Retour aux articles

IA Act : de la contrainte réglementaire à l'avantage de gouvernance

Livre blanc pragmatique sur l'IA Act pour dirigeants, RSSI et DPO : pyramide des risques, calendrier à jour après le Digital Omnibus, checklist d'audit et sanctions, avec un retour de terrain sur le Shadow IA.

#ia-act#gouvernance#conformite#rgpd#shadow-ia#cybersecurite#rssi#dpo

Vous êtes déjà concerné

Pendant que vos équipes déploient des copilotes, branchent des chatbots sur le support client et laissent des modèles trier des CV, le règlement européen sur l’intelligence artificielle vous engage déjà. Pas en 2027. Maintenant.

L’IA Act n’est pas un RGPD de plus. C’est le premier cadre juridique horizontal au monde sur l’intelligence artificielle, et il partage avec le RGPD le trait qui l’a rendu incontournable : la portée extraterritoriale. Si le résultat produit par votre IA est utilisé dans l’Union européenne, vous êtes dans le périmètre, que votre siège soit à Paris, à Londres ou à San Francisco. [Insérer source officielle ou lien vers le texte de l’UE]

Le vrai basculement est ailleurs. L’IA cesse d’être un sujet d’ingénieurs pour devenir un sujet de gouvernance : qui décide qu’un système peut être déployé, qui en répond, comment on le prouve. La question n’est plus de savoir si ça marche, mais si on peut le documenter, le superviser et l’assumer devant un régulateur.

Le compte à rebours est déjà entamé :

  • Depuis février 2025, les pratiques d’IA interdites et l’obligation de littératie IA s’appliquent. Ce n’est plus un projet de loi.
  • Depuis août 2025, les modèles d’IA à usage général (GPAI) sont soumis à leurs propres obligations.
  • Le 7 mai 2026, l’accord sur le Digital Omnibus a repoussé l’essentiel des obligations « haut risque » à décembre 2027. [Insérer source officielle ou lien vers le texte de l’UE]

Ce report ressemble à un répit. C’est un piège. Les organisations qui attendront décembre 2027 pour cartographier leurs systèmes découvriront trop tard qu’un audit IA, une documentation technique et une supervision humaine ne se construisent pas en trois mois. Celles qui s’y mettent maintenant transforment l’obligation en avantage : un patrimoine d’IA inventorié, maîtrisé, défendable.

Ce livre blanc va droit au but. Vous y trouverez la pyramide des risques pour situer chacun de vos outils, le calendrier réel de mise en conformité, une checklist d’audit actionnable, et le montant exact de ce que vous risquez à ne rien faire. Sans jargon. Avec des sources.

Retour de terrain : la première ligne, c’est le Shadow IA

Le règlement parle des « systèmes d’IA déployés par l’organisation ». Sur le terrain, en analyse au CERT, le premier problème n’est pas l’IA que vous déployez. C’est celle que vos collaborateurs font entrer sans vous le dire.

On appelle ça le Shadow IA : tous ces outils adoptés en dehors de tout circuit de validation. Un LLM public ouvert dans un onglet pour gagner du temps. Un copilote greffé sur le navigateur. Un assistant de code branché sur le dépôt de l’entreprise. Une extension installée en deux clics. Aucune fiche, aucun propriétaire, aucune trace.

Ce que nous voyons remonter, semaine après semaine :

  • De la donnée sensible qui sort du périmètre. Du code source, des contrats, des données clients collés dans un chatbot grand public, donc transmis à un tiers, parfois réutilisés pour entraîner son modèle. Une fuite qui ne déclenche aucune alarme réseau, parce qu’elle passe par un onglet HTTPS parfaitement normal. Exposition RGPD et IA Act, d’un seul geste.
  • Une prolifération d’extensions et de plugins jamais audités. Chacun est un tiers qui accède à vos sessions, vos jetons d’authentification, votre presse-papiers. La compromission d’une extension populaire est devenue une voie d’attaque de routine sur la chaîne d’approvisionnement logicielle.
  • Des utilisateurs curieux qui téléchargent pour tester. Outils de pentest dopés à l’IA, plugins offensifs, serveurs récupérés sur un forum, le tout installé sur un poste du domaine pour voir ce que ça donne. Souvent de bonne foi. Le résultat est le même : de l’outillage offensif non autorisé sur le réseau, un installeur piégé qui embarque un malware, des identifiants moissonnés au passage, et une responsabilité juridique que personne n’a validée.

Le lien avec l’IA Act est direct, et c’est là que se joue la thèse de ce livre blanc. On ne classe pas, on ne documente pas, on ne supervise pas un système dont on ignore l’existence. Le Shadow IA vous met en non-conformité par défaut : il rend impossible le simple inventaire qui conditionne tout le reste du règlement, à commencer par l’obligation de littératie IA déjà en vigueur. [Insérer source officielle ou lien vers le texte de l’UE — Art. 4]

D’où je suis, l’IA Act n’est pas un frein. C’est le levier qui impose enfin l’inventaire qu’on réclame depuis des années. L’avantage de gouvernance commence ici, par une question banale à laquelle peu d’organisations savent répondre aujourd’hui : quelles IA tournent réellement chez vous, et qui en répond ?

La pyramide des risques : situez chacun de vos outils

Toute la logique de l’IA Act tient en une idée : toutes les IA ne se valent pas. Plus un système menace la sécurité ou les droits fondamentaux, plus il est encadré. Le règlement range donc chaque usage dans l’un de quatre étages. Votre premier travail n’est pas juridique, il est cartographique : placer chacun de vos outils au bon niveau. Le reste en découle.

1. Risque inacceptable : c’est interdit, point.

Ces usages sont purement et simplement bannis dans l’Union depuis le 2 février 2025. Pas de période de grâce, pas de conformité possible : on arrête. [Insérer source officielle ou lien vers le texte de l’UE — Art. 5]

On y trouve la notation sociale, la manipulation subliminale, l’exploitation des vulnérabilités d’une personne, la reconnaissance des émotions au travail et à l’école, ou encore l’identification biométrique à distance en temps réel dans l’espace public (à de strictes exceptions près pour la police).

Exemple concret : un outil qui analyse via webcam les émotions de vos salariés en réunion pour scorer leur engagement. Interdit. Ce que ça implique pour vous : si l’un de ces usages traîne dans votre parc, ce n’est pas un chantier de mise en conformité, c’est un arrêt immédiat.

2. Risque élevé : autorisé, mais sous conditions lourdes.

C’est le cœur du règlement, et c’est là que partira l’essentiel de votre budget. Ces systèmes touchent des décisions qui pèsent sur la vie des gens : recrutement, scoring de crédit, santé, éducation, infrastructures critiques, forces de l’ordre. [Insérer source officielle ou lien vers le texte de l’UE — Annexe III]

Exemple concret : une IA qui trie les CV et classe les candidats à votre place. Elle décide qui passe l’entretien, donc elle est à haut risque. Idem pour un moteur de scoring qui accorde ou refuse un crédit. Ce que ça implique pour vous : système de gestion des risques, gouvernance des données, documentation technique, journalisation, supervision humaine réelle, robustesse, puis évaluation de conformité et enregistrement. La majorité de l’effort se concentre ici, sur une poignée de systèmes.

3. Risque limité : la transparence suffit.

Usage autorisé, obligations légères : l’utilisateur doit savoir qu’il a affaire à une machine ou à un contenu généré.

Exemple concret : votre chatbot de support doit annoncer qu’il est une IA. Une image, une voix ou une vidéo synthétiques (les deepfakes) doivent être signalées comme telles. Ce que ça implique pour vous : peu coûteux à respecter, cher à oublier. C’est l’étage le plus visible, par vos clients comme par un régulateur.

4. Risque minimal : libre.

La grande majorité des IA en circulation : filtres anti-spam, moteurs de recommandation, optimisation logistique, IA des jeux vidéo. Aucune obligation spécifique au titre de l’IA Act. Usage libre, ce qui ne dispense ni du RGPD, ni de vos règles de sécurité internes.

Et les IA génératives type ChatGPT ou Claude ? Les modèles à usage général (GPAI) ne forment pas un cinquième étage. Ils relèvent d’un régime transversal, avec leurs propres obligations en vigueur depuis août 2025, qui se superpose à l’usage que vous en faites. Un même modèle peut servir un usage à risque limité chez vous tout en restant soumis, côté fournisseur, aux règles GPAI.

La pyramide n’est pas un exercice académique. C’est votre grille de tri. Avant tout chantier, confrontez votre inventaire d’IA à ces quatre niveaux : vous verrez votre risque, et votre budget, se concentrer sur quelques systèmes à haut risque, pendant que l’écrasante majorité de vos outils ne demande presque rien.

Le calendrier : ce qui s’applique déjà, ce qui arrive

L’IA Act est entré en vigueur le 1er août 2024, mais il s’applique par vagues. L’accord Digital Omnibus du 7 mai 2026 a redessiné la fin du calendrier. Un point d’attention : c’est un accord provisoire, encore soumis à l’adoption formelle du Parlement et du Conseil avant publication au Journal officiel. Un report n’est pas un abandon. [Insérer source officielle ou lien vers le texte de l’UE]

Déjà en application

  • 2 février 2025 : interdiction des pratiques à risque inacceptable et obligation de littératie IA. Vos équipes doivent déjà être formées à un usage éclairé de l’IA.
  • 2 août 2025 : obligations pour les modèles à usage général (GPAI) et mise en place des autorités de gouvernance.

Ce qui arrive

  • 2 décembre 2026 : nouvelles obligations de transparence et de marquage des contenus générés par IA, pensées pour rendre audio, image, vidéo et texte détectables et traçables. Interdiction explicite des outils de « nudification » et de génération de contenu sexuel non consenti.
  • 2 décembre 2027 : obligations pour les systèmes à haut risque de l’annexe III (recrutement, crédit, santé, éducation, justice, biométrie). C’est la grande échéance pour la plupart des entreprises, repoussée depuis août 2026.
  • 2 août 2028 : obligations pour les systèmes à haut risque de l’annexe I, intégrés à des produits déjà réglementés (machines, dispositifs médicaux, IA industrielle).

Lecture pragmatique : la partie qui coûte cher, le haut risque, vous laisse jusqu’à fin 2027. Mais les briques qui la rendent possible, à savoir l’inventaire, la littératie et la transparence, sont déjà exigibles ou le seront fin 2026. Le calendrier ne vous offre pas un répit, il vous offre une fenêtre pour vous organiser.

Plan d’action : la checklist pour auditer vos outils

Pas besoin d’un cabinet à six chiffres pour démarrer. Cinq étapes, dans l’ordre.

  1. Inventoriez vos IA, Shadow IA compris. Listez tout système qui prend, recommande ou automatise une décision : outils maison, briques SaaS, copilotes, extensions navigateur, modèles appelés par API. Sans cet inventaire, rien d’autre n’est possible. C’est l’étape que beaucoup d’organisations sautent, et celle qui révèle le plus de surprises.

  2. Classez chaque système dans la pyramide. Pour chacun, une question : inacceptable, élevé, limité ou minimal ? Cette qualification commande le niveau d’obligation. Documentez la décision, vous devrez la justifier.

  3. Mesurez l’écart pour les systèmes à haut risque. C’est là que se concentre l’effort. Vérifiez ce qui manque : gestion des risques, qualité et gouvernance des données, documentation technique, journalisation, supervision humaine, robustesse. Un écart par exigence, priorisé par la criticité.

  4. Traitez d’abord l’interdit et le visible. Coupez sans délai tout usage à risque inacceptable. Mettez en conformité les obligations de transparence, comme la mention « IA » sur les chatbots et le marquage des contenus générés : c’est peu coûteux et immédiatement contrôlable.

  5. Installez la gouvernance, pas seulement le projet. Nommez un responsable IA, intégrez la validation d’un nouvel outil au circuit achats et sécurité, formez les équipes (la littératie est déjà obligatoire). L’objectif n’est pas de cocher une case en 2027, mais de tenir un parc maîtrisé dans la durée.

Le fil conducteur tient en une phrase : on ne sécurise pas ce qu’on n’a pas classé, on ne classe pas ce qu’on n’a pas inventorié.

Les sanctions : ce que vous risquez vraiment

Le régime de l’IA Act s’inspire du RGPD et va plus loin pour les cas les plus graves. Trois niveaux, calés sur un montant fixe ou un pourcentage du chiffre d’affaires annuel mondial, le plus élevé des deux étant retenu. [Insérer source officielle ou lien vers le texte de l’UE — Art. 99]

  • Pratiques interdites (risque inacceptable) : jusqu’à 35 millions d’euros ou 7 % du chiffre d’affaires annuel mondial. C’est le plafond le plus lourd, au-dessus de celui du RGPD.
  • Manquement aux autres obligations (haut risque, transparence) : jusqu’à 15 millions d’euros ou 3 %.
  • Informations fausses ou trompeuses fournies aux autorités : jusqu’à 7,5 millions d’euros ou 1 %.

Deux nuances utiles. Pour les fournisseurs de modèles à usage général (GPAI), la Commission peut prononcer une amende allant jusqu’à 15 millions d’euros ou 3 %. Et le Digital Omnibus a étendu le régime allégé, à savoir documentation simplifiée et sanctions modulées, jusqu’ici réservé aux PME, aux entreprises de moins de 750 salariés : pour elles, c’est le montant le plus bas qui s’applique.

Le vrai risque n’est pas que financier. Une mise en demeure publique, le retrait d’un système du marché européen, la perte de confiance d’un client grand compte qui vous audite avant de signer : pour beaucoup d’organisations, ces conséquences pèsent plus lourd que l’amende elle-même.

Ce qu’il faut retenir

L’IA Act récompense les organisations qui savent ce qu’elles font tourner. Le texte ne vous demande pas de renoncer à l’IA, il vous demande d’en répondre. Commencez par l’inventaire, classez, traitez le haut risque dans la fenêtre qui vous reste, et installez une gouvernance qui survivra aux échéances.

La contrainte est réelle. L’avantage l’est tout autant : pendant que vos concurrents découvriront leur parc d’IA dans l’urgence de 2027, vous aurez déjà transformé une obligation réglementaire en argument de confiance.


Les renvois [Insérer source officielle ou lien vers le texte de l’UE] sont à compléter avant publication avec les liens vers le Règlement (UE) 2024/1689, les articles cités et les communications officielles de la Commission européenne.