L'EU AI Act ne parle pas
à votre DSI.
Il parle à vous.
tointelligence · omer taki
· la réalité du texte

Ce que l'EU AI Act impose réellement aux dirigeants.

La majorité des discussions sur l'EU AI Act se focalisent sur les fournisseurs de systèmes IA : OpenAI, Mistral, les éditeurs. C'est une erreur de lecture. Le règlement crée deux catégories d'acteurs : les fournisseurs (qui développent les systèmes) et les opérateurs (qui les déploient). Si votre organisation utilise un système IA, elle est opérateur, et les obligations d'opérateur sont substantielles.

Pour les systèmes à haut risque, les obligations incluent : la supervision humaine effective, la tenue d'une documentation technique, la gestion des risques, la transparence envers les régulateurs, et la notification des incidents. Ces obligations ne peuvent pas être déléguées à un fournisseur externe. Elles relèvent de votre organisation.

Si vous déployez un système IA, vous êtes opérateur. Les obligations d'opérateur ne disparaissent pas parce que vous avez externalisé le développement.
· les systèmes à haut risque

Vous utilisez peut-être déjà des systèmes à haut risque.

L'EU AI Act définit les systèmes à haut risque par leur domaine d'application. Pour une ETI ou grande entreprise française, les cas les plus fréquents sont :

· ressources humaines

Les outils IA utilisés dans le recrutement, l'évaluation des performances, la gestion des promotions ou les décisions de licenciement sont classés à haut risque. Si vous utilisez un ATS avec scoring IA ou un outil d'évaluation automatisée, vérifiez votre classification.

· crédit et finance

Les systèmes IA qui influencent des décisions de crédit, d'assurance ou d'évaluation de solvabilité. Cela inclut les outils de scoring client, d'analyse du risque et de détection de fraude qui produisent des recommandations automatisées.

· infrastructure critique et services essentiels

Les systèmes IA dans la gestion d'infrastructure énergétique, de transport, d'eau, ou de services publics essentiels sont à haut risque. Les opérateurs dans ces secteurs ont des obligations particulièrement étendues.

· le calendrier réel

Ce qui est déjà applicable et ce qui arrive.

déjà applicable
Interdictions absolues
Les pratiques IA interdites (manipulation subliminale, notation sociale, exploitation de vulnérabilités) sont applicables depuis février 2025. Si vous utilisez ces pratiques, vous êtes déjà en infraction.
août 2026
Systèmes à haut risque
Les obligations complètes pour les opérateurs de systèmes à haut risque entrent en vigueur. C'est la date critique pour la majorité des organisations utilisant l'IA dans les RH, le crédit ou les services essentiels.
2027
Systèmes d'usage général
Les obligations pour les modèles d'IA à usage général (GPAI) entrent pleinement en vigueur. Cela concerne principalement les fournisseurs, mais impacte les conditions d'accès aux modèles que vous utilisez.
· les 3 obligations immédiates

Ce que vous devez faire maintenant.

1. Inventorier vos systèmes IA et les classifier. Quels systèmes IA utilisez-vous ? Dans quels domaines ? Producent-ils des décisions ou des recommandations qui affectent des personnes ? Cette cartographie est le prérequis de toute démarche de conformité.

2. Évaluer votre statut d'opérateur. Pour chaque système à haut risque identifié, quelles obligations s'appliquent à votre organisation en tant qu'opérateur ? La supervision humaine est-elle réelle ou nominale ? La documentation existe-t-elle ?

3. Structurer la gouvernance au niveau approprié. Les obligations EU AI Act pour les systèmes à haut risque doivent être portées par la direction générale, pas uniquement par la DSI ou le DPO. La conformité nécessite une décision exécutive sur les ressources, les processus et les responsabilités.