IA ACT : que risquent les entreprises non conformes ?

IA ACT : que risquent les entreprises non conformes ?
Article RGPD Minute RGPD

Adopté en 2024, le règlement européen sur l’intelligence artificielle (IA Act) marque un tournant pour toutes les organisations qui conçoivent, utilisent ou intègrent de l’intelligence artificielle. Mais quelles sont les vraies conséquences en cas de non-conformité ? Et surtout, quelles sont les dates à ne pas manquer pour éviter les sanctions ?

Sommaire

L’IA Act en bref

Un calendrier progressif… mais serré

Qui est concerné par l’IA Act ?

Comment s’y préparer ?

Et le RGPD dans tout ça ?


L’IA Act en bref

L’IA Act (UE 2024/1689) est entré en vigueur le 1er août 2024. Il s’applique à toute organisation européenne – ou opérant dans l’UE – qui conçoit, déploie ou met sur le marché des systèmes d’intelligence artificielle.

Ce règlement repose sur une logique fondée sur le niveau de risque :

  • Risque inacceptable : systèmes interdits.
  • Risque élevé : systèmes strictement encadrés (emploi, justice, santé, sécurité…).
  • Risque limité : obligations d’information.
  • Risque minimal : usage libre, sans obligations.

Un calendrier progressif… mais serré

2 février 2025 : Interdiction des pratiques à risque inacceptable

Certaines technologies formellement interdites, notamment :

  • La reconnaissance émotionnelle en entreprise.
  • Le scoring social basé sur le comportement.
  • L’analyse biométrique à grande échelle sans consentement.

À cette date, toute entreprise utilisant encore ces systèmes s’expose à de lourdes sanctions.


2 août 2025 : Début de l’application des sanctions

À partir de cette date, les autorités nationales pourront infliger des amendes en cas de non-respect du règlement, y compris :

  • Absence de documentation ou d’analyse d’impact.
  • Non-respect des obligations pour les IA à haut risque.
  • Usage de GPAI sans conformité (IA génératives, assistants, modèles fondationnels…).


Août 2026 : Application complète pour tous les systèmes

C’est la pleine entrée en vigueur du règlement : toutes les entreprises devront être prêtes.

2027 : Entrée en vigueur progressive pour les modèles d’IA générative à usage général (GPAI)
Les modèles fondationnels, comme les grands modèles de langage ou d’image, bénéficieront d’une période transitoire supplémentaire. Leurs obligations spécifiques, notamment en matière de transparence, de sécurité et de documentation, entreront en vigueur de manière progressive jusqu’en 2027.


Les fournisseurs de ces modèles devront notamment :

  • Fournir une documentation technique complète.
  • Évaluer et limiter les risques systémiques.
  • Étiqueter clairement les contenus générés comme artificiels.


Le règlement prévoit un régime de sanctions graduées, comparable au RGPD :

InfractionAmende maximale
Usage d’un système interdit35 millions € ou 7 % du chiffre d’affaires
Non-conformité à une obligation « haut risque »15 millions € ou 3 % du chiffre d’affaires
Informations trompeuses aux autorités7,5 millions € ou 1 % du chiffre d’affaires


Qui est concerné par l’IA Act ?

Toutes les entreprises impliquées dans l’IA, directement ou indirectement :

  • Fournisseurs (éditeurs, développeurs, laboratoires IA).
  • Déployeurs (utilisateurs professionnels).
  • Distributeurs ou importateurs.
  • Même les entreprises qui achètent des outils tiers intégrant de l’IA peuvent être co-responsables de leur conformité.


Comment s’y préparer ?

Voici les 6 actions essentielles à engager dès maintenant :

  1. Identifier tous les systèmes IA utilisés ou en projet.
  2. Évaluer leur niveau de risque selon la classification de l’IA Act.
  3. Écarter ou remplacer toute IA relevant des pratiques interdites.
  4. Mettre en conformité les IA à haut risque (documentation, transparence, auditabilité…).
  5. Former les équipes et désigner des référents IA.
  6. Vérifier la conformité des fournisseurs et sous-traitants IA.


Et le RGPD dans tout ça ?

L’IA Act ne remplace pas le RGPD : les deux règlements s’appliquent conjointement. Toute entreprise devra s’assurer que ses systèmes IA respectent à la fois :

  • Les règles de sécurité, loyauté et transparence du RGPD.
  • Les obligations techniques et organisationnelles de l’IA Act.


Envie d’aller plus loin ?

Une formation spécialement dédié sur l’IA et le RGPD est déjà disponible.

Découvrez notre formation

Besoin de mettre en conformité vos pratiques ? : contactez-nous

Retour aux actualités
Partager l'article

Articles similaires

Cookies et consentements : les sanctions exemplaires de la CNIL envers Google et Shein
Article RGPD Minute RGPD

Cookies et consentements : les sanctions exemplaires de la CNIL envers Google et Shein

Lire la suite
Meta et l’IA : une enquête révèle que seuls 7 % des utilisateurs européens soutiennent l’usage de leurs données
Article RGPD Minute RGPD

Meta et l’IA : une enquête révèle que seuls 7 % des utilisateurs européens soutiennent l’usage de leurs données

Meta s’expose à une nouvelle tempête réglementaire en Europe. Le groupe de Mark Zuckerberg a commencé à utiliser les données personnelles des utilisateurs européens de Facebook et Instagram pour entraîner ses modèles d’intelligence artificielle. Contrairement à ce que prévoit le Règlement général sur la protection des données (RGPD), l’entreprise n’a pas sollicité de consentement explicite. Elle invoque plutôt la base juridique de "l’intérêt légitime".
Lire la suite