IA ACT : que risquent les entreprises non conformes ?

IA ACT : que risquent les entreprises non conformes ?
Article RGPD Minute RGPD

Adopté en 2024, le règlement européen sur l’intelligence artificielle (IA Act) marque un tournant pour toutes les organisations qui conçoivent, utilisent ou intègrent de l’intelligence artificielle. Mais quelles sont les vraies conséquences en cas de non-conformité ? Et surtout, quelles sont les dates à ne pas manquer pour éviter les sanctions ?

Sommaire

L’IA Act en bref

Un calendrier progressif… mais serré

Qui est concerné par l’IA Act ?

Comment s’y préparer ?

Et le RGPD dans tout ça ?


L’IA Act en bref

L’IA Act (UE 2024/1689) est entré en vigueur le 1er août 2024. Il s’applique à toute organisation européenne – ou opérant dans l’UE – qui conçoit, déploie ou met sur le marché des systèmes d’intelligence artificielle.

Ce règlement repose sur une logique fondée sur le niveau de risque :

  • Risque inacceptable : systèmes interdits.
  • Risque élevé : systèmes strictement encadrés (emploi, justice, santé, sécurité…).
  • Risque limité : obligations d’information.
  • Risque minimal : usage libre, sans obligations.

Un calendrier progressif… mais serré

2 février 2025 : Interdiction des pratiques à risque inacceptable

Certaines technologies formellement interdites, notamment :

  • La reconnaissance émotionnelle en entreprise.
  • Le scoring social basé sur le comportement.
  • L’analyse biométrique à grande échelle sans consentement.

À cette date, toute entreprise utilisant encore ces systèmes s’expose à de lourdes sanctions.


2 août 2025 : Début de l’application des sanctions

À partir de cette date, les autorités nationales pourront infliger des amendes en cas de non-respect du règlement, y compris :

  • Absence de documentation ou d’analyse d’impact.
  • Non-respect des obligations pour les IA à haut risque.
  • Usage de GPAI sans conformité (IA génératives, assistants, modèles fondationnels…).


Août 2026 : Application complète pour tous les systèmes

C’est la pleine entrée en vigueur du règlement : toutes les entreprises devront être prêtes.

2027 : Entrée en vigueur progressive pour les modèles d’IA générative à usage général (GPAI)
Les modèles fondationnels, comme les grands modèles de langage ou d’image, bénéficieront d’une période transitoire supplémentaire. Leurs obligations spécifiques, notamment en matière de transparence, de sécurité et de documentation, entreront en vigueur de manière progressive jusqu’en 2027.


Les fournisseurs de ces modèles devront notamment :

  • Fournir une documentation technique complète.
  • Évaluer et limiter les risques systémiques.
  • Étiqueter clairement les contenus générés comme artificiels.


Le règlement prévoit un régime de sanctions graduées, comparable au RGPD :

InfractionAmende maximale
Usage d’un système interdit35 millions € ou 7 % du chiffre d’affaires
Non-conformité à une obligation « haut risque »15 millions € ou 3 % du chiffre d’affaires
Informations trompeuses aux autorités7,5 millions € ou 1 % du chiffre d’affaires


Qui est concerné par l’IA Act ?

Toutes les entreprises impliquées dans l’IA, directement ou indirectement :

  • Fournisseurs (éditeurs, développeurs, laboratoires IA).
  • Déployeurs (utilisateurs professionnels).
  • Distributeurs ou importateurs.
  • Même les entreprises qui achètent des outils tiers intégrant de l’IA peuvent être co-responsables de leur conformité.


Comment s’y préparer ?

Voici les 6 actions essentielles à engager dès maintenant :

  1. Identifier tous les systèmes IA utilisés ou en projet.
  2. Évaluer leur niveau de risque selon la classification de l’IA Act.
  3. Écarter ou remplacer toute IA relevant des pratiques interdites.
  4. Mettre en conformité les IA à haut risque (documentation, transparence, auditabilité…).
  5. Former les équipes et désigner des référents IA.
  6. Vérifier la conformité des fournisseurs et sous-traitants IA.


Et le RGPD dans tout ça ?

L’IA Act ne remplace pas le RGPD : les deux règlements s’appliquent conjointement. Toute entreprise devra s’assurer que ses systèmes IA respectent à la fois :

  • Les règles de sécurité, loyauté et transparence du RGPD.
  • Les obligations techniques et organisationnelles de l’IA Act.


Envie d’aller plus loin ?

Une formation spécialement dédié sur l’IA et le RGPD est déjà disponible.

Découvrez notre formation

Besoin de mettre en conformité vos pratiques ? : contactez-nous

Retour aux actualités
Partager l'article

Articles similaires

OpenAI lance ChatGPT Atlas : le navigateur qui agit à votre place
Article RGPD Minute RGPD

OpenAI lance ChatGPT Atlas : le navigateur qui agit à votre place

OpenAI vient de dévoiler ChatGPT Atlas, son tout nouveau navigateur web intégrant directement son célèbre chatbot. Avec Atlas, OpenAI réunit deux outils en un seul : un navigateur web et un assistant conversationnel. Le résultat ? Un compagnon d’écran qui ne se contente plus de vous aider dans une fenêtre dédiée, mais vous suit partout sur le Web.
Lire la suite
L’IA sur LinkedIn, entre promesse et réalité de la conformité
Article RGPD Minute RGPD

L’IA sur LinkedIn, entre promesse et réalité de la conformité

Sur LinkedIn, les promesses avec l’intelligence artificielle se multiplient. On vous assure un gain de temps spectaculaire simplement grâce à un « petit prompt » bien formulé dans un assistant IA. Séduisant non ? Qui ne rêve pas de gagner du temps sur son travail ? Cependant, la promesse de rapidité cache un point essentiel : le cadre de la conformité.
Lire la suite