LMbox
Demander une démo
Sécurité & RGPD

IA Act : ce qui s'applique déjà à votre entreprise depuis février 2025

11 min de lecture
IA Act : ce qui s'applique déjà à votre entreprise depuis février 2025

Le 1er août 2024, l'Union européenne a franchi un cap historique : l'IA Act est entré en vigueur. Pour la première fois au monde, un cadre juridique contraignant encadre le déploiement de l'intelligence artificielle dans les entreprises. Si vous êtes DSI, DPO, directeur juridique ou dirigeant d'une PME ou ETI française, cette réglementation va transformer votre façon d'aborder l'IA générative — et vous avez moins de temps que vous ne le pensez pour vous mettre en conformité.

Cet article décrypte les obligations concrètes de l'IA Act, les échéances à ne pas manquer, et les implications opérationnelles pour votre organisation. Parce qu'au-delà des grands principes, ce sont vos processus métiers, vos contrats fournisseurs et votre responsabilité juridique qui sont en jeu.

L'IA Act en bref : une réglementation par le risque

L'IA Act repose sur une logique de classification par niveau de risque. Contrairement au RGPD qui s'applique uniformément à toute donnée personnelle, le règlement européen sur l'IA distingue quatre catégories de systèmes :

  1. Risque inacceptable : interdiction pure et simple (ex : notation sociale à la chinoise, manipulation comportementale)
  2. Risque élevé : obligations strictes de conformité (ex : IA de recrutement, diagnostic médical, notation de crédit)
  3. Risque limité : obligations de transparence uniquement (ex : chatbots, deepfakes)
  4. Risque minimal : aucune obligation (ex : filtres anti-spam, recommandations de contenu non sensible)

Pour les entreprises, la grande majorité des cas d'usage professionnels de l'IA générative se situent entre le risque limité et le risque élevé. Et c'est là que les choses se compliquent.

Ce qui est déjà en vigueur depuis août 2024

Contrairement à une idée reçue, l'IA Act n'est pas une réglementation « pour plus tard ». Plusieurs dispositions sont immédiatement applicables depuis le 1er août 2024 :

Interdiction des systèmes à risque inacceptable (Article 5)

Toute IA qui manipule le comportement humain, exploite des vulnérabilités psychologiques, ou pratique la notation sociale est interdite sur le territoire européen. Cela concerne aussi les systèmes d'identification biométrique en temps réel dans l'espace public (sauf exceptions strictes pour la sécurité nationale).

Impact pour votre entreprise : Si vous utilisez des outils d'analyse comportementale RH ou de profilage client basés sur l'IA, vérifiez immédiatement qu'ils ne tombent pas sous le coup de l'Article 5. Les sanctions peuvent atteindre 35 millions d'euros ou 7 % du chiffre d'affaires mondial.

Obligations de transparence pour les IA génératives (Article 52)

Tout système d'IA générative (type ChatGPT, Claude, Gemini) doit informer l'utilisateur qu'il interagit avec une machine. Les contenus générés par IA (textes, images, vidéos) doivent être clairement identifiés comme tels.

Impact pour votre entreprise : Si vous utilisez un LLM pour rédiger des emails clients, des rapports d'analyse ou des contenus marketing, vous devez mentionner explicitement l'usage de l'IA. Cette obligation s'applique dès maintenant, y compris pour les outils cloud comme ChatGPT Enterprise ou Microsoft Copilot.

Interdiction du scraping illégal pour l'entraînement (Article 53)

Les fournisseurs de modèles d'IA générative doivent respecter le droit d'auteur européen. Ils ne peuvent plus aspirer massivement des contenus protégés sans autorisation pour entraîner leurs modèles.

Impact pour votre entreprise : Si vous entraînez ou affinez un modèle d'IA sur des données internes (brevets, documentation technique, bases de connaissances), assurez-vous que vous détenez bien les droits sur ces contenus. En cas de litige, c'est votre responsabilité juridique qui est engagée.

Ce qui arrive en février 2025 : les obligations pour les systèmes à risque élevé

Le vrai tournant réglementaire aura lieu le 2 février 2025. À cette date, les systèmes d'IA à risque élevé devront respecter un ensemble d'obligations contraignantes définies par l'Article 6 de l'IA Act.

Qu'est-ce qu'un système d'IA à risque élevé ?

L'Annexe III de l'IA Act liste huit domaines d'application considérés comme à risque élevé :

  • Ressources humaines : recrutement, évaluation des performances, détection de fraude interne
  • Accès aux services essentiels : notation de crédit, éligibilité aux aides sociales
  • Application de la loi : analyse prédictive de criminalité, évaluation de fiabilité des témoignages
  • Justice : aide à la décision judiciaire, interprétation de faits juridiques
  • Gestion des migrations : évaluation des demandes de visa, détection de documents frauduleux
  • Éducation : notation automatisée, orientation scolaire
  • Santé : diagnostic assisté, triage aux urgences
  • Infrastructures critiques : gestion de réseaux d'eau, d'énergie, de transport

Point clé : Si votre entreprise utilise un LLM pour analyser des CV, évaluer des dossiers de crédit, ou assister des décisions RH, vous êtes potentiellement concerné par les obligations « risque élevé ».

Les six obligations majeures (Articles 9 à 15)

À partir de février 2025, tout système d'IA à risque élevé devra :

  1. Mettre en place un système de gestion des risques (Article 9) : identification, évaluation et atténuation des risques tout au long du cycle de vie du système
  2. Garantir la qualité des données d'entraînement (Article 10) : traçabilité, représentativité, absence de biais discriminatoires
  3. Assurer la traçabilité et la journalisation (Article 12) : logs détaillés de toutes les décisions prises par l'IA
  4. Fournir une documentation technique complète (Article 11) : architecture du modèle, données d'entraînement, métriques de performance
  5. Permettre une supervision humaine effective (Article 14) : possibilité d'interrompre ou d'annuler une décision de l'IA
  6. Atteindre un niveau de robustesse et de précision (Article 15) : tests de performance, gestion des erreurs, résilience aux attaques adversariales

Impact pour votre entreprise : Si vous utilisez un LLM cloud (ChatGPT, Claude, Gemini) pour des cas d'usage à risque élevé, vous ne pouvez pas déléguer ces obligations à votre fournisseur. En tant que « déployeur » du système (Article 29), vous restez responsable de la conformité — même si le modèle est fourni par un tiers.

Le piège du cloud : qui est responsable ?

L'IA Act distingue deux rôles :

  • Le fournisseur (provider) : celui qui développe ou commercialise le système d'IA
  • Le déployeur (deployer) : celui qui utilise le système dans un contexte professionnel

Problème : Quand vous utilisez ChatGPT Enterprise ou Microsoft Copilot, OpenAI et Microsoft sont fournisseurs, mais vous êtes déployeur. Cela signifie que :

  • Vous devez garantir la traçabilité des décisions prises par l'IA (Article 12)
  • Vous devez documenter les cas d'usage et les risques associés (Article 29)
  • Vous devez mettre en place une supervision humaine (Article 14)
  • Vous êtes responsable en cas de décision discriminatoire ou erronée

Or, avec un LLM cloud, vous n'avez aucun contrôle sur :

  • Les données d'entraînement du modèle (Article 10)
  • Les logs de requêtes (Article 12)
  • Les métriques de performance réelles (Article 15)
  • Les mises à jour du modèle (qui peuvent changer son comportement sans préavis)

Conséquence : Pour un cas d'usage à risque élevé, un LLM cloud vous expose à un risque de non-conformité structurelle. Vous ne pouvez pas prouver que vous respectez l'IA Act si vous ne maîtrisez pas l'infrastructure sous-jacente.

Les secteurs particulièrement exposés

Cabinets d'avocats et études notariales

L'Article 5 du CNB (Conseil National des Barreaux) impose un secret professionnel absolu aux avocats. Envoyer un dossier client à ChatGPT, même via l'API Enterprise, constitue une violation de ce secret — car les données transitent par des serveurs américains soumis au CLOUD Act.

Avec l'IA Act, un cabinet qui utilise un LLM pour analyser des contrats ou préparer des conclusions tombe sous le régime « risque élevé » (Annexe III, point 8 : « Administration de la justice »). Il doit donc :

  • Garantir la traçabilité de chaque analyse juridique générée par l'IA
  • Documenter les biais potentiels du modèle sur des questions de droit français
  • Assurer une supervision humaine systématique (l'avocat doit pouvoir vérifier et corriger)

Solution : Un LLM on-premise comme LMbox permet de respecter le secret professionnel (zéro donnée ne sort du cabinet) tout en répondant aux obligations de l'IA Act (logs locaux, supervision humaine native, documentation technique accessible).

Établissements de santé et cliniques

L'IA Act classe les systèmes de diagnostic médical assisté par IA en risque élevé (Annexe III, point 5). Un médecin qui utilise un LLM pour analyser des dossiers patients ou suggérer des diagnostics doit :

  • S'assurer que le modèle a été entraîné sur des données médicales représentatives et non biaisées (Article 10)
  • Conserver des logs détaillés de chaque interaction (Article 12)
  • Garantir que le médecin reste maître de la décision finale (Article 14)

Or, en France, toute donnée de santé doit être hébergée chez un prestataire certifié HDS (Hébergement de Données de Santé). Les LLM cloud américains (OpenAI, Anthropic, Google) ne sont pas HDS. Utiliser ChatGPT pour analyser un dossier patient est donc doublement illégal : violation du RGPD (Article 9 sur les données de santé) et non-conformité à l'IA Act.

PME et ETI industrielles (R&D, brevets)

Une entreprise qui utilise un LLM pour analyser des brevets concurrents, optimiser des formulations chimiques, ou concevoir des pièces mécaniques manipule des secrets d'affaires. L'Article 39 du TRIPS (accord international sur la propriété intellectuelle) impose de protéger ces informations contre toute divulgation non autorisée.

Envoyer ces données à un LLM cloud expose l'entreprise à deux risques :

  1. Perte de la protection juridique du secret : si l'information a été divulguée à un tiers (même un fournisseur cloud), elle n'est plus considérée comme secrète au sens du droit
  2. Risque de réutilisation par le fournisseur : même si OpenAI ou Anthropic promettent de ne pas entraîner leurs modèles sur vos données, rien ne garantit qu'une filiale, un sous-traitant ou une autorité américaine (via le CLOUD Act) n'y aura pas accès

Avec l'IA Act, si ce LLM est utilisé pour des décisions stratégiques (choix de R&D, validation de brevets), il peut être classé en risque élevé (Annexe III, point 2 : « Accès aux services essentiels »). L'entreprise doit alors prouver qu'elle maîtrise la traçabilité et la sécurité du système — ce qui est impossible avec un cloud tiers.

Comment se mettre en conformité : les trois piliers

1. Cartographier vos cas d'usage d'IA

Listez tous les systèmes d'IA utilisés dans votre organisation (LLM, outils de recrutement, scoring client, analyse prédictive) et classez-les selon la grille de risque de l'IA Act. Pour chaque système, identifiez :

  • Le fournisseur (interne ou externe)
  • Le cas d'usage précis (recrutement, analyse juridique, diagnostic, etc.)
  • Les données traitées (personnelles, sensibles, confidentielles)
  • Le niveau de supervision humaine actuel

2. Évaluer votre exposition réglementaire

Pour chaque système à risque élevé, vérifiez si vous pouvez répondre aux six obligations de l'IA Act (Articles 9 à 15). Posez-vous ces questions :

  • Puis-je accéder aux logs de toutes les requêtes envoyées au LLM ?
  • Puis-je auditer les données d'entraînement du modèle ?
  • Puis-je garantir qu'aucune donnée sensible ne quitte mon infrastructure ?
  • Puis-je prouver qu'un humain supervise chaque décision critique ?

Si la réponse est « non » à l'une de ces questions, vous êtes en situation de non-conformité potentielle.

3. Choisir une architecture conforme by design

Pour les cas d'usage à risque élevé ou impliquant des données sensibles (secret professionnel, santé, R&D), l'IA on-premise est la seule solution structurellement conforme à l'IA Act. Pourquoi ?

  • Traçabilité totale : tous les logs restent sur votre infrastructure, vous maîtrisez la journalisation (Article 12)
  • Souveraineté des données : zéro donnée ne sort de votre réseau, respect du RGPD et du secret professionnel
  • Supervision humaine native : l'utilisateur interagit directement avec le modèle, sans intermédiaire cloud
  • Documentation technique accessible : vous pouvez auditer le modèle (Mistral, Llama, Gemma sont open source), vérifier les biais, tester la robustesse
  • Pas de dépendance à un fournisseur américain : vous n'êtes pas soumis au CLOUD Act, vous contrôlez les mises à jour du modèle

LMbox : la conformité IA Act en 10 jours

LMbox est une appliance IA souveraine conçue pour répondre nativement aux exigences de l'IA Act. Installée dans vos locaux, elle vous permet de déployer un LLM de dernière génération (Mistral Small 4, Llama 3, Gemma) sans jamais exposer vos données à un cloud tiers.

Concrètement, LMbox vous garantit :

  • Conformité Article 12 : logs locaux de toutes les interactions, traçabilité complète
  • Conformité Article 14 : supervision humaine native, l'utilisateur garde le contrôle
  • Conformité Article 10 : modèles open source auditables, pas de boîte noire
  • Conformité RGPD + secret professionnel : zéro donnée ne quitte votre infrastructure
  • Déploiement en 10–15 jours : livraison, configuration, formation incluses
  • TCO maîtrisé : pas de facturation au token, coût fixe prévisible

Vous êtes DSI, DPO ou directeur juridique et vous devez mettre votre organisation en conformité avec l'IA Act avant février 2025 ? Calculez votre ROI et découvrez comment LMbox peut sécuriser vos cas d'usage critiques : Accédez au calculateur de TCO ou Réservez une démo personnalisée pour voir LMbox en action sur vos propres documents.

Et si on en discutait ?

30 minutes pour comprendre votre contexte, identifier les premiers cas d'usage et chiffrer la valeur. Sans engagement.

Demander une démo