Mon entreprise est-elle concernée par l'EU AI Act ?

Si vous déployez, importez, distribuez ou utilisez un système d'IA dans l'UE — oui. L'EU AI Act (UE 2024/1689) s'applique à toute personne morale exerçant ces rôles, indépendamment de la taille. Les PME bénéficient d'allègements (sandbox réglementaire, support PME) mais pas d'exemption. Si vous utilisez un chatbot, un assistant IA, un système de scoring, une recommandation algorithmique, un système d'analyse vidéo : vous êtes dans le périmètre.

Quelle est la différence entre AIPD (RGPD) et FRIA (EU AI Act) ?

AIPD (Analyse d'Impact relative à la Protection des Données) est exigée par le RGPD Art. 35 pour les traitements à risque élevé pour les personnes. FRIA (Fundamental Rights Impact Assessment) est exigée par l'EU AI Act pour les systèmes IA classifiés à haut risque, et porte spécifiquement sur les droits fondamentaux (discrimination, vie privée, dignité, etc.). Les deux peuvent être combinées dans un seul document si elles couvrent les mêmes traitements.

Quelles sont les sanctions ?

Selon la nature de l'infraction : (1) usage de systèmes IA interdits = jusqu'à 35 M€ ou 7% du CA mondial annuel, (2) non-respect des obligations sur les systèmes à haut risque = jusqu'à 15 M€ ou 3% du CA, (3) information incorrecte aux autorités = jusqu'à 7,5 M€ ou 1,5% du CA. Pour les PME, le règlement prévoit que la sanction prend en compte la taille, mais l'application reste à la discrétion des autorités nationales.

À quelle date dois-je être en conformité ?

Le règlement EU AI Act est entré en vigueur le 1er août 2024. Calendrier d'application : 2 février 2025 pour les systèmes IA interdits, 2 août 2025 pour les modèles d'IA à usage général, 2 août 2026 pour la majorité des autres obligations (systèmes à haut risque, transparence), 2 août 2027 pour les systèmes à haut risque déjà mis sur le marché avant. Au 13 mai 2026, vous devez déjà être en conformité sur les systèmes interdits et les GPAI ; les autres obligations arrivent dans les 3 mois.

Le pentest ou l'audit IA aide-t-il à la conformité EU AI Act ?

Oui, sur plusieurs axes. L'audit IA produit les preuves techniques exigées pour les systèmes à haut risque (gestion des risques, qualité des données, transparence, robustesse, cybersécurité). Le rapport peut alimenter le dossier de conformité et la FRIA. Pour les PME hors haut risque, l'audit reste une bonne pratique : il démontre une diligence raisonnable et facilite la réponse à un contrôle ou à une demande client.

Checklist EU AI Act PME 2026 — 12 obligations à cocher, classification, sanctions

1. Classification : quel niveau de risque pour votre système ?

L'EU AI Act applique une approche par les risques. Avant tout, vous devez identifier le niveau de classification de chacun de vos systèmes IA. La majorité des cas PME tombent dans la catégorie « transparence » (chatbots, assistants).

Interdit

Risque inacceptable

Exemples typiques : Notation sociale par gouvernement, manipulation cognitive ciblée, reconnaissance biométrique temps réel en lieu public (avec exceptions), exploitation des vulnérabilités d'un groupe

Obligations : Interdit depuis février 2025

Haut risque

Risque élevé pour santé, sécurité ou droits fondamentaux

Exemples typiques : Systèmes de recrutement, scoring de crédit, biométrie, accès à l'éducation, infrastructures critiques, contrôle aux frontières, administration justice

Obligations : Gestion des risques, données qualité, doc technique, logs, transparence, supervision humaine, robustesse, cybersécurité, conformité avant mise sur le marché, FRIA

Transparence

Risque limité — interaction directe avec personnes

Exemples typiques : Chatbots, assistants IA, deepfakes, systèmes de reconnaissance d'émotions, contenu généré par IA

Obligations : Information de l'utilisateur qu'il interagit avec une IA. Marquage du contenu généré par IA.

Risque minimal

Pas de risque significatif

Exemples typiques : Filtres anti-spam, jeux vidéo IA, outils de productivité bureautique

Obligations : Codes de conduite volontaires. Pas d'obligation contraignante.

2. La checklist EU AI Act PME — 12 obligations à cocher

Plan d'action actionnable, classé en 4 catégories. Tout ne s'applique pas à chaque entreprise : les obligations « haut risque » ne concernent que les systèmes effectivement classés haut risque.

3. Articulation RGPD + EU AI Act

Les deux règlements coexistent et se complètent. Quelques points à connaître pour ne pas dupliquer le travail.

RGPD (UE 2016/679)

Art. 22 — Décisions automatisées affectant la personne
Art. 32 — Mesures techniques appropriées
Art. 35 — AIPD obligatoire si risque élevé
Sanctions jusqu'à 20 M€ ou 4% CA

EU AI Act (UE 2024/1689)

FRIA obligatoire pour systèmes haut risque
Transparence sur l'interaction avec IA
Marquage CE avant mise sur le marché (haut risque)
Sanctions jusqu'à 35 M€ ou 7% CA

Bon réflexe : combiner AIPD (RGPD) et FRIA (EU AI Act) dans un document unique si les traitements se recoupent. Vous évitez le double travail et démontrez une approche intégrée.

4. Sanctions et calendrier d'application

Sanctions financières

• Usage de systèmes IA interdits : jusqu'à 35 M€ ou 7% du CA mondial
• Non-respect des obligations haut risque : jusqu'à 15 M€ ou 3% du CA
• Information incorrecte aux autorités : jusqu'à 7,5 M€ ou 1,5% du CA

Calendrier d'application

• 1er août 2024 : entrée en vigueur
• 2 février 2025 : systèmes interdits — déjà en application
• 2 août 2025 : modèles IA à usage général (GPAI)
• 2 août 2026 : majorité des autres obligations (haut risque, transparence)
• 2 août 2027 : systèmes haut risque mis sur le marché avant 2026

5. Comment l'audit IA aide à la conformité

L'EU AI Act exige plusieurs preuves techniques pour les systèmes à haut risque (gestion des risques, qualité des données, robustesse, cybersécurité). Un audit IA produit ces preuves de manière structurée.

Documentation technique

Le rapport d'audit alimente directement la documentation technique Annexe IV (architecture, données, performance, garde-fous).

Robustesse et cybersécurité

Tests offensifs OWASP LLM Top 10 + MITRE ATLAS = preuves de robustesse face aux attaques (prompt injection, data poisoning, model extraction).

FRIA et AIPD

Les findings audit alimentent l'évaluation des risques pour les droits fondamentaux (discrimination, vie privée) et l'analyse d'impact RGPD.

Logs et traçabilité

Les recommandations de logs pseudonymisés et de traçabilité couvrent simultanément Art. 12 EU AI Act et Art. 32 RGPD.

Pour aller plus loin

Audit IA — méthodologie complète — référentiels, livrable, scénario.
Audit sécurité chatbot — focus chatbot et RAG.
RGPD et chatbot — angle RGPD détaillé.
Texte officiel EU AI Act (Eur-Lex) — règlement intégral.

1. Classification : quel niveau de risque pour votre système ?

Interdit

Risque inacceptable

Obligations : Interdit depuis février 2025

Haut risque

Risque élevé pour santé, sécurité ou droits fondamentaux

Exemples typiques : Systèmes de recrutement, scoring de crédit, biométrie, accès à l'éducation, infrastructures critiques, contrôle aux frontières, administration justice

Obligations : Gestion des risques, données qualité, doc technique, logs, transparence, supervision humaine, robustesse, cybersécurité, conformité avant mise sur le marché, FRIA

Transparence

Risque limité — interaction directe avec personnes

Exemples typiques : Chatbots, assistants IA, deepfakes, systèmes de reconnaissance d'émotions, contenu généré par IA

Obligations : Information de l'utilisateur qu'il interagit avec une IA. Marquage du contenu généré par IA.

Risque minimal

Pas de risque significatif

Exemples typiques : Filtres anti-spam, jeux vidéo IA, outils de productivité bureautique

Obligations : Codes de conduite volontaires. Pas d'obligation contraignante.

2. La checklist EU AI Act PME — 12 obligations à cocher

3. Articulation RGPD + EU AI Act

Les deux règlements coexistent et se complètent. Quelques points à connaître pour ne pas dupliquer le travail.

RGPD (UE 2016/679)

Art. 22 — Décisions automatisées affectant la personne
Art. 32 — Mesures techniques appropriées
Art. 35 — AIPD obligatoire si risque élevé
Sanctions jusqu'à 20 M€ ou 4% CA

EU AI Act (UE 2024/1689)

FRIA obligatoire pour systèmes haut risque
Transparence sur l'interaction avec IA
Marquage CE avant mise sur le marché (haut risque)
Sanctions jusqu'à 35 M€ ou 7% CA

Bon réflexe : combiner AIPD (RGPD) et FRIA (EU AI Act) dans un document unique si les traitements se recoupent. Vous évitez le double travail et démontrez une approche intégrée.

4. Sanctions et calendrier d'application

Sanctions financières

• Usage de systèmes IA interdits : jusqu'à 35 M€ ou 7% du CA mondial
• Non-respect des obligations haut risque : jusqu'à 15 M€ ou 3% du CA
• Information incorrecte aux autorités : jusqu'à 7,5 M€ ou 1,5% du CA

Calendrier d'application

• 1er août 2024 : entrée en vigueur
• 2 février 2025 : systèmes interdits — déjà en application
• 2 août 2025 : modèles IA à usage général (GPAI)
• 2 août 2026 : majorité des autres obligations (haut risque, transparence)
• 2 août 2027 : systèmes haut risque mis sur le marché avant 2026

5. Comment l'audit IA aide à la conformité

Documentation technique

Le rapport d'audit alimente directement la documentation technique Annexe IV (architecture, données, performance, garde-fous).

Robustesse et cybersécurité

Tests offensifs OWASP LLM Top 10 + MITRE ATLAS = preuves de robustesse face aux attaques (prompt injection, data poisoning, model extraction).

FRIA et AIPD

Les findings audit alimentent l'évaluation des risques pour les droits fondamentaux (discrimination, vie privée) et l'analyse d'impact RGPD.

Logs et traçabilité

Les recommandations de logs pseudonymisés et de traçabilité couvrent simultanément Art. 12 EU AI Act et Art. 32 RGPD.

Pour aller plus loin

Audit IA — méthodologie complète — référentiels, livrable, scénario.
Audit sécurité chatbot — focus chatbot et RAG.
RGPD et chatbot — angle RGPD détaillé.
Texte officiel EU AI Act (Eur-Lex) — règlement intégral.

1. Classification : quel niveau de risque pour votre système ?

Interdit

Haut risque

Transparence

Risque minimal

2. La checklist EU AI Act PME — 12 obligations à cocher

Cartographie et classification

Obligations pour systèmes à haut risque

Transparence et information

RGPD articulé avec EU AI Act

3. Articulation RGPD + EU AI Act

RGPD (UE 2016/679)

EU AI Act (UE 2024/1689)

4. Sanctions et calendrier d'application

Sanctions financières

Calendrier d'application

5. Comment l'audit IA aide à la conformité

Documentation technique

Robustesse et cybersécurité

FRIA et AIPD

Logs et traçabilité

Pour aller plus loin

Mettre votre système IA en conformité EU AI Act ?

1. Classification : quel niveau de risque pour votre système ?

Interdit

Haut risque

Transparence

Risque minimal

2. La checklist EU AI Act PME — 12 obligations à cocher

Cartographie et classification

Obligations pour systèmes à haut risque

Transparence et information

RGPD articulé avec EU AI Act

3. Articulation RGPD + EU AI Act

RGPD (UE 2016/679)

EU AI Act (UE 2024/1689)

4. Sanctions et calendrier d'application

Sanctions financières

Calendrier d'application

5. Comment l'audit IA aide à la conformité

Documentation technique

Robustesse et cybersécurité

FRIA et AIPD

Logs et traçabilité

Pour aller plus loin

Mettre votre système IA en conformité EU AI Act ?

Mettre votre système IA en conformité EU AI Act ?

Mettre votre système IA en conformité EU AI Act ?