Le Règlement européen sur l'IA (AI Act), entré en vigueur en 2024, s’appliquera aux entreprises en août 2026. Les systèmes d’IA à haut risque, tels que les applications RH et Finances, sont concernés. Voici comment se mettre en conformité.
Sommaire
Entré en vigueur le 1er août 2024, le Règlement IA (AI Act) est d’application progressive depuis le 02 février 2025. Cette année, les entreprises qui développent ou qui utilisent des systèmes d’IA à “haut risque” au sens du Règlement doivent se mettre en conformité. Voici comment procéder.
>> Guide : mesurer la valeur réelle de l'IA (matrice + checklist)
L’AI Act est le Règlement européen sur l’intelligence artificielle, qui encadre l’utilisation de l’IA en Union européenne. L’objectif est de développer une IA digne de confiance tout en soutenant l’innovation. En 2026, les entreprises qui fournissent ou déploient des systèmes d’IA sont soumises à de nouvelles règles, adaptées au niveau de risque.
En résumé sur les dispositions majeures du Règlement IA :
Le Règlement classe les systèmes d’IA par niveau de risque : inacceptable, haut, limité ou minimal.
Les systèmes d’IA à risque inacceptable sont interdits.
Les entreprises qui développent ou qui utilisent une IA à haut risque ont de nouvelles obligations à compter du mois d’août 2026. Sont notamment concernées les entreprises qui fournissent ou utilisent des systèmes de recrutement, de gestion des talents et d'évaluation financière.
Globalement, l’AI Act a pour vocation d’éviter les biais de machine learning, et d’assurer un contrôle humain sur les systèmes, dans un enjeu éthique.
1er août 2024 : entrée en vigueur du Règlement IA. À cette date, les règles ne sont pas encore applicables. Le Règlement prévoit une application progressive.
02 février 2025 : application de l’article 5 relatif aux Pratiques interdites en matière d’IA. Depuis cette date, les systèmes qui présentent un “risque inacceptable” sont strictement interdits en Union européenne. Il s’agit par exemple des IA manipulatrices et des systèmes de notation sociale.
02 août 2025 : application du Chapitre V relatif aux Modèles d’IA à usage général (GPAI), notamment. Un GPAI est un système conçu pour exécuter une large variété de tâches, et qui s’entraîne en utilisant un très grand volume de données. Les LLM, ChatGPT pour citer le plus populaire, sont les exemples les plus évocateurs de GPAI. Depuis le 02 août 2025, les développeurs de GPAI sont soumis à des obligations de documentation technique.
02 août 2026 : application de l’ensemble du texte de l’AI Act, à l’exclusion de l’article 6 relatif aux Règles de classification des systèmes d’IA à haut risque. Cela signifie que tous les fournisseurs et les déployeurs de systèmes IA à haut risque de l’Annexe III doivent être en conformité avec le Règlement. Sont concernés les domaines de l’éducation, de l’emploi, de la biométrie ou encore de la justice.
02 août 2027 : l’article 6 et les obligations afférentes s’appliquent.
Notez que la proposition de Règlement omnibus numérique prévoit d’ajuster le calendrier. L’application des obligations concernant les systèmes d’IA à haut risque pourrait être reportée à 2027 ou 2028.
« L'AI Act est un tournant juridique historique qui va profondément impacter toutes les entreprises qui conçoivent ou utilisent l'IA en Europe. »
Kelly Trindel, Chief Responsible AI Officer, Workday
Le Règlement IA classe les systèmes d’IA en 4 niveaux de risque : risque inacceptable, haut risque, risque limité et risque minimal, par ordre décroissant d’importance.
Le Règlement liste les pratiques de l’IA associées à un risque inacceptable et les interdit (article 5).
Sont interdits par exemple les systèmes d’IA qui utilisent des techniques subliminales ou qui exploitent les vulnérabilités des personnes, et les systèmes d'identification biométrique à distance, en temps réel, dans des espaces publics.
Le Règlement traite très majoritairement des systèmes d’IA à haut risque (articles 6 à 49). Deux catégories de systèmes sont identifiés comme tels :
Les systèmes utilisés comme composants de sécurité, couverts par les lois de l'UE, et soumis à une évaluation de conformité.
Les systèmes listés en Annexe III. Il s’agit des systèmes d’IA dans les domaines sensibles de l’éducation, de l’emploi, de la justice et des services publics, notamment. Les plateformes de recrutement, de gestion des talents et d'évaluation financière développées par des entreprises, pour des entreprises, sont concernées. Elles sont en effet directement visées par les quatrième et cinquième paragraphes de l’Annexe III.
Les entreprises qui développent ou qui utilisent ces plateformes de recrutement, de gestion des talents ou d'évaluation financière, identifiées comme des systèmes à haut risque au sens du Règlement IA, ont jusqu’au 02 août 2026 pour se mettre en conformité.
Par exemple, chez Workday : nous reconnaissons l'importance de comprendre et d'assumer nos responsabilités en tant que fournisseur et déployeur de système d’IA. Pour nous assurer que nous respectons les normes les plus élevées en matière d'IA responsable, nous avons adopté une approche globale de la conformité : Workday s'appuie sur un cadre de gouvernance de l'IA responsable pour répondre aux exigences de conformité du Règlement européen sur l'IA. Notre approche en la matière est tournée vers l'avenir et nous la développons depuis 2019.
Les systèmes à risque limité au sens du Règlement IA visent principalement les chatbots et les deepfakes. Les développeurs desdits systèmes ne sont soumis qu’à une obligation de transparence, qui consiste à informer les utilisateurs finaux qu’ils interagissent avec une IA et non avec un humain (article 50).
Le niveau de risque minimal, ou nul, n’est pas réglementé. Les correcteurs orthographiques et les applications de retouche photo, par exemple, ne présentent pas de risque.
Le Règlement IA distingue les modèles d’IA à usage général, et les systèmes d’IA. Seuls les systèmes d’IA, qui sont les applications finales, sont concernés par la classification du Règlement. Les modèles d’IA à usage général suivent un régime spécifique, qui impose principalement des obligations de documentation technique.
Prenons l’exemple d’un agent conversationnel, qui fonctionne sur la base d’un modèle d’IA à usage général. L’entreprise qui développe cet agent conversationnel doit se mettre en conformité à l’AI Act à 2 niveaux :
Si l’entreprise développe elle-même son modèle d’IA à usage général, elle est soumise à des obligations de documentation technique. Si l’entreprise s’adosse à un GPAI existant tels que GPT-4 pour développer son agent conversationnel, elle n’est pas concernée.
En tant que fournisseur d’un agent conversationnel, considéré comme un système d’IA, l’entreprise doit identifier le niveau de risque. Si le risque est “limité”, l’entreprise n’est concernée que par une obligation de transparence et d’information à l’égard des utilisateurs. Si le risque est “haut”, l’entreprise se soumet aux obligations plus contraignantes de l’article 16 de l’AI Act (marquage CE, supervision humaine…).
Le Règlement IA introduit un cadre de responsabilité en définissant des rôles distincts pour les fournisseurs, les déployeurs et les fournisseurs en aval. Pour comprendre leurs obligations, les entreprises doivent d'abord identifier clairement leur rôle dans la chaîne de valeur de l'IA.
L’entreprise est Fournisseur si elle développe des systèmes d'IA pour le marché, y compris des GPAI et des fonctionnalités alimentées par l'IA au sein de ses produits.
L’entreprise est Déployeur lorsqu’elle déploie et utilise des systèmes d'IA dans le cadre de ses processus de travail. Les obligations réglementaires à la charge des déployeurs sont très allégées en comparaison avec celles des fournisseurs.
L’entreprise est considérée comme Fournisseur en aval quand elle intègre dans son système d’IA des modèles d'IA tiers tels que ceux appartenant à la catégorie des systèmes d'IA à usage général (GPAI).
Par exemple, chez Workday : nous sommes à la fois Fournisseur, Déployeur et Fournisseur en aval. Conscients de nos responsabilités, avant même l’entrée en vigueur du Règlement IA, nous avons développé un programme d’IA responsable qui sert déjà nos clients au-delà des normes du secteur. Notre alignement sur le Cadre de gestion des risques liés à l'IA du NIST (National Institute of Standards and Technology), et nos processus de tests et de production de documents au-delà de ce qui est légalement exigé, notamment, vont dans ce sens.
« Pour s'orienter efficacement dans ce cadre, les entreprises doivent d'abord identifier clairement leurs rôles dans la chaîne de valeur de l'IA. »
Kelly Trindel, Chief Responsible AI Officer, Workday
Le 02 août 2026, le Règlement IA sera applicable dans sa quasi-intégralité. Les entreprises doivent démarrer dès maintenant leur processus de mise en conformité. Voici comment procéder par étapes.
Identifier son rôle. L’entreprise est soumise à des obligations plus ou moins contraignantes selon son rôle de fournisseur, déployeur ou fournisseur en aval.
Identifier le niveau de risque du système d’IA développé ou utilisé. Si le niveau de risque est inacceptable, l’application est tout simplement interdite. Si le niveau de risque est haut ou limité, l’entreprise doit se mettre en conformité sans tarder. Si le risque est minimal ou nul, le Règlement ne s’applique pas.
Comprendre et appliquer ses obligations. Le Règlement IA impose de nouvelles obligations aux entreprises qui développent ou utilisent des systèmes d’IA considérés comme risqués. Pour comprendre et appliquer ces obligations, il faut une expertise juridique d’une part, une expertise technologique d’autre part. Le chantier à mettre en œuvre n’est pas négligeable, c’est pourquoi il est recommandé de s’entourer de professionnels de confiance.
Pour un audit préalable et indicatif, vous pouvez utiliser le Vérificateur de conformité en ligne.
Les entreprises qui développent des systèmes d’IA à haut risque au sens du Règlement IA doivent respecter les obligations suivantes :
Obtenir un marquage CE
S’inscrire sur la base de données européenne dédiée
Mettre en place une politique de gestion des risques et de gouvernance des données pour éviter les biais
Mettre en oeuvre un dispositif de cybersécurité du système
Établir une documentation technique complète et transparente
Assurer une supervision humaine constante
Veiller constamment à la qualité du système
Le Règlement prévoit une disposition en faveur de l’innovation, pour les PME qui développent actuellement un système d’IA à haut risque. Pour alléger leurs démarches et leurs coûts, ces PME peuvent tester leurs systèmes d’IA dans un bac à sable réglementaire dédié.
Les entreprises qui utilisent les systèmes d’IA à haut risque ont des obligations bien moindres, principalement :
Faire assurer la surveillance du système par l’intermédiaire d’un humain
Respecter les instructions fournies par le développeur
En tant qu’entreprise “déployeur” qui utilise un système IA à haut risque, vous avez tout intérêt à choisir un fournisseur de confiance qui garantit la conformité au Règlement IA. À défaut, vous risquez d’être impacté indirectement en cas de sanction de votre fournisseur pour non-respect du Règlement.
Notre responsabilité est importante en ce qui concerne la manière dont nous façonnons la technologie et dont nous atténuons les risques potentiels. En intégrant les considérations liées à l'IA responsable à chaque étape de notre cycle de développement, nous nous assurons que nos systèmes sont conformes aux réglementations, telles que le Règlement IA, et alignés sur nos valeurs fondamentales.
Nous sommes convaincus par ailleurs que l'IA responsable passe par la collaboration avec nos clients. En conséquence, nous nous engageons à accroître votre pouvoir d'action, grâce à des outils qui permettent de prendre des décisions éclairées sur la manière d'utiliser l'IA, et de gérer vos données.
12 pages d'études
1 matrice de productivité réelle
1 checklist d'adoption
Télécharger gratuitement
En lire plus
Les agents IA s'imposent comme l'avenir des opérations d'entreprise. Toutefois, de nombreuses organisations cherchent encore le modèle adéquat pour les déployer de manière responsable. Le choix du bon framework d'agent IA constitue une première étape décisive.
L'IA agentique redessine nos processus RH avec une autonomie inédite. Mais ne nous y trompons pas : la technologie seule ne suffit pas. L'enjeu est désormais de dépasser le stade de la démonstration pour imposer un véritable impact sur le terrain.
Les collaborateurs, par nature curieux, sont impatients d'explorer les nouveaux outils d'IA, mais certaines entreprises manquent encore de directives claires ou de l'infrastructure nécessaire pour suivre la cadence.