Planifier un RDV
Planifier un RDV

Quelles sont les obligations des entreprises face à l’AI ACT ?

17 juillet 2025

Un chef d’entreprise échange avec un robot IA sur les obligations réglementaires du règlement IA ACT dans un contexte professionnel.

Les obligations AI ACT imposent aux entreprises de structurer, documenter et superviser leurs usages de l’intelligence artificielle, sous peine de sanctions.

L’IA ACT, ou Règlement européen sur l’intelligence artificielle, s’impose progressivement comme un texte fondamental pour les entreprises européennes. Applicable par étapes à partir de 2025, ce règlement pose les bases d’un cadre légal exigeant, structurant et responsabilisant l’usage de l’IA dans les organisations. Pour les PME, les services logistiques, les responsables digitaux ou encore les équipes supply chain, l’impact n’est pas théorique : il touche déjà les pratiques d’analyse, d’automatisation, de relation client ou de prévision.

Dans ce contexte, comprendre les obligations des entreprises face à l’IA ACT devient un enjeu de conformité, mais aussi un levier stratégique. Car au-delà des contraintes réglementaires, ce nouveau cadre ouvre aussi des perspectives : sécuriser les investissements IA, renforcer la confiance des clients, et structurer les projets de transformation. Toutefois, naviguer dans ce paysage en mutation exige une lecture claire et pragmatique des textes, ainsi qu’une anticipation active des prochaines échéances.

Cet article propose donc un décryptage complet et actionnable de la situation actuelle (juillet 2025), en réponse directe à la requête « quelles sont les obligations des entreprises face à l’IA ACT ». Il explore également les évolutions attendues à court terme, à travers une approche résolument tournée vers les besoins concrets des PME. Objectif : sortir du flou juridique, éclairer les choix techniques et renforcer la posture de maîtrise face à l’intelligence artificielle réglementée.

Où en est l’application de l’AI ACT en juillet 2025 ?

Les étapes d’entrée en vigueur du règlement

Depuis sa publication au Journal officiel de l’Union européenne en mai 2024, l’IA ACT suit un calendrier précis. Bien qu’il n’entre pleinement en application qu’en 2026, plusieurs dispositions sont déjà effectives en juillet 2025, notamment celles concernant les modèles dits “à risque élevé” et les systèmes d’IA déployés dans des domaines sensibles comme la santé, la sécurité ou les droits fondamentaux.

Par exemple, les fournisseurs de modèles fondationnels (comme GPT, Claude, Mistral, etc.) sont déjà tenus à des exigences de transparence, de documentation technique et de gestion des biais. Cela impacte indirectement toutes les entreprises qui intègrent ces technologies dans leurs process, même sans les développer elles-mêmes.

Obligation d’inventaire et d’évaluation des usages IA

Les entreprises doivent désormais recenser les usages IA existants dans leurs systèmes. Ce recensement est une obligation implicite du principe de responsabilité qui sous-tend l’IA ACT. Il vise à permettre une classification claire : usage minimal, limité, à risque élevé ou prohibé. Ce classement détermine ensuite les obligations de conformité, notamment en matière de documentation, de transparence ou de gestion des risques.

De plus, une analyse d’impact IA est recommandée dès lors qu’un système est susceptible d’avoir un effet significatif sur les droits des personnes. Dans certains cas (ex. : recrutement algorithmique, notation de clients, surveillance), cette analyse devient obligatoire.

Premiers contrôles et sanctions possibles

Si la plupart des sanctions prévues (jusqu’à 35 millions d’euros ou 7 % du CA mondial) ne s’appliqueront qu’à partir de 2026, les autorités européennes peuvent déjà émettre des injonctions ou suspendre un service manifestement non conforme. Les États membres s’organisent progressivement pour désigner les autorités de contrôle et mettre en place des registres nationaux des IA à risque.

Quelles technologies sont concernées par les obligations de l’IA ACT dans les PME ?

L’intelligence artificielle ne se limite pas aux chatbots

Dans l’esprit de nombreuses entreprises, l’IA se résume encore à des assistants conversationnels ou des outils marketing. Pourtant, l’IA ACT adopte une définition très large, incluant des systèmes d’apprentissage automatique, de règles expertes, d’analyse prédictive ou de génération de contenus automatisée. Par conséquent, beaucoup de logiciels déjà en place entrent dans le champ des obligations de l’IA ACT, même si leurs interfaces semblent classiques.

Par exemple, un module de prévision de la demande intégré dans un ERP logistique, s’il repose sur un moteur algorithmique auto-apprenant, devient un “système d’IA” au sens du règlement. De même, un outil de scoring client ou de détection de fraudes utilisé dans le service financier doit être évalué sous cet angle.

Zoom sur les secteurs logistiques et supply chain

Les responsables supply chain sont particulièrement concernés : gestion prédictive des stocks, planification dynamique des flux, robots autonomes dans les entrepôts, optimisation du transport par IA… toutes ces briques peuvent relever de niveaux de risques différents selon leurs usages. Par exemple, une IA qui attribue automatiquement les créneaux de livraison en fonction de profils clients pourrait nécessiter une transparence algorithmique accrue.

Il en va de même pour la maintenance prédictive des machines, si celle-ci influence des décisions humaines critiques (ex. : arrêt de production, déclenchement d’alerte sécurité).

Le cas des outils no-code et des API intégrées

Enfin, il est essentiel de ne pas sous-estimer les effets d’intégration : les outils IA intégrés via API (Zapier, Make, ou directement dans des CRM comme Salesforce) peuvent engager la responsabilité de l’entreprise utilisatrice, même si elle n’a pas développé l’algorithme. Cette notion de “fournisseur modificateur” oblige à auditer également les connecteurs utilisés.

Faut-il désigner un responsable IA dans son entreprise ?

Une responsabilité partagée mais structurée

L’IA ACT ne crée pas à ce stade un poste équivalent au DPO (Délégué à la protection des données du RGPD). Toutefois, il impose une gouvernance claire des usages IA : documentation, supervision humaine, réévaluation régulière, remontée des incidents. Cela suppose que quelqu’un soit effectivement responsable de la conformité IA dans l’organisation.

De fait, de nombreuses PME commencent à désigner un “référent IA”, souvent rattaché à la direction innovation, au service qualité ou à l’IT. Son rôle : coordonner l’identification des cas d’usage, assurer le suivi réglementaire, et documenter les analyses d’impact. Ce référent peut être interne, externe, ou partagé au sein d’un groupement professionnel.

Une montée en compétence indispensable

Désigner un responsable sans le former serait inefficace, voire contre-productif. Par conséquent, les PME doivent intégrer un plan de montée en compétence : formations, veille juridique, appui d’un cabinet expert. C’est notamment sur ce point que des structures comme MINOBIA peuvent intervenir.

En effet, cette fonction devient vite transversale : elle touche à la fois les RH (recrutement, formation), la direction générale (risque, conformité), la production (automatisation) et le commercial (chatbots, scoring, etc.). L’erreur serait de la limiter à un rôle technique.

Quelles obligations pour les IA à risque élevé ?

Définition juridique du “risque élevé”

L’IA ACT classe les systèmes d’intelligence artificielle en quatre catégories : risques inacceptables (interdits), risques élevés (fortement réglementés), risques limités (transparence minimale) et risques minimes (peu contraints). Les systèmes à risque élevé sont ceux utilisés dans des domaines jugés critiques : éducation, emploi, justice, sécurité, ou encore accès aux services essentiels.

Dans une PME, cela inclut typiquement :

  • Un outil d’aide à la décision pour le recrutement ou la mobilité interne.
  • Une IA attribuant automatiquement des aides, des prestations ou des notations.
  • Un système de surveillance automatisée en entrepôt ou site sensible.

Dès lors qu’un usage IA entre dans cette catégorie, l’entreprise est tenue à des obligations renforcées.

Quelles sont ces obligations concrètes ?

Les obligations des entreprises face à l’IA ACT, en cas de risque élevé, sont précises. Elles incluent notamment :

  • La mise en place d’un système de gestion de la qualité IA, documenté.
  • Une documentation technique détaillée, incluant les données d’entraînement et les critères de performance.
  • Des mesures de transparence : l’utilisateur final doit comprendre qu’il interagit avec une IA.
  • Un mécanisme de surveillance humaine et de contrôle a posteriori.
  • Une analyse des risques et des biais associés à l’IA déployée.

De plus, ces systèmes doivent être enregistrés dans une base de données européenne et peuvent faire l’objet d’un contrôle a priori par les autorités.

L’enjeu de traçabilité

Un point essentiel, souvent négligé, est celui de la traçabilité des décisions algorithmiques. Il ne suffit pas d’avoir un bon modèle : encore faut-il pouvoir justifier ses recommandations en cas de litige. C’est là que l’explainabilité devient un facteur-clé, au-delà de la seule performance du modèle.

Comment anticiper les évolutions réglementaires à venir ?

De nouvelles catégories en discussion

L’IA ACT est un règlement “vivant” : bien qu’adopté, il intègre des clauses d’évolution, notamment sur l’ajout de nouveaux cas d’usage à risque élevé. Par exemple, le scoring environnemental ou les systèmes d’optimisation énergétique pourraient rejoindre cette liste dans les mois à venir.

Par ailleurs, la Commission européenne prévoit de réévaluer régulièrement les technologies concernées, notamment avec l’émergence des modèles multi-agents, des IA embarquées et des solutions hybrides IA–IoT.

Vers une convergence avec d’autres textes

Le règlement IA n’est pas isolé. Il s’articule avec d’autres textes européens comme le RGPD, le DSA (Digital Services Act) ou le Data Act. Par exemple :

  • Une IA collectant des données personnelles doit être à la fois conforme au RGPD et à l’IA ACT.
  • Une IA opérant sur des plateformes de services peut relever du DSA.
  • Une IA exploitant des jeux de données industriels croisés peut tomber sous le Data Act.

Ainsi, la conformité IA devient un sujet pluridisciplinaire, au croisement du droit, de l’IT et de la stratégie.

Une montée en puissance des audits et certifications

Enfin, les mois qui viennent verront émerger des organismes notifiés, capables de certifier la conformité des systèmes IA à risque élevé. Il est donc judicieux, dès aujourd’hui, de préparer ses outils aux audits futurs : logs, documentation, explicabilité, revue de code, etc.

Les obligations IA ACT sont-elles les mêmes pour toutes les tailles d’entreprise ?

Un principe d’égalité… tempéré par le réalisme économique

En théorie, le règlement IA s’applique à toutes les entreprises, sans distinction de taille. Cependant, dans la pratique, les autorités européennes et nationales ont exprimé leur volonté de tenir compte des spécificités des PME, notamment :

  • Tolérance temporaire sur certains documents à fournir.
  • Soutien technique via des guichets IA (comme les EDIH en France).
  • Accès facilité à des outils open source ou mutualisés pour se mettre en conformité.

Des dispositifs d’accompagnement en construction

En parallèle, plusieurs initiatives nationales et européennes visent à aider les PME à comprendre et anticiper leurs obligations face à l’IA ACT. Par exemple :

  • Le programme “Confiance.ai” en France.
  • Les formations de la CNIL ou d’EuroHPC.
  • Les outils d’auto-diagnostic mis à disposition par la Commission européenne.

Toutefois, ces outils restent souvent théoriques ou génériques. C’est pourquoi des cabinets comme MINOBIA jouent un rôle essentiel dans la traduction opérationnelle des exigences réglementaires, au plus près des usages métier.

La vigilance reste de mise

Mais attention : cette relative tolérance ne doit pas être confondue avec une exemption. Une PME utilisant une IA à risque élevé (par exemple dans le domaine RH) sera tenue aux mêmes standards de sécurité et de transparence qu’un grand groupe, à terme.

Comment structurer une démarche de conformité IA efficace ?

Partir d’un état des lieux précis

Toute démarche de mise en conformité avec les obligations de l’IA ACT commence par un audit interne des usages IA. Cela signifie identifier, outil par outil :

  • Ce qui relève effectivement de l’intelligence artificielle.
  • Quel est le niveau de risque juridique associé.
  • Quelle est la source du modèle (interne, API, SaaS).
  • Quel est l’impact potentiel sur les droits humains, la sécurité ou la transparence.

Cet état des lieux permet de prioriser : inutile de mobiliser des ressources sur un assistant rédactionnel si une IA de scoring client, à risque élevé, fonctionne sans contrôle humain.

Documenter sans alourdir

Le cœur de la conformité repose ensuite sur une documentation dynamique, proportionnée à l’usage. Il ne s’agit pas d’écrire un manuel de 200 pages, mais de prouver que l’IA utilisée a été conçue et déployée avec méthode : objectifs clairs, données d’apprentissage pertinentes, supervision en place, critères d’évaluation définis.

Cette documentation peut prendre la forme d’un registre centralisé, mis à jour à chaque évolution du système. Certaines entreprises commencent à intégrer cette logique dans leur CRM ou ERP, sous forme d’onglets IA.

Mettre en place un pilotage continu

Une IA ne se conforme pas “une fois pour toutes”. Le règlement impose une supervision continue, avec possibilité d’intervention humaine, d’audit interne, et de suivi des incidents. Ainsi, il devient stratégique d’intégrer la conformité IA dans les routines existantes : comité qualité, revue produit, gouvernance des risques.

De plus, les outils d’observabilité IA (par exemple ceux proposés par HuggingFace, Pymetrics ou Evident) permettent aujourd’hui d’automatiser en partie ces obligations.

Quelles opportunités stratégiques derrière l’IA ACT ?

Transformer la contrainte en avantage concurrentiel

Nombre d’entreprises abordent l’IA ACT avec appréhension, le percevant comme un frein à l’innovation. Pourtant, celles qui s’en emparent intelligemment y trouvent un levier de différenciation puissant. En effet, pouvoir prouver la robustesse, la transparence et l’équité de ses systèmes IA devient un argument de vente, notamment dans les appels d’offres ou les relations avec les grands donneurs d’ordre.

C’est le cas, par exemple, d’un logisticien certifié ISO/IA, capable de garantir que son IA de planification ne pénalise aucun territoire ni typologie de client.

Renforcer la confiance des clients et partenaires

L’encadrement légal de l’IA crée aussi un climat de confiance renforcée. Les clients finaux, souvent méfiants face aux systèmes automatiques, sont plus enclins à utiliser une interface qui explique ses décisions, permet des recours, et affiche clairement ses limites. De plus, la conformité à l’IA ACT devient rapidement un critère de sélection dans les chaînes de sous-traitance.

Ainsi, un industriel travaillant avec la grande distribution ou les marchés publics devra bientôt prouver que ses outils IA respectent les normes européennes, sous peine d’exclusion.

Structurer sa transformation digitale

Enfin, l’IA ACT pousse les entreprises à repenser en profondeur leurs processus de digitalisation. Il ne s’agit plus de brancher des outils en silo, mais de bâtir une architecture IA responsable et cohérente. Cela favorise des investissements plus intelligents, une montée en compétence des équipes, et une meilleure synergie entre les métiers.

Synthèse opérationnelle : ce qu’il faut retenir

  • L’IA ACT est déjà partiellement en vigueur en juillet 2025.
  • Toute entreprise utilisant un système IA doit en évaluer le niveau de risque.
  • Les obligations augmentent fortement en cas d’IA à risque élevé.
  • La conformité implique une gouvernance, une documentation et une supervision.
  • Les PME sont concernées, avec certains allègements mais sans exemption.
  • Anticiper permet de transformer la contrainte réglementaire en avantage stratégique.
  • Les partenaires IA comme MINOBIA facilitent cette transition réglementaire.

MINOBIA, partenaire IA ACT des PME

MINOBIA accompagne les PME, ETI et organisations publiques dans la mise en conformité et la valorisation de leurs usages IA. Audit, structuration documentaire, formation des référents IA, intégration de solutions explicables et traçables : notre approche est pragmatique, outillée et adaptée aux réalités du terrain.

Vous utilisez l’IA sans toujours savoir ce que vous devez déclarer, documenter ou surveiller ?
📩 Contactez-nous : contact@minobia.ai
Nous vous aidons à transformer la conformité IA ACT en atout stratégique.

Glossaire

  • IA ACT : Règlement européen sur l’intelligence artificielle, adopté en 2024, applicable progressivement à partir de 2025.
  • Système IA à risque élevé : Système IA dont l’usage peut affecter les droits fondamentaux, la sécurité ou la vie professionnelle des personnes.
  • Supervision humaine : Obligation d’intégrer une capacité d’intervention humaine dans les décisions prises par une IA.
  • Analyse d’impact IA : Évaluation préalable des risques, biais et conséquences d’un système d’intelligence artificielle sur les utilisateurs.
  • Traçabilité algorithmique : Capacité à comprendre et expliquer les décisions prises par un système IA, ex post ou en temps réel.
  • EDIH : European Digital Innovation Hubs, structures d’accompagnement technologique pour les PME européennes.
  • Explainabilité : Ensemble des méthodes permettant de rendre compréhensibles les résultats produits par une IA.
  • Organisme notifié : Entité autorisée à évaluer la conformité d’un produit ou système à la réglementation européenne.

Sources

Foire aux questions (FAQ)

1. Le règlement IA ACT s’applique-t-il à une entreprise qui n’a développé aucune IA ?

Oui. Même si vous n’êtes pas développeur d’IA, vous pouvez être utilisateur d’un système IA intégré à un logiciel tiers. Par exemple, un outil de recrutement incluant un moteur de tri automatique des CV est concerné. Dès lors que l’outil influence des décisions humaines, il doit être documenté, supervisé et, dans certains cas, audité. En clair, votre responsabilité est engagée dès que vous utilisez une IA dans un processus structurant.

2. Une entreprise peut-elle continuer à utiliser une IA non conforme en 2025 ?

En juillet 2025, les obligations varient selon le niveau de risque. Si l’IA utilisée est classée “à risque élevé” ou potentiellement interdite (par exemple, une IA de surveillance émotionnelle sans base légale), son usage est déjà contestable. Les autorités peuvent intervenir. Pour les usages courants à faible risque, une mise en conformité progressive est tolérée, mais l’inaction totale pourrait être sanctionnée dès 2026.

3. Comment savoir si une IA utilisée dans l’entreprise est classée à risque élevé ?

Le règlement propose une typologie des cas à risque élevé, en lien avec leur impact sociétal. Il s’agit généralement des IA utilisées dans :

  • Les processus RH (recrutement, notation, promotion).
  • L’accès à des droits ou prestations (logement, crédit).
  • La gestion des flux critiques (énergie, santé, transport).
    Une analyse contextuelle est recommandée. L’appui d’un expert permet de clarifier cette classification. MINOBIA peut effectuer ce diagnostic rapidement.

4. Faut-il un logiciel spécialisé pour documenter sa conformité IA ?

Non, aucun outil n’est imposé par l’IA ACT. En revanche, il est recommandé d’utiliser un registre centralisé (type SharePoint, Notion, ERP modulaire) pour :

  • Lister les IA utilisées.
  • Suivre les analyses de risques.
  • Intégrer les incidents remontés.
    Certains outils proposent des templates IA ACT-ready (Compliance.ai, Eviden, ou directement dans certains CRM). Ce qui compte, c’est la cohérence du processus, pas l’outil.

5. Quelles sont les sanctions encourues en cas de non-conformité ?

Elles varient selon la gravité du manquement :

  • Jusqu’à 35 millions d’euros ou 7 % du chiffre d’affaires mondial pour les infractions majeures.
  • Suspension temporaire de mise sur le marché.
  • Publicité des sanctions infligées (name & shame).
    Dans le cas d’une PME, ces montants peuvent être ajustés, mais le risque réputationnel et contractuel est réel.

6. Une PME peut-elle mutualiser ses obligations avec d’autres entreprises ?

Oui, le règlement autorise la mutualisation partielle des démarches, notamment via :

  • Les fédérations professionnelles.
  • Les groupements d’intérêt économique.
  • Les pôles d’innovation.
    Cela permet de partager une veille, des modèles de documents, voire des audits. Toutefois, la responsabilité finale reste individuelle. L’accompagnement d’un acteur comme MINOBIA permet d’orchestrer ce type de dispositif.

7. Les IA utilisées dans les entrepôts (robots, capteurs) sont-elles concernées ?

Oui, dès lors qu’un système prend une décision ou agit de manière autonome, il entre dans le champ de l’IA ACT. Un robot logistique qui ajuste ses déplacements en fonction de l’environnement est concerné. S’il y a interaction avec des opérateurs humains ou impact sur la sécurité, la classification de risque peut s’élever. Cela implique des obligations renforcées (ex. : documentation, contrôle humain).

8. Un chatbot IA sur un site e-commerce est-il concerné ?

Oui, mais souvent au niveau “risque limité”. Le règlement exige dans ce cas une obligation de transparence : l’utilisateur doit savoir qu’il interagit avec une IA. Si ce chatbot donne des conseils sur des droits ou filtre les demandes (ex. : litige SAV), il peut basculer en risque élevé. L’analyse du cas d’usage est donc essentielle. Un accompagnement spécifique est recommandé.

9. L’IA ACT est-il valable uniquement pour l’UE ?

Il s’applique à toute entreprise qui commercialise ou déploie une IA sur le territoire de l’Union européenne, même si elle est basée à l’étranger. Cela signifie qu’un éditeur américain ou chinois vendant une solution IA à une PME française doit se conformer au règlement. C’est le même principe que le RGPD. En cas de non-conformité, l’utilisateur final (la PME européenne) peut aussi être inquiété.

10. Peut-on anticiper les obligations de 2026 sans surinvestir ?

Oui, en structurant une démarche progressive et intelligente :

  • Identifier les usages à risque dès maintenant.
  • Prioriser la documentation pour les cas sensibles.
  • Former un référent IA interne.
  • Intégrer la conformité dans les projets futurs.
  • Éviter d’acheter des IA sans information sur leur fonctionnement.

MINOBIA propose une méthodologie simple et efficace, adaptée à la taille et à la maturité des entreprises, pour transformer cette anticipation en levier stratégique.

À propos de l’auteur

Joël Obitz est entrepreneur et fondateur de MINOBIA, cabinet spécialisé dans l’intégration stratégique de l’intelligence artificielle au sein des PME et ETI. Fort de 20 ans d’expérience dans le B2B industriel, il accompagne les entreprises dans leur transformation numérique, avec une approche directe, pragmatique et orientée résultats.

🔗 Suivre Joël sur LinkedIn

📩 Contactez-nous : contact@minobia.ai
👉Suivez nous sur les réseaux sociaux : LinkedIn et Facebook

Les obligations IA ACT

Articles similaires

Discutons de vos besoins dès aujourd’hui !

Échangeons ensemble sur vos défis et vos ambitions

Que ce soit pour une question, un besoin spécifique ou un projet à concrétiser, nous sommes à votre écoute. Envoyez-nous un message et avançons ensemble vers la meilleure solution !
Contactez nous dès maintenant !
Planifier un RDV