Soyons honnêtes : une grande partie des entreprises n’a toujours pas compris ce qu’est réellement l’AI Act. Beaucoup pensent être tranquilles parce qu’elles « ne font pas d’IA », d’autres imaginent que le texte ne vise que les géants de la tech, et une bonne partie a repoussé le sujet en mode « on verra plus tard ». Mauvaise stratégie, car entre 2025 et 2027, on passe du discours politique aux obligations concrètes, avec à la clé de vraies sanctions. DeepDive, avec l’expertise d’André Gentit, te propose un décryptage clair, concret et exploitable pour que ton entreprise ne découvre pas l’AI Act au moment d’un contrôle.
L’AI Act, c’est quoi exactement ? (Et pourquoi votre entreprise doit s’en soucier)
L’AI Act est le premier règlement européen sur l’intelligence artificielle, pensé pour encadrer l’usage de l’IA dans l’Union européenne. Contrairement à de simples recommandations, il s’agit d’un texte juridiquement contraignant, avec des obligations, des contrôles et des amendes potentielles. L’objectif est double : favoriser une innovation responsable et protéger les citoyens contre les usages abusifs de l’IA.
Un cadre clair pour éviter les dérives
Pendant des années, les systèmes d’intelligence artificielle se sont développés beaucoup plus vite que le droit. Résultat : des usages questionnables sont apparus, comme la surveillance biométrique de masse, la notation sociale ou des systèmes de manipulation comportementale. L’AI Act vient mettre de l’ordre en définissant ce qui est autorisé, ce qui est strictement encadré et ce qui est tout simplement interdit.
Toutes les entreprises sont concernées, même celles qui “ne font pas d’IA”
Erreur classique : penser que l’AI Act ne concerne que les éditeurs de solutions d’IA ou les géants du numérique. En réalité, si ton entreprise utilise des outils qui intègrent de l’IA, tu es déjà dans le périmètre du texte. Un CRM avec scoring automatique, un outil RH d’analyse de CV, un chatbot, une solution de recommandation, ou encore un assistant conversationnel font entrer ton organisation dans le champ de l’AI Act. Même si tu n’as jamais écrit une ligne de code d’IA, tu es potentiellement utilisateur ou déployeur de systèmes IA.
Pourquoi le sujet devient sérieux maintenant
Jusqu’en 2024, on pouvait encore se dire « on suivra ça plus tard ». Sauf que désormais, les choses s’accélèrent. Les interdictions et plusieurs obligations clés sont effectives en 2025, les systèmes à haut risque seront pleinement encadrés en 2026, et les produits intégrant de l’IA devront être conformes en 2027. Autrement dit, le calendrier ne laisse plus beaucoup de marge à ceux qui espéraient passer entre les gouttes.
Les niveaux de risque expliqués simplement
Pour éviter de mettre tout le monde dans le même panier, l’AI Act classe les systèmes d’IA selon plusieurs niveaux de risque. À chaque niveau correspondent des obligations plus ou moins lourdes.
Risque inacceptable : les IA tout simplement interdites
Le risque inacceptable concerne les systèmes jugés incompatibles avec les droits fondamentaux. Exemples typiques : la notation sociale des citoyens, certains systèmes de manipulation comportementale, des formes de surveillance biométrique de masse ou des IA exploitant les faiblesses de populations vulnérables. Ces systèmes sont interdits dans l’Union européenne. L’interdiction est entrée en vigueur le 2 février 2025. Si une entreprise utilise un système qui tombe dans cette catégorie, il doit être arrêté immédiatement.
Risque élevé : les IA qui impactent fortement la vie des personnes
Le risque élevé rassemble les IA qui interviennent dans des domaines sensibles : recrutement et gestion RH, éducation, accès à la santé, sécurité, justice, crédit, ou tout système ayant un impact significatif sur les droits ou les trajectoires de vie des individus. À partir du 2 août 2026, ces systèmes seront soumis à des obligations strictes : documentation technique détaillée, gestion des risques, contrôle humain, traçabilité, qualité des données et cybersécurité. Pour être mis sur le marché ou déployés, ces systèmes devront obtenir un marquage CE attestant de leur conformité.
Risque limité : transparence obligatoire vis-à-vis des utilisateurs
Les systèmes à risque limité sont moins sensibles, mais ils peuvent tout de même influencer les comportements ou la perception des utilisateurs. C’est le cas de nombreux agents conversationnels, IA génératives utilisées dans un contexte commercial ou chatbots en relation client. Ici, la règle phare est la transparence : il faut dire clairement aux utilisateurs qu’ils interagissent avec une IA et non avec un humain. Cela peut paraître anodin, mais c’est une obligation réglementaire.
Risque minimal : les IA du quotidien
Enfin, les systèmes présentant un risque minimal ou nul (filtres anti-spam, fonctionnalités d’optimisation simples, outils analytiques basiques) ne sont pas soumis à des obligations spécifiques. Ils sont encouragés, car ils améliorent l’efficacité sans mettre en danger les droits fondamentaux. Cela ne veut pas dire qu’il faut les utiliser sans réflexion, mais ces outils ne déclenchent pas le même niveau de vigilance que les IA à haut risque.
Calendrier d’application de l’AI Act : les dates clés pour les entreprises
Pour y voir clair, voici un tableau synthétique du calendrier d’application de l’AI Act. Il est essentiel pour planifier ta mise en conformité.
| Date | Événement / Application de l’AI Act |
|---|---|
| 1er août 2024 | Entrée en vigueur officielle de l’AI Act dans l’Union européenne |
| 2 février 2025 | Interdiction des systèmes d’IA à risque inacceptable (manipulation, notation sociale, certains usages biométriques) |
| 2 août 2025 | Désignation des autorités nationales compétentes, mise en place des règles pour les modèles d’IA à usage général, début de l’application des sanctions administratives (hors amendes spécifiques aux fournisseurs de modèles GPAI), obligation de formation des acteurs impliqués dans les systèmes d’IA |
| 2 août 2026 | Pleine applicabilité de l’AI Act pour les systèmes d’IA à haut risque, marquage CE obligatoire, mise en place et développement des bacs à sable réglementaires pour tester des IA innovantes dans un cadre encadré |
| 2 août 2027 | Application du règlement aux produits intégrant des IA à haut risque mis sur le marché |
Ce tableau n’est pas qu’un rappel de dates, c’est un véritable plan de route que chaque entreprise devrait intégrer dans sa stratégie numérique et sa gouvernance IA.
Ce que les entreprises doivent faire dès maintenant
Passons au concret. Que doit faire une entreprise qui découvre qu’elle est concernée par l’AI Act et qui ne veut pas attendre le premier contrôle pour réagir ? Voici les priorités que DeepDive recommande.
1. Cartographier tous les usages d’IA dans l’entreprise
Première étape : savoir où se cache l’IA. Il faut recenser tous les outils, logiciels, modules, plugins et services qui utilisent de l’IA, même de manière indirecte. Cela inclut :
- CRM avec scoring ou prédiction
- Outils RH de tri de candidatures ou d’analyse de CV
- Chatbots et assistants en ligne
- Outils d’IA générative utilisés dans les process internes
- Systèmes d’analyse de risque, de fraude ou de comportement
Cette cartographie IA est la base de tout. Sans elle, impossible de savoir quelles obligations s’appliquent réellement à ton organisation.
2. Vérifier l’absence de systèmes à risque inacceptable
Une fois la cartographie réalisée, il faut vérifier que tu n’utilises pas un système qui tombe dans la catégorie des risques inacceptables. Si c’est le cas, il n’y a pas de débat possible : l’usage doit cesser. Cette étape peut paraître radicale, mais elle évite de se retrouver dans des situations de non-conformité lourde avec l’AI Act.
3. Identifier les IA à haut risque
Ensuite, il faut repérer les IA qui pourraient entrer dans la catégorie haut risque. Tu es concerné si tu utilises des systèmes qui influencent :
- le recrutement, les promotions, les formations
- l’accès à des services essentiels
- la notation ou le scoring de personnes
- la sécurité ou la prévention des incidents
Pour ces systèmes, il faudra te préparer aux obligations de 2026 : documentation approfondie, marquage CE, contrôle humain, gestion des risques et robustesse technique.
4. Construire et centraliser la documentation obligatoire
L’AI Act insiste sur la traçabilité et la documentation. Il ne suffit pas d’utiliser une IA, il faut être capable de montrer comment elle est gérée et supervisée. Concrètement, cela implique :
- un registre des systèmes IA utilisés
- des documents décrivant les finalités, les données utilisées et les risques identifiés
- des procédures de contrôle humain
- des mesures de cybersécurité et de gestion des incidents
- des preuves de supervision continue
C’est ce qui permettra de montrer ta conformité en cas de contrôle par une autorité compétente.
5. Former les équipes : une obligation, pas un bonus
L’AI Act introduit une exigence clé : la formation des personnes qui conçoivent, déploient ou utilisent des systèmes d’IA. L’objectif est simple : éviter que des collaborateurs utilisent des IA puissantes sans comprendre leurs limites, leurs risques et leurs obligations. Concrètement, cela veut dire :
- sensibiliser les dirigeants aux enjeux juridiques et stratégiques de l’IA
- former les équipes métiers aux bons usages et au contrôle humain
- outiller les équipes techniques pour intégrer la conformité AI Act dès la conception
DeepDive peut justement t’accompagner avec des formations IA adaptées à ton secteur et à ton niveau de maturité.
6. Anticiper le marquage CE pour les systèmes à haut risque
Si ton entreprise développe, intègre ou commercialise des systèmes d’IA à haut risque, le marquage CE deviendra incontournable. Il sera l’équivalent d’un “passeport de conformité” pour l’IA. Pour l’obtenir, il faudra démontrer :
- la maîtrise des risques
- la qualité des données
- la robustesse des modèles
- l’existence d’un contrôle humain significatif
- la mise en place de mesures de sécurité suffisantes
Mieux vaut donc commencer à se préparer avant que ces obligations ne deviennent bloquantes pour la mise sur le marché de tes produits.
Les sanctions : ce que les entreprises risquent en cas de non-conformité
L’AI Act ne se contente pas de donner des bonnes pratiques. Il prévoit des sanctions administratives en cas de non-respect des obligations. Les amendes peuvent être significatives et proportionnelles à la taille de l’entreprise et à la gravité des manquements. Parmi les risques :
- amendes en cas d’utilisation de systèmes à risque inacceptable
- sanctions pour défaut de transparence ou d’information des utilisateurs
- amendes en cas d’absence de contrôle humain sur une IA à haut risque
- sanctions si la documentation ou les procédures sont inexistantes ou insuffisantes
Au-delà de l’aspect financier, une non-conformité à l’AI Act peut aussi générer un risque d’image important. Être épinglé pour usage irresponsable de l’IA n’est jamais un bon message pour les clients, les partenaires ou les collaborateurs.
Comment DeepDive peut aider ton entreprise à rester du bon côté de l’AI Act
La réalité, c’est que peu d’entreprises ont en interne le temps ou les compétences pour piloter seules leur mise en conformité IA. C’est précisément là que l’expertise de DeepDive et d’André Gentit fait la différence.
Cartographie IA et diagnostic de risque
DeepDive t’aide à réaliser une cartographie complète de tes usages IA, à identifier les systèmes sensibles et à les classer selon les niveaux de risque définis par l’AI Act. Tu sais enfin où tu en es, avec un diagnostic clair.
Mise en conformité pragmatique
L’objectif n’est pas de noyer ton entreprise dans la paperasse, mais de mettre en place une conformité réaliste et opérationnelle : registres, documentation, procédures de contrôle humain, gestion des risques, préparation au marquage CE si nécessaire. Le tout avec un langage compréhensible, pas du juridico-technique illisible.
Formations sur mesure à l’IA et à l’AI Act
DeepDive propose des formations IA adaptées aux dirigeants, aux équipes métiers, aux services RH ou aux DSI. Objectif : rendre tes équipes autonomes, responsables et à l’aise avec l’IA et ses contraintes réglementaires. Tu coches la case “obligation de formation”, tout en renforçant la maturité IA de l’entreprise.
Stratégie IA responsable et durable
Au-delà de la conformité, l’enjeu est aussi de construire une stratégie IA durable : quels cas d’usage développer, quels outils choisir, comment intégrer l’IA dans les process sans prendre de risques inutiles, comment transformer l’AI Act en avantage concurrentiel au lieu de le subir.
FAQ AI Act : les questions que les entreprises posent en off
“On ne fait pas d’IA, on est concernés ?”
Dans 90 % des cas, la réponse est oui. Beaucoup d’outils SaaS intègrent déjà des briques d’IA sans que ce soit mis en avant. D’où l’importance de la cartographie IA.
“Si on utilise ChatGPT ou un assistant IA, on doit faire quoi ?”
Il faut définir un cadre d’usage, informer les utilisateurs internes, éviter d’y injecter des données sensibles, former les équipes et documenter les usages. L’IA ne doit pas devenir une boîte noire incontrôlée.
“Qu’est-ce qu’une IA à haut risque, concrètement ?”
C’est une IA qui influence des décisions importantes : recruter quelqu’un, refuser un crédit, valider un accès à un service, évaluer un élève, surveiller une zone sensible, analyser un comportement pouvant avoir des conséquences lourdes.
“Est-ce que notre entreprise a vraiment une chance d’être contrôlée ?”
Avec la désignation des autorités nationales compétentes à partir d’août 2025, les contrôles vont progressivement se déployer. Et comme pour le RGPD, les premières cibles sont souvent les organisations peu préparées ou qui s’exposent fortement sans cadre clair.
Conclusion : l’AI Act est une contrainte sur le papier, mais une opportunité dans la pratique
L’AI Act peut faire peur quand on le découvre, mais c’est aussi une chance de remettre à plat ses usages IA, d’éviter les dérives et de créer de la confiance. Les entreprises qui anticipent auront un avantage compétitif : elles pourront déployer plus d’IA, plus vite, avec une meilleure acceptation interne et externe. Celles qui attendront le dernier moment risquent de subir blocages, retards et sanctions. Avec l’accompagnement de DeepDive et d’André Gentit, tu peux transformer l’AI Act en levier plutôt qu’en menace. Mieux vaut agir maintenant, calmement, que dans l’urgence face à une autorité de contrôle.
Si tu le souhaites, DeepDive peut aussi t’aider à décliner ce contenu en fiche mémo pour dirigeants, post LinkedIn pédagogique, check-list IA Act ou support de formation interne, prêts à être utilisés dans ton entreprise.
Formateur & Consultant en Stratégie Web et IA générative
Vous souhaitez bâtir une stratégie de communication efficace, booster la performance de votre site internet ou mieux comprendre les dynamiques des réseaux sociaux ?
👉 Avec DeepDive, je vous accompagne grâce à une expertise terrain (ex-dirigeant d’agence digitale depuis 2011) et une veille continue sur les nouvelles pratiques numériques.
👉 J’interviens auprès de TPE, PME et collectivités, mais aussi en écoles et organismes (CNAM, CCI, écoles de commerce) pour rendre le numérique accessible et opérationnel.
👉 Mes formations couvrent le webmarketing, l’e-commerce, l’IA générative et incluent également une sensibilisation aux risques liés aux usages du web et des réseaux sociaux.
Mon objectif : transmettre des savoirs concrets pour que chaque apprenant — étudiant, salarié, entrepreneur ou institution — puisse transformer le numérique en véritable levier de réussite.
Découvrez mon petit robot PromptyBot qui vous propose des centaines de prompts optimisés
