L'AI Act n'est plus un projet. C'est la loi. Et 72 % des entreprises françaises ne savent même pas si elles sont concernées, selon LesAstucesIA.
Je le vois chaque semaine. Des dirigeants qui utilisent l'IA tous les jours dans leur CODIR, mais qui n'ont aucune idée de ce que le règlement européen change pour eux. Pas par incompétence. Par manque de traduction concrète. Ce texte de 460 articles n'a pas été écrit pour être lu par un DG un vendredi soir.
Alors je vais te le traduire. Sans jargon juridique, sans exhaustivité. Juste ce que ton CODIR doit comprendre et décider dans les semaines qui viennent.
Ce que l'AI Act change pour toi concrètement
Le règlement européen classe les systèmes d'IA en quatre niveaux de risque. C'est la logique de toute la réglementation. Et c'est plus simple que ce que les avocats te racontent.
Risque inacceptable : manipulation subliminale, scoring social, reconnaissance faciale de masse. Interdit depuis février 2025. Si tu fais ça, tu le sais déjà.
Haut risque : c'est là que ça concerne la plupart des entreprises. Si tu utilises l'IA pour recruter, évaluer des candidats, noter des collaborateurs, décider d'un crédit, trier des demandes d'assurance, ou poser un diagnostic médical, tu es dans cette catégorie. Les obligations sont lourdes : documentation technique, gestion des risques, supervision humaine, traçabilité.
Risque limité : chatbots, générateurs de contenu, deepfakes. Obligation de transparence. L'utilisateur doit savoir qu'il interagit avec une IA.
Risque minimal : filtres anti-spam, correcteurs orthographiques, outils de traduction interne. Pas de contrainte spécifique.
La question à poser à ton CODIR lundi matin : dans quelle catégorie tombent les IA que tu utilises déjà ? La DRH d'un groupe industriel m'a demandé cette question le mois dernier. En trente minutes d'inventaire, on a identifié un outil de pré-screening de CV qui relevait clairement du haut risque. Personne ne le savait.
L'article 4 : la bombe que personne n'a vue venir
Tout le monde parle des systèmes à haut risque. Presque personne ne parle de l'article 4. Et c'est celui qui va toucher le plus d'entreprises, le plus vite.
L'article 4 impose un minimum de littératie IA pour toute personne qui utilise un système d'IA. Pas seulement les développeurs, pas seulement les data scientists. Toute personne. Le commercial qui utilise un CRM avec scoring prédictif. L'assistante qui résume des réunions avec un outil IA. Le DAF qui génère des scénarios budgétaires.
Échéance pour les sanctions : le 2 août 2026.
87 % des dirigeants de PME n'ont pas défini de stratégie IA avec leur CODIR. Et 86 % des décideurs français disent avoir adopté une charte d'usage responsable de l'IA, selon KPMG. Autrement dit : on signe des chartes qu'on ne décline pas en compétences. On coche une case, on n'a pas formé les équipes.
Un CEO que j'accompagne a pris le sujet au sérieux en avril. Il a fait passer un diagnostic de littératie IA à ses 120 collaborateurs. Résultat : 14 % atteignaient le niveau de base. Le reste naviguait à vue. Il a lancé un plan de formation en six semaines. C'est serré, mais c'est faisable.
Si tu veux le mode d'emploi côté plan de formation (qui former, quoi documenter, comment financer), on l'a détaillé ici : formation IA obligatoire, ce que l'AI Act impose avant le 2 août 2026.
Les amendes sont réelles
Ce n'est pas du RGPD allégé. Les montants sont délibérément dissuasifs.
Pour les pratiques interdites : jusqu'à 35 millions d'euros ou 7 % du chiffre d'affaires mondial annuel. Le montant le plus élevé s'applique.
Pour les systèmes à haut risque : jusqu'à 15 millions d'euros ou 3 % du CA mondial.
Pour les informations fausses ou trompeuses fournies aux autorités : jusqu'à 7,5 millions ou 1 % du CA.
Et ce n'est pas tout. La responsabilité personnelle des dirigeants peut être engagée. Si ton CODIR déploie un système à haut risque sans les garanties requises, ce n'est pas seulement l'entreprise qui est exposée. C'est la personne qui a validé le déploiement.
91 % des CEO français veulent porter la gouvernance IA au niveau du conseil d'administration, selon le CEO Outlook 2026 d'EY. Mais moins de 20 % des CA ont une fonction IA dédiée. L'intention est là. La structure ne suit pas.
Les 4 décisions que ton CODIR doit prendre maintenant
Pas un plan à six mois. Quatre décisions à prendre dans les deux prochaines semaines.
1. Inventorier tous les usages IA. Pas un audit de six mois. Un tour de table au prochain CODIR. Chaque directeur liste les outils d'IA utilisés dans son périmètre. Chatbots, outils de génération de texte, scoring, automatisation. Tout. Tu seras surpris de ce qui remonte.
2. Classifier les niveaux de risque. Pour chaque usage identifié, déterminer s'il tombe dans le risque minimal, limité ou haut. Pas besoin d'un cabinet. La grille de l'AI Act est publique et lisible. Ce qui touche le RH, le crédit, la santé, l'éducation et la biométrie, c'est du haut risque.
3. Définir les usages autorisés et interdits. Formaliser une politique interne. Pas une charte de 40 pages. Un document d'une page qui dit ce qu'on a le droit de faire et ce qu'on n'a pas le droit de faire avec l'IA. Les collaborateurs ont besoin de clarté, pas de littérature.
4. Attribuer la gouvernance. Qui porte le sujet au CODIR ? Qui est responsable de la conformité ? Qui valide les nouveaux usages ? Si personne n'est nommé, personne ne le fera. C'est aussi simple que ça.
La conformité comme avantage concurrentiel
Je sais ce que tu penses. Encore de la réglementation, encore du coût, encore du frein. Mais retourne le problème.
Les entreprises qui structurent leur gouvernance IA maintenant construisent trois choses que leurs concurrents n'auront pas.
La confiance client. Dans les secteurs réglementés, banque, assurance, santé, la capacité à prouver que tes systèmes IA sont conformes devient un critère de sélection. Un assureur que j'accompagne a remporté un appel d'offres en mars dernier en mettant sa politique de gouvernance IA dans sa réponse. Son concurrent ne l'avait pas fait.
L'accès aux marchés publics. Les collectivités et les administrations vont exiger la conformité AI Act dans leurs cahiers des charges. Ceux qui sont prêts raflent les contrats. Les autres attendent.
L'attractivité talents. Les profils IA, data scientists, ingénieurs ML, product managers IA, veulent travailler dans des structures qui prennent l'éthique au sérieux. Une gouvernance claire, c'est un signal fort.
La conformité n'est pas un coût. C'est un filtre qui sépare ceux qui sont sérieux de ceux qui improvisent.
Questions fréquentes
Mon entreprise est-elle concernée par l'AI Act ?
Si ton entreprise utilise, développe ou déploie un système d'IA dans l'Union européenne, oui. L'AI Act s'applique à tous les secteurs. Même un simple chatbot de service client ou un outil de tri de CV te place dans le périmètre. L'article 4 sur la littératie IA concerne toute personne qui utilise un système d'IA, sans exception de taille ou de secteur.
Quelles sont les échéances de l'AI Act ?
Les pratiques interdites sont en vigueur depuis février 2025. Les obligations pour les modèles d'IA à usage général s'appliquent depuis août 2025. L'obligation de littératie IA de l'article 4 s'applique depuis février 2025 ; l'omnibus numérique adopté en juin 2026 l'a assouplie (des mesures à prendre, sans niveau garanti) mais maintenue. Les sanctions générales arrivent le 2 août 2026. Les obligations sur les systèmes à haut risque ont été reportées à décembre 2027.
Qui est responsable de la conformité IA au sein du CODIR ?
Il n'y a pas de réponse unique. Ce qui compte, c'est qu'un membre du CODIR porte le sujet. Dans les PME et ETI, c'est souvent le DG ou le DAF. Dans les grands groupes, le Chief Data Officer ou le secrétaire général. L'essentiel est d'attribuer clairement la responsabilité plutôt que de la laisser flotter entre DSI et juridique.
Faut-il nommer un DPO IA ?
L'AI Act n'impose pas de DPO IA au sens du RGPD. Mais il exige une gouvernance claire avec des responsabilités assignées pour les systèmes à haut risque. En pratique, les entreprises qui déploient de l'IA dans le RH, la finance ou la santé ont intérêt à désigner un référent IA qui coordonne conformité, formation et registre des usages.
Tu veux structurer ta gouvernance IA avant les échéances de l'AI Act ? AI x Leaders accompagne les dirigeants qui veulent transformer la conformité en avantage.
Prendre contact →