Réglementation

AI Act (règlement IA)

Le règlement européen sur l'IA (AI Act) encadre le développement et l'usage de l'intelligence artificielle selon une approche basée sur le risque.

Définition complète

L'AI Act est le premier cadre juridique complet au monde visant à réguler l'intelligence artificielle. Contrairement au RGPD qui protège les données personnelles, l'AI Act se concentre sur la sécurité et les droits fondamentaux face aux systèmes d'IA. Il adopte une approche par niveaux de risque : les systèmes « inacceptables » sont interdits, tandis que les systèmes « à haut risque » (santé, éducation, recrutement) sont soumis à des obligations strictes de transparence, de gouvernance des données et de surveillance humaine. Pour une PME, l'enjeu est d'identifier si son outil d'IA tombe dans la catégorie « haut risque ». Si c'est le cas, elle doit mettre en place une documentation technique rigoureuse et un système de gestion des risques. Pour les IA génératives (type ChatGPT), le règlement impose une obligation de transparence : l'utilisateur doit savoir qu'il interagit avec une machine et les contenus générés doivent être identifiables comme tels. L'articulation avec le RGPD est cruciale. L'AI Act ne remplace pas le RGPD ; il s'y ajoute. Tout traitement de données personnelles pour entraîner ou faire fonctionner une IA doit toujours respecter les principes de minimisation (Art. 5 RGPD) et disposer d'une base légale valide (Art. 6 RGPD). En cas de profilage automatisé, les droits d'accès et d'opposition des personnes concernées (Art. 15 et 21 RGPD) restent pleinement applicables et prioritaires.

Exemple concret en PME

Une PME française utilisant un logiciel d'IA pour trier automatiquement les CV des candidats. Ce système est classé « à haut risque » par l'AI Act. L'entreprise doit s'assurer que l'outil ne présente pas de biais discriminatoires, maintenir une documentation technique sur le fonctionnement de l'algorithme et garantir qu'un recruteur humain valide systématiquement la décision finale avant tout rejet de candidature.

L'erreur fréquente à éviter

L'erreur classique est de croire que l'utilisation d'un outil d'IA tiers (SaaS) décharge l'entreprise de toute responsabilité. Même en tant que simple « déployeur », la PME reste responsable de l'usage qu'elle fait de l'outil, de l'information délivrée aux utilisateurs et de la conformité du traitement des données personnelles injectées dans l'IA.

Vérifiez votre conformité RGPD

Scan gratuit de votre site : cookies, mentions légales, sanctions encourues.

Scanner mon site