AI Act 2026 : Le Guide Complet des Obligations pour Votre Entreprise

L'AI Act : le RGPD de l'intelligence artificielle

Souvenez-vous du 25 mai 2018. Le RGPD entrait en vigueur et bouleversait la gestion des données personnelles. Beaucoup d'entreprises ont été prises de court. Sanctions, mises en conformité précipitées, panique générale.

L'histoire se répète avec l'AI Act.

Adopté en mars 2024, le règlement européen sur l'intelligence artificielle (officiellement "Artificial Intelligence Act" ou "AI Act") est le premier cadre juridique mondial sur l'IA. Et il entre en application progressive depuis 2025.

Contrairement au RGPD qui concernait principalement les données personnelles, l'AI Act vise tous les systèmes d'intelligence artificielle utilisés dans l'Union européenne. Et la définition est large : chatbots, générateurs d'images, outils de recommandation, assistants virtuels, algorithmes de tri de CV...

Si vous utilisez ChatGPT, Midjourney, un chatbot sur votre site, ou même un simple système de recommandation de produits, vous êtes concerné.

Dans cet article, je vais vous expliquer concrètement ce que l'AI Act impose à votre entreprise, quelles sont vos obligations selon votre utilisation de l'IA, et comment vous mettre en conformité rapidement.

Qu'est-ce que l'AI Act exactement ?

Un règlement européen, pas une directive

Comme le RGPD, l'AI Act est un règlement (et non une directive). Cela signifie qu'il s'applique directement dans tous les pays de l'UE, sans transposition nationale. Les mêmes règles s'appliquent en France, en Allemagne, en Italie, partout.

Objectifs du règlement

L'AI Act poursuit trois objectifs principaux :

1. Protéger les droits fondamentaux des citoyens européens face aux risques de l'IA (discrimination, manipulation, surveillance...)
2. Créer un cadre de confiance pour favoriser l'innovation responsable
3. Harmoniser les règles au niveau européen (éviter 27 législations différentes)

L'approche par les risques

L'AI Act ne traite pas toutes les IA de la même façon. Il adopte une approche graduée basée sur le niveau de risque du système d'IA.

Plus le risque est élevé, plus les obligations sont strictes. Logique.

Les 4 niveaux de risque de l'AI Act

L'AI Act classe les systèmes d'IA en 4 catégories de risque, chacune avec ses propres règles.

Niveau 1 : Risque inacceptable (INTERDIT)

Certaines utilisations de l'IA sont purement et simplement interdites car considérées comme contraires aux valeurs européennes.

IA interdites :

• Notation sociale : Systèmes de "crédit social" à la chinoise évaluant les citoyens
• Manipulation subliminale : IA exploitant les vulnérabilités psychologiques pour manipuler les comportements
• Reconnaissance faciale en temps réel dans l'espace public (sauf exceptions police/sécurité très encadrées)
• Catégorisation biométrique basée sur des données sensibles (origine ethnique, orientation sexuelle, opinions politiques...)
• Scraping facial : Constitution de bases de données de visages à partir d'internet ou de vidéosurveillance sans consentement
• Reconnaissance des émotions sur le lieu de travail et dans les établissements scolaires

Sanction : Jusqu'à 35 millions d'euros ou 7% du CA mondial.

Calendrier : Ces interdictions sont en vigueur depuis février 2025.

Niveau 2 : Risque élevé (TRÈS RÉGLEMENTÉ)

Les systèmes d'IA "à haut risque" sont autorisés, mais soumis à des obligations strictes avant mise sur le marché et pendant toute leur utilisation.

Domaines concernés :

• Recrutement et RH : Tri de CV, évaluation de candidats, décisions d'embauche, promotion, licenciement assistés par IA
• Éducation : Notation automatique, orientation scolaire, détection de triche
• Accès aux services essentiels : Crédit bancaire, assurance, logement social
• Maintien de l'ordre : Évaluation des risques criminels, détection de fraude
• Migration et frontières : Vérification d'identité, évaluation des demandes de visa/asile
• Justice : Aide à la décision judiciaire
• Infrastructures critiques : Gestion du trafic, réseaux d'eau/électricité
• Santé : Dispositifs médicaux utilisant l'IA pour le diagnostic

Obligations pour les systèmes à haut risque :

• Évaluation de conformité avant mise sur le marché
• Documentation technique détaillée (conception, fonctionnement, données d'entraînement...)
• Système de gestion des risques tout au long du cycle de vie
• Gouvernance des données (qualité, représentativité, absence de biais)
• Traçabilité : logs automatiques pendant toute la durée d'utilisation
• Transparence : information claire des utilisateurs
• Supervision humaine : possibilité d'intervention/correction humaine
• Robustesse et cybersécurité : protection contre les attaques
• Enregistrement dans une base de données européenne

Sanction en cas de non-conformité : Jusqu'à 15 millions d'euros ou 3% du CA mondial.

Calendrier : Application à partir d'août 2026 (avec extensions possibles jusqu'à 2027 pour certains cas).

Niveau 3 : Risque limité (OBLIGATIONS DE TRANSPARENCE)

C'est la catégorie qui concerne la majorité des TPE/PME. Les systèmes à "risque limité" sont autorisés avec une obligation principale : la transparence.

Systèmes concernés :

• Chatbots et assistants virtuels : Tout système avec lequel un utilisateur peut converser
• Systèmes de génération de contenu : Textes, images, vidéos, audio générés par IA
• Deepfakes : Contenus synthétiques imitant des personnes réelles
• Systèmes de reconnaissance d'émotions (hors travail/école, sinon c'est interdit)
• Systèmes de catégorisation biométrique (hors données sensibles, sinon c'est interdit)

Obligation principale : TRANSPARENCE

Vous devez informer clairement les utilisateurs :

1. Pour les chatbots : L'utilisateur doit savoir qu'il interagit avec une IA (et non un humain)
2. Pour les contenus générés par IA : Les contenus (textes, images, vidéos, audio) doivent être identifiés comme étant générés par IA
3. Pour les deepfakes : Étiquetage obligatoire et visible

Sanction en cas de non-transparence : Jusqu'à 7,5 millions d'euros ou 1,5% du CA mondial.

Calendrier : Applicable depuis août 2025. Vous devez déjà être conforme !

Niveau 4 : Risque minimal (PAS D'OBLIGATION SPÉCIFIQUE)

La grande majorité des systèmes d'IA relèvent du "risque minimal" et ne sont soumis à aucune obligation spécifique de l'AI Act.

Exemples :

• Filtres anti-spam
• Correcteurs orthographiques
• Systèmes de recommandation de contenu (Netflix, Spotify...)
• Jeux vidéo utilisant l'IA
• Optimisation de prix (dynamic pricing)
• Traduction automatique (DeepL, Google Translate)

Attention : "Pas d'obligation AI Act" ne signifie pas "pas d'obligation du tout". Le RGPD s'applique toujours si des données personnelles sont traitées !

Concrètement, qu'est-ce que ça change pour votre site web ?

Passons aux cas pratiques. Voici ce que l'AI Act implique pour les usages les plus courants.

Cas 1 : Vous avez un chatbot sur votre site

Situation : Vous utilisez un chatbot IA (Intercom, Drift, Crisp avec IA, chatbot custom basé sur ChatGPT...) pour répondre aux questions de vos visiteurs.

Classification AI Act : Risque limité

Obligation : Informer clairement l'utilisateur qu'il interagit avec une IA.

Comment faire :

• Message d'accueil du chatbot : "Bonjour ! Je suis un assistant virtuel alimenté par l'intelligence artificielle. Comment puis-je vous aider ?"
• OU mention visible à côté du chatbot : "Assistant IA", "Chatbot IA"
• ET mention dans vos mentions légales / politique de confidentialité

Ce qui n'est PAS suffisant :

• Un chatbot qui se fait passer pour un humain ("Bonjour, je suis Marie de l'équipe support")
• Aucune mention de l'IA nulle part
• Une mention cachée en tout petit dans les CGU

Cas 2 : Vous utilisez des images générées par IA

Situation : Vous créez des visuels avec Midjourney, DALL-E ou Stable Diffusion pour votre site, vos réseaux sociaux, vos supports marketing.

Classification AI Act : Risque limité (contenu synthétique)

Obligation : Identifier les contenus comme générés par IA.

Comment faire :

• Mention dans les métadonnées de l'image (si techniquement possible)
• OU légende visible : "Illustration générée par IA"
• OU mention générale dans vos mentions légales : "Certaines illustrations de ce site sont générées par intelligence artificielle"

Nuance importante : L'AI Act cible principalement les deepfakes et contenus pouvant induire en erreur. Pour des illustrations décoratives clairement "artistiques", l'obligation est moins stricte. Mais par précaution, mentionnez-le.

Cas 3 : Vous rédigez du contenu avec ChatGPT/Claude

Situation : Vous utilisez l'IA générative pour rédiger des articles de blog, des descriptions produits, des emails marketing...

Classification AI Act : Risque limité (potentiellement)

Obligation : Zone grise. L'AI Act vise surtout les contenus "synthétiques" pouvant tromper le public. Un article de blog relu et validé par un humain n'est pas exactement la même chose qu'un texte 100% automatisé.

Notre recommandation :

• Minimum : Mention générale dans vos mentions légales : "Certains contenus de ce site sont assistés par des outils d'intelligence artificielle"
• Idéal : Ajouter "Contenu vérifié par notre équipe" pour rassurer et montrer la supervision humaine

Cas 4 : Vous avez un système de recommandation produits

Situation : Votre e-commerce affiche "Vous aimerez aussi..." ou "Les clients ayant acheté X ont aussi acheté Y" basé sur un algorithme.

Classification AI Act : Risque minimal

Obligation AI Act : Aucune obligation spécifique.

MAIS attention au RGPD : Si votre système de recommandation crée un "profil" de l'utilisateur basé sur son comportement, c'est du profilage au sens du RGPD. Vous devez le mentionner dans votre politique de confidentialité et permettre de s'y opposer.

Cas 5 : Vous utilisez l'IA pour le recrutement

Situation : Vous utilisez un logiciel qui trie automatiquement les CV, analyse les lettres de motivation, ou évalue les candidats avec l'IA.

Classification AI Act : Risque élevé

Obligations : Nombreuses et strictes (voir section "haut risque" ci-dessus).

Ce que vous devez faire :

• Vérifier que votre fournisseur de logiciel est conforme à l'AI Act (documentation, certification...)
• Documenter votre utilisation et les décisions prises
• Garantir une supervision humaine (ne jamais automatiser complètement une décision de recrutement)
• Informer les candidats que l'IA est utilisée dans le processus
• Permettre aux candidats de contester une décision automatisée

Calendrier de l'AI Act : où en sommes-nous en janvier 2026 ?

L'AI Act s'applique progressivement. Voici le calendrier complet :

Date	Ce qui s'applique	Statut (janvier 2026)
1er août 2024	Entrée en vigueur du règlement	Passé
2 février 2025	Interdictions des IA à risque inacceptable	En vigueur
2 août 2025	Obligations de transparence (chatbots, deepfakes, contenus IA)	En vigueur
2 août 2025	Règles pour les modèles d'IA à usage général (GPT-4, Claude, etc.)	En vigueur
2 août 2026	Obligations pour les systèmes à haut risque (recrutement, crédit, santé...)	Dans 7 mois
2 août 2027	Application complète à tous les systèmes (y compris produits déjà sur le marché)	Dans 19 mois

Où en êtes-vous ?

En janvier 2026 :

• Les interdictions sont en vigueur (mais vous n'êtes probablement pas concerné)
• Les obligations de transparence sont en vigueur → Vous devez déjà être conforme si vous avez un chatbot IA ou des contenus générés par IA
• Les obligations "haut risque" arrivent dans 7 mois → Anticipez si vous êtes concerné (recrutement, scoring...)

Les sanctions de l'AI Act

L'AI Act prévoit des sanctions graduées selon la gravité de la violation.

Barème des sanctions

Type de violation	Sanction maximale
Utilisation d'une IA interdite (risque inacceptable)	35 M€ ou 7% du CA mondial
Non-conformité IA à haut risque	15 M€ ou 3% du CA mondial
Non-respect des obligations de transparence	7,5 M€ ou 1,5% du CA mondial
Fausses informations aux autorités	7,5 M€ ou 1% du CA mondial

Pour les PME et startups : Des sanctions réduites sont prévues (plafonds en valeur absolue plutôt qu'en % du CA).

Qui contrôle ?

Chaque État membre doit désigner une autorité nationale de surveillance. En France, c'est la CNIL qui a été pressentie pour ce rôle, en coordination avec d'autres autorités sectorielles.

Les contrôles devraient commencer sérieusement à partir de 2026-2027, une fois le cadre pleinement opérationnel.

Comment ajouter les mentions IA obligatoires sur votre site

Concrètement, si vous utilisez de l'IA sur votre site (chatbot, contenus générés, images IA...), vous devez informer vos visiteurs. Voici comment.

Option 1 : Section dédiée dans vos mentions légales

Ajoutez une section "Utilisation de l'Intelligence Artificielle" dans vos mentions légales existantes.

Exemple de mention :

Utilisation de l'Intelligence Artificielle

Dans un souci de transparence, nous vous informons que ce site utilise des outils d'intelligence artificielle pour certains contenus et fonctionnalités.

Types de contenus concernés :

• Certains textes descriptifs et articles peuvent être assistés par IA
• Des illustrations peuvent être générées par intelligence artificielle
• Un assistant conversationnel (chatbot) utilise l'IA pour répondre à vos questions

Notre engagement :

• Tous les contenus générés par IA sont vérifiés et validés par notre équipe
• L'IA est utilisée comme outil d'assistance, non de remplacement
• Nous nous engageons à maintenir la qualité et l'exactitude des informations

Pour toute question concernant notre utilisation de l'IA, contactez-nous à [email].

Option 2 : Page dédiée "Notre utilisation de l'IA"

Pour une transparence maximale, créez une page dédiée accessible depuis votre footer (comme vous avez "Mentions légales", "Politique de confidentialité", vous pouvez ajouter "Utilisation de l'IA").

Option 3 : Mentions contextuelles

En plus de la mention générale, ajoutez des indications là où l'IA est utilisée :

• Chatbot : Message d'accueil précisant que c'est un assistant IA
• Articles de blog : Mention en fin d'article "Cet article a été rédigé avec l'assistance de l'IA et vérifié par notre équipe"
• Images : Légende "Illustration générée par IA"

Checklist : êtes-vous conforme à l'AI Act ?

Évaluez votre situation avec cette checklist rapide.

Étape 1 : Identifier vos usages d'IA

Listez TOUS les outils d'IA que vous utilisez :

• ChatGPT, Claude, Gemini (rédaction)
• Midjourney, DALL-E, Stable Diffusion (images)
• Chatbot sur le site (Intercom, Crisp, Drift, custom...)
• Traduction automatique (DeepL, Google Translate)
• Recommandation de produits (e-commerce)
• Outils de recrutement avec IA
• Scoring/évaluation de clients
• Autres : _______________

Étape 2 : Classifier le niveau de risque

Pour chaque usage, déterminez le niveau de risque :

• Chatbot, images IA, textes IA : Risque limité → Obligation de transparence
• Recommandations, traduction : Risque minimal → Pas d'obligation AI Act (mais RGPD si données perso)
• Recrutement, scoring crédit, santé : Risque élevé → Obligations strictes

Étape 3 : Vérifier la conformité transparence

Si vous avez un chatbot IA :

• Le chatbot indique clairement qu'il est une IA
• Message d'accueil ou label visible "Assistant IA"
• Mention dans les mentions légales

Si vous utilisez des images générées par IA :

• Mention générale dans les mentions légales
• OU légendes sur les images concernées

Si vous utilisez l'IA pour rédiger du contenu :

• Mention dans les mentions légales
• Précision que le contenu est vérifié par des humains (recommandé)

Étape 4 : Vérifier la conformité RGPD (complémentaire)

• Les outils IA utilisés sont mentionnés dans votre politique de confidentialité
• Si transfert de données hors UE (OpenAI, Google...) : mentionné + clauses contractuelles
• Vous ne mettez pas de données personnelles de clients dans ChatGPT/Claude sans précautions

Étape 5 : Anticiper le "haut risque" (si concerné)

Si vous utilisez de l'IA pour le recrutement ou le scoring :

• Votre fournisseur a confirmé la conformité AI Act de son outil
• Vous documentez l'utilisation et les décisions
• Une supervision humaine est garantie
• Les personnes concernées sont informées de l'utilisation de l'IA

FAQ : Questions fréquentes sur l'AI Act

Je suis une TPE, suis-je vraiment concerné ?

Oui. L'AI Act s'applique à toutes les entreprises qui utilisent des systèmes d'IA dans l'UE, quelle que soit leur taille. Cependant, les obligations sont proportionnelles : une TPE avec un simple chatbot n'aura que des obligations de transparence (légères), tandis qu'une entreprise utilisant l'IA pour le recrutement aura des obligations lourdes.

Dois-je indiquer que j'utilise ChatGPT pour écrire mes articles ?

Recommandé, pas strictement obligatoire (pour l'instant). L'AI Act cible surtout les contenus pouvant induire en erreur. Un article de blog relu par un humain n'est pas un "deepfake". Mais par transparence et pour anticiper les évolutions, mentionnez-le dans vos mentions légales.

Mon chatbot ne collecte pas de données personnelles. Dois-je quand même informer les utilisateurs ?

Oui. L'obligation de transparence de l'AI Act est indépendante du RGPD. Même si vous ne collectez aucune donnée, vous devez informer l'utilisateur qu'il interagit avec une IA.

J'utilise des images Midjourney pour mon site. Que dois-je faire ?

Minimum : Ajoutez une mention dans vos mentions légales indiquant que certaines illustrations sont générées par IA. Idéal : Ajoutez une légende sur les images concernées.

Les recommandations de produits sur mon e-commerce sont-elles concernées ?

Risque minimal selon l'IA Act = pas d'obligation spécifique. Mais attention au RGPD si vous faites du profilage (créer un "profil" de l'utilisateur basé sur son comportement). Mentionnez-le dans votre politique de confidentialité.

Que se passe-t-il si je ne fais rien ?

Pour l'instant, peu de contrôles sont effectués (2026 est encore une période de rodage). Mais les sanctions peuvent être lourdes (jusqu'à 7,5M€ pour manque de transparence). Et comme pour le RGPD, les contrôles vont s'intensifier avec le temps. Mieux vaut anticiper.

En résumé : vos 5 actions prioritaires

L'AI Act est arrivé. Voici ce que vous devez faire maintenant :

1. Lister tous vos usages d'IA (chatbot, images, textes, recommandations, recrutement...)
2. Classifier le niveau de risque de chaque usage (minimal, limité, élevé)
3. Ajouter les mentions de transparence si vous avez un chatbot ou des contenus générés par IA (obligatoire depuis août 2025)
4. Mettre à jour votre politique RGPD pour mentionner les outils IA et les éventuels transferts hors UE
5. Anticiper août 2026 si vous utilisez de l'IA "haut risque" (recrutement, scoring...)

RGPDKit vous accompagne dans cette mise en conformité.

Notre générateur de documents légaux inclut désormais :

• Une section "Mentions IA" personnalisée selon vos usages
• L'intégration automatique des mentions IA dans vos mentions légales
• La mise à jour de votre politique de confidentialité pour les outils IA
• Un guide d'intégration pour votre chatbot (message d'accueil conforme)

Découvrez notre page dédiée aux mentions IA →

Générez vos mentions légales avec section IA incluse →

L'AI Act est une opportunité de montrer votre engagement éthique et votre transparence. Ne le voyez pas comme une contrainte, mais comme un avantage concurrentiel. Les consommateurs sont de plus en plus sensibles à l'authenticité et à la transparence.

Notre conseil : Facilitez votre conformité grâce à AiActo.eu.

Soyez parmi les premiers à être conformes. Mettez votre site en conformité AI Act dès aujourd'hui pour 9€ →