L’AI Act n’est plus un sujet théorique.
Le règlement européen sur l’intelligence artificielle est entré en vigueur le 1er août 2024. Il devient progressivement applicable, avec une étape majeure au 2 août 2026. Certaines obligations sont déjà là : les pratiques interdites et l’obligation de sensibilisation à l’IA s’appliquent depuis le 2 février 2025 ; les règles relatives aux modèles d’IA à usage général s’appliquent depuis le 2 août 2025.
Pour beaucoup d’entreprises, le risque est de considérer l’AI Act comme un texte juridique de plus.
Ce serait une erreur.
L’AI Act est d’abord un sujet de gouvernance, de maîtrise des risques, de cybersécurité, de données, d’achats, de RH et de responsabilité managériale.
Car l’IA est déjà partout : dans les outils bureautiques, les CRM, les solutions RH, les plateformes de support, les outils marketing, les moteurs de recherche internes, les assistants de développement, les solutions de cybersécurité, les outils de génération de contenus, les chatbots, les analyses documentaires, les systèmes d’aide à la décision.
Le sujet n’est donc plus : « Allons-nous utiliser l’IA ? »
Le vrai sujet est : « Savons-nous réellement où, comment, par qui, avec quelles données et pour quelles décisions l’IA est déjà utilisée dans l’entreprise ? »
Et dans beaucoup d’organisations, la réponse honnête est : non.
L’AI Act repose sur une logique de risques. Les usages les plus sensibles sont les plus encadrés : emploi, éducation, santé, justice, infrastructures critiques, biométrie, accès à certains services essentiels, décisions pouvant affecter fortement les droits ou les libertés des personnes. La Commission européenne travaille encore en 2026 sur des lignes directrices pour aider les entreprises à classifier les systèmes à haut risque, avec une consultation ouverte du 19 mai au 23 juin 2026.
Ce point est essentiel : toutes les IA ne se valent pas.
Un assistant qui aide à résumer un compte rendu interne ne présente pas le même risque qu’un algorithme qui trie des candidats, évalue la performance d’un salarié, détecte des comportements suspects, attribue une priorité médicale, recommande une décision de crédit ou analyse automatiquement des données sensibles.
L’erreur serait de traiter tous les usages de la même manière.
L’autre erreur serait de ne rien traiter du tout.
Les entreprises doivent donc sortir d’une approche naïve de l’IA. Non, l’IA n’est pas simplement un « outil magique de productivité ». Non, elle ne peut pas être laissée à la seule initiative des métiers. Non, elle ne peut pas être déployée sans cadre, sans contrôle, sans politique de données, sans revue contractuelle, sans analyse de sécurité, sans traçabilité.
Le vrai danger, aujourd’hui, ce n’est pas seulement l’IA officielle.
C’est le shadow AI.
C’est le collaborateur qui colle des données clients dans un outil grand public. C’est le service marketing qui génère des contenus sans politique de transparence. C’est l’équipe RH qui teste un outil d’aide au recrutement sans mesurer les biais. C’est le service support qui automatise des réponses sensibles sans supervision. C’est le manager qui utilise un assistant pour analyser des comptes rendus confidentiels. C’est le prestataire qui intègre de l’IA dans une solution sans le dire clairement.
À partir du 2 août 2026, les obligations de transparence deviendront beaucoup plus visibles : les personnes devront notamment être informées lorsqu’elles interagissent avec certains systèmes d’IA ou lorsqu’elles sont exposées à certains contenus générés ou manipulés par IA.
Cela concerne directement les médias, les sites d’information, les directions communication, les services marketing, les plateformes numériques, les éditeurs de contenus, mais aussi toutes les entreprises qui publient des images, vidéos, textes ou supports générés par IA.
L’IA générative oblige les organisations à répondre à une question simple : ce que nous publions est-il humain, assisté par IA, généré par IA, modifié par IA, ou potentiellement trompeur pour le public ?
Ce n’est pas un détail.
C’est une question de confiance.
Et la confiance devient un actif stratégique.
Mais il y a aussi un autre risque : celui de transformer l’AI Act en usine bureaucratique européenne.
L’Europe a raison de vouloir encadrer les usages dangereux. Elle a raison de poser des limites face à la manipulation, à la discrimination algorithmique, aux deepfakes, à l’opacité des décisions automatisées et à la surveillance de masse.
Mais si la mise en œuvre devient trop lourde, trop lente, trop complexe, trop juridique, alors le risque est évident : les entreprises européennes passeront plus de temps à documenter l’innovation qu’à innover.
Pendant ce temps, les États-Unis et la Chine avancent.
C’est là que le rôle des DSI, CTO, RSSI, Chief Data Officers et directions générales devient déterminant.
Il ne s’agit pas de bloquer l’IA.
Il s’agit de la maîtriser.
Concrètement, une entreprise devrait dès maintenant engager cinq actions simples.
D’abord, inventorier les usages IA existants, y compris les usages non déclarés.
Ensuite, classifier les usages par niveau de risque : faible, transparence, sensible, haut risque, interdit.
Puis, définir une politique claire : quelles données peuvent être utilisées, quels outils sont autorisés, quels usages sont interdits, quelles validations sont nécessaires.
Ensuite, encadrer les fournisseurs : clauses contractuelles, localisation des données, sécurité, confidentialité, responsabilité, auditabilité, sous-traitance.
Enfin, former les équipes. Pas avec une formation gadget de trente minutes, mais avec une vraie acculturation : risques, réflexes, cas d’usage, limites, sécurité, confidentialité, responsabilité.
L’AI Act ne doit pas être vécu comme une contrainte juridique isolée.
Il doit être intégré à une gouvernance plus large de l’IA.
Une gouvernance qui permet d’innover vite, mais proprement.
Une gouvernance qui protège l’entreprise, les collaborateurs, les clients et la réputation.
Une gouvernance qui évite deux écueils : le Far West technologique d’un côté, la paralysie réglementaire de l’autre.
L’intelligence artificielle va devenir un avantage compétitif majeur.
Mais l’IA non maîtrisée deviendra aussi un risque majeur.
Le sujet n’est donc pas de savoir si l’entreprise doit utiliser l’IA.
Elle l’utilise déjà.
Le sujet est de savoir si elle la pilote vraiment.
Et sur ce point, l’AI Act a au moins un mérite : il oblige les organisations à regarder en face ce qu’elles auraient déjà dû faire depuis longtemps.
Reprendre le contrôle.
En savoir plus sur GDL T&C
Subscribe to get the latest posts sent to your email.
Leave a Reply
You must be logged in to post a comment.