EU AI Act : ce que ça change pour l'IA en entreprise

L'EU AI Act est la première réglementation au monde spécifiquement dédiée à l'intelligence artificielle. Adoptée en 2024, ses obligations deviennent concrètes et applicables en 2026. Si vous utilisez de l'IA dans votre entreprise — même juste ChatGPT pour rédiger des emails — cet article vous concerne.

L'essentiel en 60 secondes

• L'EU AI Act classe les systèmes IA par niveau de risque : minimal, limité, élevé, inacceptable
• Les systèmes à risque élevé (RH, crédit, santé, justice) doivent être documentés, audités et surveillés
• Les fournisseurs d'IA (OpenAI, Microsoft, Google) ont des obligations de transparence
• Les entreprises utilisatrices ont aussi des obligations (pas juste les fournisseurs)
• Les amendes vont jusqu'à 35 millions d'euros ou 7% du CA mondial
• Le RGPD s'applique en parallèle — double contrainte pour les données personnelles

Les 4 niveaux de risque

L'EU AI Act ne traite pas toutes les IA de la même manière. Il distingue 4 niveaux de risque, chacun avec des obligations proportionnelles.

• Risque inacceptable (INTERDIT) : scoring social, manipulation subliminale, surveillance biométrique de masse en temps réel
• Risque élevé (ENCADRÉ) : IA dans le recrutement, le crédit bancaire, la justice, la santé, l'éducation, les infrastructures critiques
• Risque limité (TRANSPARENT) : chatbots, deepfakes, systèmes de recommandation — obligation de transparence (dire que c'est de l'IA)
• Risque minimal (LIBRE) : filtres anti-spam, jeux vidéo, assistants de rédaction — pas d'obligation spécifique

Concrètement, qu'est-ce qui change pour une PME ?

Si vous utilisez ChatGPT pour rédiger des emails ou synthétiser des notes de réunion, le risque est minimal. Vous n'avez pas d'obligation spécifique liée à l'EU AI Act (mais le RGPD s'applique toujours pour les données personnelles).

En revanche, si vous utilisez l'IA pour prendre des décisions qui affectent des personnes — tri de CV dans le recrutement, scoring de crédit, diagnostic médical assisté, gestion automatisée des ressources humaines — vous êtes dans la catégorie "risque élevé" et vous devez :

• Documenter votre utilisation de l'IA (quel système, pour quoi, quelles données)
• Garantir la traçabilité des décisions (pourquoi l'IA a recommandé X)
• Mettre en place une supervision humaine (un humain valide les décisions de l'IA)
• Réaliser des évaluations d'impact sur les droits fondamentaux
• Tenir un registre des systèmes IA utilisés
• Informer les personnes concernées qu'une IA est impliquée

Le piège du Cloud Act américain

Utiliser ChatGPT Enterprise, Copilot ou Google Gemini signifie que vos données transitent par des serveurs contrôlés par des entreprises américaines. Le Cloud Act (2018) permet aux autorités US d'accéder à ces données, même si elles sont physiquement hébergées en Europe. C'est un conflit direct avec le RGPD.

L'EU AI Act renforce cette exigence : les entreprises européennes doivent pouvoir prouver que leur IA respecte les droits fondamentaux des citoyens de l'UE. Si vos données partent aux US via Copilot, vous ne pouvez pas garantir ça.

Ce n'est pas un risque théorique. Des entreprises européennes ont déjà été sanctionnées pour des transferts de données non conformes vers les US (arrêt Schrems II). Avec l'EU AI Act, les enjeux sont encore plus élevés.

Les obligations des fournisseurs d'IA

OpenAI, Microsoft, Google et les autres fournisseurs de modèles d'IA ont leurs propres obligations sous l'EU AI Act. Ils doivent notamment documenter leurs modèles, évaluer les risques, et mettre en place des mesures de mitigation. Mais ces obligations ne vous déchargent pas des vôtres en tant qu'utilisateur.

Autrement dit : même si OpenAI est conforme EU AI Act, VOUS devez quand même documenter comment vous utilisez ChatGPT dans votre entreprise et vous assurer que vos données sont traitées conformément au RGPD.

La solution : l'IA souveraine européenne

Une IA souveraine, c'est une IA hébergée en Europe, chez un hébergeur européen, qui ne transfère aucune donnée hors UE, et qui est conforme RGPD et EU AI Act par conception. Pas par rustine après coup — par conception.

C'est exactement ce que fait Léa, l'assistant IA d'ABK Digital : hébergée chez OVH en France (datacenter de Gravelines), avec une intelligence adaptative multi-niveaux, connectée à vos outils internes, et conforme RGPD et EU AI Act by design.

Par où commencer ?

Commencez par évaluer votre situation actuelle. Notre diagnostic maturité IA en 6 questions identifie votre niveau, détecte les risques de souveraineté (si vos données sont sur un cloud US), et vous donne des recommandations concrètes. C'est gratuit, ça prend 3 minutes, et ça peut vous éviter des problèmes à 35 millions d'euros.