L’AI Act bouleverse la gouvernance des technologies d’intelligence artificielle en Europe. Pour les entreprises qui utilisent déjà des outils d’IA (recrutement automatisé, scoring, détection de fraude, assistants conversationnels) la question n’est plus théorique, elle est opérationnelle : quelles obligations concrètes pour les déployeurs ? Entre qualification des risques, responsabilités contractuelles et pilotage interne, mieux vaut comprendre le cadre avant qu’il ne s’impose à vous.
Comprendre la classification des risques pour anticiper vos obligations réglementaires
Les quatre niveaux de risque définis par l’AI Act
Le règlement repose sur une approche graduée fondée sur le niveau de risque. Certains systèmes sont purement interdits lorsqu’ils présentent un risque inacceptable, comme certaines formes de manipulation ou de notation sociale. À l’autre extrême, les systèmes à risque minimal sont soumis à des obligations légères, principalement en matière de transparence. Entre les deux, les systèmes à haut risque concentrent les exigences les plus strictes : gestion des risques, documentation technique, traçabilité, supervision humaine. Les systèmes à risque limité impliquent surtout des obligations d’information, notamment lorsqu’un utilisateur interagit avec une IA.
La qualification juridique n’est pas anodine. Elle influence les coûts de conformité, la stratégie produit et même le positionnement commercial. Pour se mettre en conformité avec l’AI Act, une cartographie précise des cas d’usage grâce à des solutions comme celles proposées par Witik, est indispensable.
Identifier votre rôle : fournisseur, déployeur ou autre opérateur
Le fournisseur est celui qui développe un système d’IA et le met sur le marché ou en service sous son nom. Le déployeur, lui, utilise ce système dans un cadre professionnel. Importateurs, distributeurs et mandataires complètent la chaîne.
Les responsabilités varient selon ce rôle. Un déployeur n’assume pas les mêmes obligations qu’un fournisseur, mais il ne peut pas s’abriter derrière son prestataire. La cartographie contractuelle devient alors stratégique : qui garantit quoi ? Qui documente les performances ? Qui notifie les incidents ? Structurer cette gouvernance, éventuellement via des outils dédiés comme Witik, facilite le pilotage réglementaire et limite les zones grises.
Les obligations des fournisseurs de systèmes d’IA à haut risque
La mise en place d’un système de gestion des risques et d’une documentation technique complète
Les fournisseurs de systèmes à haut risque doivent instaurer un dispositif robuste de gestion des risques couvrant l’ensemble du cycle de vie. Cela inclut l’analyse, la mitigation et la mise à jour continue des risques identifiés.
Un dossier technique complet est requis incluant l’architecture du modèle, les sources de données, les performances et les limites connues. La gouvernance des données d’entraînement est centrale, notamment pour limiter les biais et garantir la représentativité. À cela, s’ajoutent des exigences en matière de robustesse, de précision et de cybersécurité.
Assurer la conformité avant et après la mise sur le marché
Avant la commercialisation, une procédure d’évaluation de conformité s’impose, par auto-évaluation ou via un organisme notifié selon les cas. Le marquage CE et la déclaration UE de conformité formalisent cet engagement.
Après la mise sur le marché, la vigilance continue. Un système de surveillance post-commercialisation doit être opérationnel, avec journalisation des événements et notification des incidents graves. Les interactions avec d’autres cadres réglementaires, comme le RGPD ou les règles de cybersécurité, ne doivent pas être négligées.
| Obligation clé | Avant mise sur le marché | Après mise sur le marché |
|---|---|---|
| Évaluation de conformité | Oui | Mise à jour si nécessaire |
| Marquage CE | Obligatoire | Maintien de la conformité |
| Surveillance | Planifiée | Continue |
| Notification incidents | Non applicable | Obligatoire |
Les responsabilités spécifiques des déployeurs de systèmes d’IA
Encadrer l’usage opérationnel des systèmes d’IA
Le déployeur doit utiliser le système conformément aux instructions du fournisseur. Toute modification substantielle peut faire basculer son statut. Une surveillance humaine effective doit être assurée, en particulier pour les systèmes à haut risque. Former les équipes, documenter les procédures internes et évaluer les impacts organisationnels et juridiques sont des étapes essentielles. L’IA ne doit pas fonctionner en roue libre.
La transparence, l’information et la gestion des risques en interne
Lorsque c’est requis, les personnes concernées doivent être informées qu’elles interagissent avec un système d’IA. La gestion des biais et des décisions automatisées doit être anticipée, notamment lorsqu’elles produisent des effets significatifs. La journalisation des usages garantit l’auditabilité. Une coordination étroite entre DPO, direction juridique et conformité permet d’éviter les silos. Enfin, la mise en place d’indicateurs de suivi et d’audits réguliers transforme l’obligation réglementaire en démarche structurée de gestion des risques.
Pour les déployeurs, l’AI Act est un cadre de responsabilité. Comprendre la classification des risques, clarifier son rôle dans la chaîne de valeur et structurer une gouvernance interne solide sont les piliers d’une conformité durable. Anticiper plutôt que subir, documenter plutôt qu’improviser : voilà la clé pour intégrer l’IA dans une stratégie d’entreprise maîtrisée.