Alexandre Dedavid
Retour
28 février 202512 min

EU AI Act : ce qui change vraiment pour les responsables Data, IA et Produit

Guide pratique sur le Règlement (UE) 2024/1689 - sans jargon, avec des exemples concrets par métier.

Gouvernance IAEU AI ActConformitéLeadership

L’AI Act est un Règlement - plus précisément, le Règlement (UE) 2024/1689. Cela veut dire qu’il s’applique directement dans tous les États membres. Ce n’est pas une directive à transposer. Ce n’est pas une recommandation. C’est la loi.

L’idée centrale est simple : une régulation basée sur le risque. Plus le risque de dommage est élevé (sécurité, santé, droits fondamentaux), plus les obligations de gouvernance et de preuve sont importantes.

Ce que je vois beaucoup d’entreprises faire mal : traiter l’AI Act comme une "checklist juridique". En réalité, il va séparer ceux qui font de l’IA un vrai outil de travail - avec du contrôle et de la confiance - de ceux qui restent bloqués dans les POCs et le "shadow AI".

Ce qui change dans la vie réelle

En langage de manager, sans termes juridiques :

  • Vous devez savoir où vous utilisez déjà l’IA. Pas seulement le "projet officiel". Cela inclut les outils achetés par les équipes, les automatisations, les copilots, le contenu généré par IA et les plugins dans vos outils de productivité.
  • Classer par risque fait partie des opérations. La question passe de "on utilise l’IA ?" à "quel est le risque et quelles preuves je dois garder ?"
  • La transparence n’est pas un détail. Surtout pour les contenus synthétiques (deepfakes, images générées) et les interactions où la personne doit savoir qu’elle parle à un système - Article 50 du Règlement.
  • Les GPAI / modèles de base entrent dans la gouvernance. L’UE impose des obligations spécifiques aux modèles généraux - documentation technique, tests de sécurité et transparence sur les données d’entraînement.

Calendrier : ce qui est déjà en vigueur

L’AI Act est entré en vigueur le 1er août 2024, mais les obligations arrivent par étapes. Voici ce qui compte :

02 fév. 2025
Pratiques interdites + Littératie IA
Les interdictions d’usages inacceptables de l’IA (manipulation, scoring social, police prédictive individuelle) s’appliquent déjà. Obligation de littératie IA (Article 4) : les fournisseurs et utilisateurs doivent s’assurer que leurs équipes ont les connaissances suffisantes. Source : Article 113, § (a)
02 août 2025
Gouvernance + GPAI
Les règles de gouvernance (Chapitres I-V du Titre VII) et les obligations pour les modèles d’IA généraux (GPAI) entrent en vigueur. Cela inclut la documentation technique obligatoire et les politiques de droits d’auteur. Source : Article 113, § (b)
02 août 2026
La plupart des obligations
Les obligations pour les systèmes d’IA à haut risque (Annexe III) entrent en vigueur : gestion des risques, gouvernance des données, documentation technique, supervision humaine et robustesse. Source : Article 113, § (c)
02 août 2027
Transition étendue
Les systèmes d’IA à haut risque qui sont aussi des composants de sécurité (Annexe I - machines, dispositifs médicaux, aviation) ont un délai supplémentaire. Source : Article 113, § (d)

En pratique : ce qui change par métier

C’est là que la plupart des articles s’arrêtent. Ils expliquent le règlement, mais ne disent pas ce qui change au quotidien pour les responsables. Je vais essayer d’être plus utile.

Finance
Haut risque

Le scoring de crédit et l’évaluation du risque de crédit sont classés comme haut risque (Annexe III, § 5(b)). Cela veut dire : gestion des risques documentée, gouvernance des données, audit des biais, supervision humaine et explicabilité.

En pratique : si vous avez un modèle de ML qui approuve ou refuse un crédit, vous devez documenter comment il a été entraîné, avec quelles données, quels biais ont été mesurés et avoir un humain avec un vrai pouvoir de révision. La même chose s’applique à la détection de fraude quand elle déclenche des actions automatiques.

Action : examiner tous les modèles de scoring/risque et préparer la documentation avant août 2026.

Marketing
Risque limité + transparence

Le contenu généré par IA (textes, images, vidéos) doit être clairement identifié comme synthétique. L’Article 50 est direct : si vous créez du contenu avec l’IA qui peut être confondu avec du contenu humain, vous devez le marquer.

En pratique : le post LinkedIn généré par ChatGPT ? La campagne avec une image Midjourney ? Le script vidéo écrit par IA ? Tout doit être étiqueté. Ce n’est pas optionnel - c’est une obligation légale.

La personnalisation de contenu (recommandations, ciblage) est généralement à risque minimal ou limité, mais attention : si vos recommandations touchent l’accès aux services essentiels ou utilisent du profilage comportemental profond, le risque augmente.

Action : créer une politique interne d’étiquetage pour le contenu synthétique.

RH / Personnes
Haut risque

Le recrutement, le tri de CV, l’évaluation de performance et les décisions de promotion avec IA sont haut risque (Annexe III, § 4). C’est probablement le domaine avec le plus grand impact au quotidien.

En pratique : l’outil de tri de CV utilisé par le recrutement ? Le scoring des candidats ? L’analyse de sentiment dans les entretiens vidéo ? Tout est haut risque. Vous avez besoin de : - Documentation du fonctionnement du système - Audit des biais (genre, âge, origine, handicap) - Supervision humaine réelle (pas du tampon automatique) - Information au candidat que l’IA est utilisée

Un point important : le suivi de productivité par IA (outils de tracking d’activité) peut aussi être haut risque, selon l’usage et les décisions qu’il influence.

Action : cartographier tous les outils de "people analytics" et d’IA en RH.

Produit
Variable selon le contexte

Les chatbots, assistants virtuels et systèmes de recommandation ont une obligation de transparence : l’utilisateur doit savoir qu’il interagit avec un système d’IA (Article 50). Simple, mais beaucoup d’entreprises l’ignorent.

Les systèmes de recommandation e-commerce sont généralement à risque minimal. Mais si votre produit utilise l’IA pour la santé, l’éducation, l’accès aux services publics ou la justice, vous êtes probablement en haut risque.

Pour les product managers : chaque fonctionnalité avec IA a besoin d’une évaluation de risque avant la mise en production.

Action : inclure la "classification de risque" dans votre processus de découverte/livraison de fonctionnalités IA.

IT / Ingénierie
Opérationnel + GPAI

Si vous utilisez des modèles généraux (GPT, Claude, Gemini, Llama) en interne ou dans votre produit, les nouvelles règles GPAI (Chapitre V, applicables à partir d’août 2025) vous concernent directement.

Pour les fournisseurs : documentation technique, tests de sécurité, politique de droits d’auteur sur les données d’entraînement. Pour ceux qui déploient ces modèles : vous devez comprendre ce qui entre et sort et pouvoir répondre aux audits.

En pratique : l’équipe d’ingénierie doit garder des logs d’inférence, contrôler les templates de prompts et documenter l’utilisation des modèles dans chaque contexte.

Action : créer un registre de tous les modèles d’IA utilisés (achetés, open-source, APIs), avec classification de risque et responsable technique.

Risque / Conformité
Transversal

Pour le Risque et la Conformité, l’AI Act n’est pas "encore un règlement de plus". C’est un changement de paradigme : pour la première fois, vous avez besoin d’une gouvernance spécifique à l’IA, pas seulement aux données.

Cela veut dire : - Inventaire IA : savoir ce qui existe, qui est responsable, quel est le risque - Gouvernance des fournisseurs : exiger la documentation des fournisseurs d’IA (ne pas accepter les "boîtes noires") - Réponse aux incidents : avoir un processus clair quand un système d’IA ne marche pas - Piste d’audit : garder les preuves de conformité prêtes pour la supervision

Les amendes peuvent atteindre 35 millions d’euros ou 7% du chiffre d’affaires mondial pour les violations de pratiques interdites.

Action : commencer l’inventaire IA maintenant. Définir les responsables. S’aligner avec le DPO (RGPD) et construire le pont entre protection des données et gouvernance IA.

Mon point de vue

L’AI Act n’est pas seulement une question de conformité. Il pose une question importante : comment s’assurer que l’IA augmente la capacité humaine sans augmenter le risque, l’inégalité ou la méfiance ?

Si vous dirigez Data/IA, Produit, RH, Risque/Conformité ou Opérations, voici ce que je recommande pour commencer :

  • Inventaire : cartographier les usages d’IA (y compris le shadow AI)
  • Classification de risque : ce qui est minimal/limité/haut risque et pourquoi
  • Littératie IA par fonction : direction, produit, juridique, RH, ingénierie
  • Gouvernance des fournisseurs : quoi exiger et comment documenter (surtout pour les GPAI)
  • Preuves + réponse aux incidents : pistes d’audit minimales et procédures de correction
Je peux partager un template simple (1 page) de "AI Act Readiness" pour commencer sans créer de bureaucratie. Contactez-moi en mentionnant "template AI Act".

Sources officielles

Besoin d’aide avec la gouvernance IA ?

J’aide les entreprises à transformer l’AI Act d’une obligation réglementaire en avantage compétitif - avec clarté, sans bureaucratie inutile.

Planifier un échange