Retour au blog
IA

AI Act européen : obligations pour les ESN et consultants IT

Comprendre l'AI Act européen : classification des systèmes IA par risque, obligations pour fournisseurs et déployeurs, impact pour les ESN et plan de mise en conformité.

6 min de lecturePar ForTeam IT

AI Act européen : obligations pour les ESN et consultants IT

L'AI Act européen est le premier cadre réglementaire global sur l'intelligence artificielle. Il s'applique horizontalement à tous les secteurs et impose des obligations différenciées selon le niveau de risque des systèmes IA. Pour les ESN et leurs consultants, ce texte change la donne sur les missions IA : nouveaux livrables documentaires, contrôles à mettre en place, responsabilité partagée entre fournisseur et déployeur. Voici ce qu'il faut comprendre et anticiper.

Le règlement européen sur l'IA en bref

L'AI Act est un règlement (et non une directive) — il s'applique directement dans tous les États membres sans transposition. Il vise à :

  • Encadrer le développement et l'usage de l'IA dans l'Union européenne.
  • Protéger les droits fondamentaux, la santé et la sécurité des personnes.
  • Préserver la compétitivité européenne en posant un cadre clair et stable.

Le texte applique une approche basée sur le risque : plus un système IA présente de risques, plus les obligations sont lourdes.

Champ d'application

L'AI Act s'applique à plusieurs catégories d'acteurs :

  • Fournisseurs : entités qui développent un système IA et le mettent sur le marché européen sous leur nom ou leur marque.
  • Déployeurs : entités qui utilisent un système IA sous leur autorité, dans le cadre d'une activité professionnelle.
  • Importateurs : qui placent sur le marché européen un système IA développé hors UE.
  • Distributeurs : qui mettent à disposition un système IA dans la chaîne de distribution.

Conséquence importante pour les ESN : si vous intégrez ou paramétrez une IA pour le compte d'un client, vous pouvez être qualifié de fournisseur ou de déployeur selon le degré de personnalisation et l'usage final. Lire les contrats à la loupe.

La classification par niveau de risque

L'AI Act distingue quatre niveaux de risque :

Risque inacceptable — interdiction

Pratiques interdites dans l'UE :

  • Notation sociale par les autorités publiques.
  • Manipulation cognitivo-comportementale à grande échelle.
  • Identification biométrique en temps réel dans l'espace public (avec exceptions strictes).
  • Reconnaissance des émotions sur le lieu de travail et dans l'enseignement.
  • Exploitation des vulnérabilités d'un groupe de personnes.

Haut risque — obligations renforcées

Systèmes IA utilisés dans des domaines sensibles : recrutement, scoring crédit, éducation, justice, santé, infrastructures critiques, dispositifs médicaux, contrôle aux frontières.

Obligations principales pour le fournisseur :

  • Système de gestion des risques documenté.
  • Données d'entraînement de qualité, représentatives, traçables.
  • Documentation technique complète et tenue à jour.
  • Traçabilité (logs) des opérations.
  • Transparence et information des utilisateurs.
  • Supervision humaine effective.
  • Robustesse, précision et cybersécurité.
  • Évaluation de conformité avant mise sur le marché.
  • Marquage CE et déclaration UE de conformité.

Risque limité — obligations de transparence

Chatbots, deepfakes, systèmes de reconnaissance d'émotions : obligation d'informer l'utilisateur qu'il interagit avec une IA ou que le contenu est généré par IA.

Risque minimal — pas d'obligations spécifiques

Filtres anti-spam, IA de jeux vidéo, recommandation de contenus standards : pas d'obligations spécifiques au-delà du droit commun (RGPD notamment).

Obligations pour les fournisseurs de systèmes haut risque

Au-delà de la liste ci-dessus, le fournisseur doit notamment :

  • Mettre en place un système de management de la qualité.
  • Conserver la documentation technique pendant 10 ans après mise sur le marché.
  • Coopérer avec les autorités nationales et européennes en cas de demande.
  • Notifier les incidents graves sous 15 jours.

Pour les modèles d'IA à usage général (modèles de fondation, LLM), des obligations spécifiques s'ajoutent : transparence sur les données d'entraînement, gestion des risques systémiques, évaluation par tiers indépendants pour les modèles les plus puissants.

Obligations pour les déployeurs

Les déployeurs de systèmes IA haut risque doivent :

  • Utiliser le système conformément à sa notice.
  • Affecter une supervision humaine compétente.
  • Surveiller le fonctionnement et signaler les anomalies.
  • Conserver les logs générés par le système.
  • Informer les personnes concernées qu'elles sont soumises à une décision impliquant un système IA haut risque.
  • Réaliser une analyse d'impact sur les droits fondamentaux (DPIA renforcée) avant déploiement dans certains cas.

Cas concrets IA en entreprise : où chaque cas se classe

Quelques exemples concrets :

Cas d'usage Classification probable
Chatbot relation client basique Risque limité (transparence requise)
Assistant IA développeur (génération de code) Risque minimal à limité
Scoring de candidatures CV Haut risque
Détection de fraude bancaire en temps réel Haut risque
Filtre de modération de contenus Risque limité à haut risque selon le contexte
Aide au diagnostic médical Haut risque (dispositif médical)
Génération de contenu marketing Risque limité (transparence sur le caractère IA)

L'analyse au cas par cas est essentielle. Un cabinet juridique spécialisé est souvent indispensable sur les cas frontière.

Impact pour les ESN qui intègrent ou livrent de l'IA

Les ESN sont en première ligne car elles conçoivent, développent, intègrent et déploient des systèmes IA pour le compte de clients. Conséquences :

  • Cartographie des projets IA livrés : niveau de risque, parties prenantes, obligations.
  • Mise à jour des méthodes de delivery : documentation, traçabilité, supervision humaine.
  • Formation des consultants IA sur le cadre réglementaire.
  • Clauses contractuelles révisées : qui est fournisseur, qui est déployeur ?
  • Audit interne des systèmes déjà livrés pour vérifier la conformité.

Sur les projets IA, voir LLMOps : industrialiser ses modèles IA et Sécurité des LLM.

Sanctions et amendes

Les sanctions sont massives :

  • Jusqu'à 35 millions d'euros ou 7 % du CA mondial pour les pratiques interdites.
  • Jusqu'à 15 millions d'euros ou 3 % du CA mondial pour les manquements aux obligations des systèmes haut risque.
  • Jusqu'à 7,5 millions d'euros ou 1,5 % du CA mondial pour la fourniture d'informations erronées aux autorités.

Ces montants visent à dissuader les non-conformités et alignent l'AI Act sur les sanctions RGPD.

Plan de mise en conformité

Démarche en 6 étapes pour une organisation :

  1. Inventaire des systèmes IA utilisés ou en développement.
  2. Classification de chacun selon les niveaux de risque.
  3. Évaluation des écarts entre l'état actuel et les obligations applicables.
  4. Plan d'action avec jalons et responsables.
  5. Mise en œuvre : documentation, supervision, monitoring, formation.
  6. Audit récurrent et tenue à jour.

Pour les systèmes haut risque, prévoir une équipe de conformité dédiée incluant des compétences techniques, juridiques et métier.

Conclusion : un nouveau standard à intégrer dans toute mission IA

L'AI Act est incontournable pour toute entreprise opérant en Europe ou ciblant le marché européen. Les ESN qui anticipent ce cadre — en intégrant la conformité dès le cadrage et non en correctif — auront un avantage compétitif durable. Pour les consultants IA, c'est une compétence à acquérir au même titre que la maîtrise des modèles ou des architectures RAG.

Pour aller plus loin :

ForTeam IT accompagne ses clients sur les missions IA en intégrant le cadre AI Act dès le cadrage. Si vous êtes consultant IA confirmé ou senior et que vous voulez travailler dans un cadre clair et exigeant, vous êtes au bon endroit.

Rejoindre ForTeam IT

AI Actréglementation IAconformitéESNEurope

À lire aussi

Vous êtes consultant IT freelance ?

Rejoignez ForTeam IT et accédez à des missions sélectionnées chez nos clients grands comptes.

Rejoindre la communauté