. Cette dérogation ne s'applique par ailleurs jamais aux systèmes effectuant du profilage, qui restent systématiquement classés à haut risque.
???? À noter : La CNIL a annoncé qu'elle intensifierait particulièrement ses contrôles sur les systèmes RH intégrant de l'IA à partir de l'automne 2026. Elle est attentive à deux violations fréquentes des IA génératives : d'une part, le principe d'exactitude de l'Article 5 du RGPD, violé lorsqu'un chatbot IA génère une information fausse sur une personne réelle (problème des « hallucinations » des LLM) ; d'autre part, la prise de décision automatisée de l'Article 22 du RGPD, qui interdit de rejeter une candidature ou de restreindre l'accès à un service uniquement sur la base d'un score IA, sans intervention humaine significative. Cette intention annoncée peut toutefois évoluer dans les plans de contrôle définitifs de l'autorité.
Les systèmes à risque limité — chatbots, générateurs de contenu, deepfakes — sont soumis à une obligation de transparence : l'utilisateur doit être informé qu'il interagit avec une IA (Article 50). Les systèmes à risque minimal, comme les filtres anti-spam, ne font l'objet d'aucune obligation spécifique.
L'AI Act crée par ailleurs un régime distinct pour les modèles d'IA à usage général (GPAI), tels que ChatGPT, Gemini, Mistral ou Claude. Depuis le 2 août 2025, leurs fournisseurs doivent établir une documentation technique, respecter le droit d'auteur et publier un résumé des données d'entraînement. Les modèles présentant un risque systémique — présumés tels lorsque la puissance de calcul cumulée dépasse 10²⁵ FLOPS — font l'objet d'obligations renforcées incluant des tests contradictoires (red-teaming). La supervision de ces modèles GPAI est assurée par le Bureau de l'IA (AI Office), créé au sein de la Commission européenne, qui dispose de pouvoirs propres d'enquête et de sanction spécifiquement pour les fournisseurs de modèles GPAI. Il est également chargé de l'élaboration des lignes directrices et de la coordination avec les autorités nationales compétentes. En parallèle, la Commission a lancé le « Pacte IA » (AI Pact), initiative volontaire invitant fournisseurs et déployeurs à anticiper leurs obligations avant les échéances réglementaires.
Le règlement distingue deux rôles fondamentaux. Le fournisseur est celui qui développe ou met sur le marché un système d'IA : il supporte les obligations les plus lourdes. Le déployeur est celui qui utilise un outil IA tiers en contexte professionnel — un logiciel RH, ChatGPT Team, un chatbot d'éditeur, un outil de scoring.
C'est ici que réside le piège majeur pour les PME françaises : environ 90 % d'entre elles sont déployeurs sans le savoir. Utiliser ChatGPT pour rédiger des e-mails commerciaux, recourir à un logiciel de présélection de candidatures ou intégrer un chatbot à son site web suffit à déclencher des obligations légales réelles. Or, selon une étude relayée par blog-ia.com, moins de 30 % des PME européennes avaient entamé une démarche de conformité au moment de l'enquête.
???? Exemple concret : Nathalie Ferrand, dirigeante d'un cabinet de conseil en recrutement de 35 salariés à Lyon, utilise depuis 2023 un logiciel SaaS de présélection de CV intégrant un algorithme d'IA pour classer les candidatures par pertinence. Ce logiciel, développé par un éditeur américain, est directement concerné par l'Annexe III de l'AI Act (domaine RH). En tant que déployeuse, Nathalie doit cartographier cet usage, vérifier que son fournisseur produit la documentation technique requise, assurer une supervision humaine traçable de chaque rejet de candidature automatisé, et consulter son CSE avant de poursuivre le déploiement. Faute de quoi, elle s'expose à des sanctions cumulées au titre de l'AI Act et du RGPD — alors même qu'elle n'a pas développé l'outil elle-même.
Quelle que soit votre taille, plusieurs actions doivent être engagées sans tarder :
La « Shadow AI » ne se limite pas à un risque organisationnel interne. Ces usages non déclarés d'outils IA par des collaborateurs sont susceptibles de constituer simultanément des violations de l'AI Act (absence de cartographie, absence de supervision, usages non documentés) et du RGPD (transferts de données personnelles vers des tiers sans base légale ni information des personnes). Cette double exposition crée un risque cumulatif de sanctions particulièrement élevé. Toutefois, la qualification juridique exacte dépend de la nature des données traitées et du contexte du déploiement : chaque situation doit être évaluée au cas par cas.
En France, le déploiement d’un système d’IA peut imposer une information-consultation préalable du CSE lorsqu’il affecte l’organisation du travail, les conditions d’emploi, les méthodes de recrutement ou les moyens de contrôle de l’activité.
Rappelons également que l'AI Act se cumule avec le RGPD sans le remplacer. Les deux cadres s'appliquent simultanément dès lors qu'un système d'IA traite des données personnelles — ce qui est le cas de la quasi-totalité des déploiements. L'Article 22 du RGPD interdit d'ores et déjà qu'une décision produisant des effets juridiques ou affectant significativement une personne (rejet de crédit, éviction d'un processus de recrutement) repose exclusivement sur un traitement automatisé, indépendamment des obligations de supervision humaine de l'AI Act. Ces deux exigences s'appliquent de manière cumulative : une entreprise conforme à l'AI Act sur la supervision humaine peut rester en infraction avec l'Article 22 RGPD si le droit à l'intervention humaine n'est pas effectivement garanti et documenté. Une violation simultanée des deux règlements peut entraîner des sanctions combinées atteignant jusqu'à 55 millions d'euros ou 11 % du chiffre d'affaires annuel mondial.
???? Conseil : Selon une étude de la Direction générale des Entreprises (DGE), le coût de mise en conformité représente, en ordre de grandeur, entre 2 000 et 8 000 euros par an pour une PME déployeuse de systèmes à haut risque (audit et formation compris). Pour une PME utilisant plusieurs systèmes IA comme ChatGPT ou des outils de recrutement, le coût d'audit et de mise en conformité peut se situer entre 15 000 et 50 000 euros selon la complexité des systèmes, le nombre d'outils déployés et la maturité documentaire de l'entreprise. Ces fourchettes doivent être considérées comme des ordres de grandeur, non comme des tarifs fixes. Malgré ce coût, différer la mise en conformité revient à s'exposer à des sanctions potentiellement bien supérieures.
Le déploiement du règlement suit un calendrier échelonné qu'il convient de maîtriser. Le 2 février 2025, les interdictions de risque inacceptable et l'obligation d'AI literacy sont entrées en application, avec des sanctions immédiatement applicables. Le 2 août 2025, les obligations relatives aux modèles GPAI et la mise en place du cadre de gouvernance nationale sont devenues effectives.
La prochaine échéance majeure est le 2 août 2026 : c'est la date prévue pour l'application des obligations principales concernant les systèmes à haut risque de l'Annexe III. C'est également à compter de cette date que les bacs à sable réglementaires (regulatory sandboxes) prévus par l'AI Act deviennent opérationnels. Ces environnements réglementaires contrôlés permettent aux PME et start-ups de tester leurs innovations IA avec l'accompagnement direct des autorités compétentes, sans risque de sanctions. L'accès est prioritaire et souvent gratuit pour les PME. En France, le programme IA Booster de BPI France finance également une partie de l'accompagnement à la mise en conformité. Leur accessibilité concrète varie toutefois selon les États membres et les secteurs concernés.
Bien qu'un débat européen soit en cours sur un éventuel report au sein du paquet « Digital Omnibus », rien n'est acté à ce stade. L'échéance d'août 2026 reste la référence réglementaire en vigueur. Enfin, le 2 août 2027, le dispositif s'étendra aux systèmes à haut risque intégrés dans des produits réglementés comme les dispositifs médicaux ou les véhicules.
Le signal est clair : les processus de mise en conformité exigent six à douze mois selon la complexité des systèmes. Attendre, c'est prendre le risque d'arriver trop tard.
En France, le modèle de gouvernance présenté le 9 septembre 2025 est décentralisé et mobilise entre 16 et 20 autorités existantes (soumis au Parlement par projet de loi). La DGCCRF est le point de contact unique de la France avec la Commission européenne pour l'AI Act. L'Arcom est compétente pour les deepfakes, hypertrucages et contenus audiovisuels générés par IA. L'ACPR supervise les systèmes financiers à haut risque (scoring bancaire, assurance). L'ANSM et la HAS supervisent les dispositifs médicaux intégrant l'IA. La DGE représente la France au Comité européen de l'IA. Cette pluralité d'interlocuteurs implique pour chaque entreprise d'identifier précisément l'autorité compétente en fonction de son secteur d'activité et de la nature de ses systèmes IA.
???? À noter : Identifier l'autorité compétente pour votre secteur d'activité est une étape indispensable de votre démarche de conformité. Une entreprise du secteur financier utilisant un scoring IA sera contrôlée par l'ACPR, tandis qu'un éditeur de contenus audiovisuels générés par IA sera sous la compétence de l'Arcom. En cas de doute, un avocat compétent en droit du numérique peut vous orienter vers l'interlocuteur approprié.
L'AI Act n'est pas qu'une contrainte réglementaire. Les entreprises qui documentent leurs usages et démontrent une gouvernance IA structurée gagnent en crédibilité auprès de leurs clients, partenaires et investisseurs. Comme le souligne Jean-Philippe Isemann de RSM France, « au-delà de l'enjeu financier, la réputation des entreprises sera la composante essentielle de ce vaste marché ».
Les risques de non-conformité dépassent largement les amendes. Un système non conforme peut être interdit d'exploitation sur le marché européen. Les partenaires commerciaux exigeront de plus en plus des preuves de conformité dans leurs contrats. L'exclusion des chaînes de valeur, le risque réputationnel et les blocages opérationnels constituent des menaces bien réelles.
Un avocat compétent en droit du numérique peut vous accompagner concrètement : audit de vos usages IA et cartographie des risques, rédaction de politiques internes de conformité, vérification et adaptation de vos contrats fournisseurs (en y intégrant les clauses de conformité AI Act indispensables), articulation AI Act et RGPD dans une gouvernance intégrée, accompagnement lors des contrôles des autorités compétentes — qu'il s'agisse de la CNIL, de la DGCCRF, de l'ACPR ou de toute autre autorité sectorielle désignée.
CONNECT AVOCATS, cabinet d'avocats à Paris 9, accompagne les entreprises dans leur mise en conformité avec l'AI Act en s'appuyant sur une pratique quotidienne du droit du numérique, de la protection des données et du droit des affaires. Que vous soyez dirigeant, responsable juridique ou DPO, le cabinet vous aide à transformer cette obligation réglementaire en levier de confiance. N'attendez pas les premières sanctions pour agir : contactez CONNECT AVOCATS dès aujourd'hui afin de sécuriser vos usages d'intelligence artificielle.