Mise en conformité Intelligence Artificielle — AI Act, RGPD, ISO 42001.
L'année 2026 marque la généralisation des obligations européennes sur l'intelligence artificielle. Le règlement AI Act (UE 2024/1689) entré en vigueur en août 2024 déploie ses échéances progressives : interdictions depuis le 2 février 2025, obligations sur les modèles d'usage général depuis le 2 août 2025, mise en application des systèmes haut risque au 2 décembre 2027 (selon l'accord politique du Digital Omnibus du 7 mai 2026, sous réserve de confirmation au Journal officiel de l'Union européenne).
Les sanctions atteignent 35 millions d'euros ou 7 % du chiffre d'affaires mondial pour les violations les plus graves (article 99 du règlement), 15 millions ou 3 % pour les manquements aux obligations de gouvernance, 7,5 millions ou 1 % pour les défauts d'information aux autorités. À titre de comparaison, le RGPD plafonnait à 20 millions ou 4 %. L'AI Act change l'échelle du risque réglementaire.
Le sujet n'est plus instructible à la marge par la seule direction juridique. Il engage la direction générale (arbitrage stratégique), la direction informatique (mise en œuvre), la direction des ressources humaines (systèmes RH haut risque), la direction commerciale (clauses contractuelles, due diligence partenaires), et la direction de l'audit interne. La conformité IA est devenue un sujet de comité de direction.
Règlement (UE) 2024/1689 sur l'intelligence artificielle. Classification des systèmes en quatre catégories (interdit, haut risque, transparence, risque minimal), obligations renforcées pour les systèmes haut risque (annexe III), sanctions financières dissuasives, autorité compétente nationale en France à confirmer. Voir AI Act.
Règlement (UE) 2016/679. Tout traitement de données personnelles par un système IA reste soumis au RGPD : base légale, information des personnes, droits d'accès, analyse d'impact (article 35), décisions automatisées (article 22). Articulation parfois complexe avec l'AI Act. Voir RGPD et IA.
Norme internationale ISO/IEC 42001:2023 publiée en décembre 2023, dédiée au management des systèmes d'intelligence artificielle. Pas obligatoire, mais en cours de structuration comme référentiel d'audit interne et de certification volontaire. Sa logique s'aligne avec les exigences AI Act. Voir ISO 42001.
La Commission nationale de l'informatique et des libertés assume historiquement le contrôle RGPD. Sur l'IA, son rôle est en cours d'extension : guidelines successives depuis 2022, recommandations sur les systèmes haut risque, doctrine sur l'usage de ChatGPT en entreprise, contrôles thématiques annoncés. Voir CNIL et IA.
Au-delà des trois piliers généralistes, plusieurs secteurs ont leur cadre IA spécifique : santé (MDR, HDS, certification médicale), finance (DORA, recommandations ACPR/EBA), assurance (EIOPA), éducation, transport. Articulation à étudier au cas par cas.
L'introduction d'un système IA en entreprise constitue une modification importante des conditions de travail. Information-consultation du CSE au titre des articles L.2312-8 et suivants. Articulation avec les accords de branche émergents sur l'IA et les bonnes pratiques sociales.
| Échéance | Obligations applicables | Sanction maximale |
|---|---|---|
| 2 février 2025 | Interdiction des systèmes prohibés (scoring social, manipulation, biométrie en temps réel, etc.) + obligation d'AI literacy (article 4) | 35 M€ ou 7 % CA mondial |
| 2 août 2025 | Obligations applicables aux modèles d'IA à usage général (GPAI) : documentation, gouvernance, droit d'auteur, sécurité | 15 M€ ou 3 % CA mondial |
| 2 août 2026 | Régime général : gouvernance, autorités, code de conduite, modèles GPAI à risque systémique | 15 M€ ou 3 % CA mondial |
| 2 décembre 2027 | Systèmes haut risque listés à l'annexe III (RH, éducation, justice, santé, services essentiels, etc.) — sous réserve de confirmation au JO UE du règlement Digital Omnibus | 15 M€ ou 3 % CA mondial |
| 2 août 2028 | Systèmes haut risque intégrés dans des produits soumis à évaluation de conformité préalable (annexe I) | 15 M€ ou 3 % CA mondial |
Lecture pratique pour une entreprise française : les obligations d'AI literacy s'appliquent dès aujourd'hui — la formation des collaborateurs est devenue une condition légale, pas une option. Les obligations sur les systèmes haut risque listés à l'annexe III (qui couvrent notamment le recrutement, l'évaluation des employés, l'attribution de notes ou de droits) seront applicables au 2 décembre 2027 — soit 19 mois pour s'y préparer, calendrier serré pour les grandes organisations.
La gouvernance européenne de l'AI Act repose sur trois niveaux articulés :
En pratique, dès aujourd'hui, c'est la CNIL qui exerce le contrôle effectif sur les usages IA traitant des données personnelles — soit la majorité des cas d'usage entreprise. Son orientation 2026 vise notamment les systèmes haut risque en RH et en évaluation des personnes, et l'usage non encadré d'outils IA grand public sur des données professionnelles (le « shadow AI »).
Notre mission d'audit de conformité IA aboutit à un plan d'action chiffré et opposable, sur les trois axes AI Act, RGPD et ISO 42001. La démarche se déroule en cinq étapes :
Inventaire exhaustif des systèmes d'IA utilisés dans l'organisation, qu'ils soient développés en interne, fournis par un tiers, ou utilisés en mode « shadow AI » (sans cadre formel). La cartographie typique sur une ETI identifie entre 15 et 50 systèmes.
Pour chaque système : classification AI Act (interdit / haut risque / transparence / risque minimal), évaluation RGPD (base légale, sensibilité des données, article 22), risques sectoriels, articulation avec les conventions collectives.
Confrontation de chaque système aux obligations applicables : documentation technique (article 11), gouvernance des données (article 10), supervision humaine (article 14), transparence utilisateur (article 13), traçabilité (article 12), gestion des risques (article 9).
Plan d'action structuré par échéance réglementaire et par niveau de risque. Chaque action est chiffrée (charge interne, coût externe) et associée à un porteur identifié et à une date cible. Vue d'ensemble sous forme de feuille de route 12-24 mois.
Mise en place du registre des systèmes IA (article 12), désignation d'un référent IA, structuration du comité IA (en articulation avec le DPO et la direction juridique), définition de la politique d'usage. Voir Gouvernance IA.
Le coût d'une mission de conformité IA varie selon la taille de l'organisation, le nombre de systèmes IA inventoriés, le secteur d'activité et le niveau d'exposition au haut risque AI Act :
Audit complet en 4 à 8 semaines. Cartographie de 5 à 15 systèmes IA. Plan d'action 12 mois. Budget indicatif : 15 000 à 35 000 € HT.
Audit complet en 8 à 14 semaines. Cartographie de 15 à 50 systèmes IA. Plan d'action 18-24 mois avec gouvernance. Budget indicatif : 45 000 à 90 000 € HT.
Audit conduit par filiale ou direction, 14 à 24 semaines. Cartographie supérieure à 50 systèmes, articulation avec les autorités sectorielles. Budget indicatif : 80 000 à 150 000 € HT, voire plus pour les transformations multi-pays.
Détail complet des tarifs sur notre page Offres. Toute mission donne lieu à un devis détaillé après un appel de cadrage.
Oui. Le règlement européen sur l'intelligence artificielle ne contient pas d'exonération pour les PME. Toutefois, son régime est proportionné : les obligations les plus lourdes (documentation technique exhaustive, supervision humaine systématique, registre détaillé) ne s'appliquent qu'aux systèmes qualifiés de haut risque. La plupart des PME utilisent uniquement des systèmes de la catégorie « risque minimal » (assistant IA généraliste, traduction, génération de contenu), pour lesquels les obligations sont limitées. L'obligation d'AI literacy (article 4) s'applique en revanche à toutes les entreprises sans exception.
Le règlement européen distingue trois rôles : le fournisseur (qui développe et place sur le marché un système IA), le déployeur (qui utilise un système IA sous sa propre autorité), et l'importateur/distributeur. Une entreprise française qui utilise ChatGPT en interne est « déployeur ». Une entreprise qui développe son propre agent IA pour ses clients est « fournisseur » et engage des obligations renforcées. La même organisation peut cumuler les deux rôles selon les systèmes considérés.
Le « shadow AI » — usage d'outils IA grand public (ChatGPT, Claude, Gemini, Perplexity, etc.) sans cadre interne — est devenu le premier facteur de risque conformité dans les entreprises françaises. La démarche typique consiste à : (1) mesurer le phénomène par un audit interne et des entretiens, (2) publier une politique d'usage interne formelle, (3) mettre à disposition des outils encadrés (versions Enterprise des LLM avec engagement de non-réutilisation des données), (4) former les collaborateurs, (5) intégrer le sujet dans la cartographie des risques RGPD.
Pas obligatoire à ce stade. La certification ISO 42001 est un référentiel volontaire de management des systèmes IA, publié en décembre 2023. Elle structure utilement la gouvernance interne et facilite les démarches commerciales (notamment vis-à-vis de clients grands comptes qui l'exigent dans leur due diligence). Notre cabinet recommande d'engager une démarche d'alignement avec la norme dans le cadre des missions de mise en conformité, sans nécessairement viser une certification formelle à court terme. L'alignement structure la gouvernance ; la certification ajoute une validation externe.
Le règlement Digital Omnibus, dont l'accord politique a été trouvé le 7 mai 2026, vise à harmoniser et simplifier plusieurs textes numériques européens. Sur l'AI Act, il prévoit notamment un report de la mise en application des obligations relatives aux systèmes haut risque listés à l'annexe III — du 2 août 2026 au 2 décembre 2027. Sous réserve de confirmation par publication au Journal officiel de l'Union européenne, ce report donne 19 mois supplémentaires aux organisations pour préparer leur mise en conformité haut risque. Il ne modifie en revanche pas le calendrier des obligations déjà applicables.
Oui systématiquement. Une mission de conformité IA Expert IA est articulée avec votre DPO et votre direction juridique — ce sont eux qui assument la responsabilité opérationnelle dans la durée. Notre rôle est d'apporter l'expertise spécifique IA, de structurer la démarche, et de produire les livrables documentaires opposables. La maintenance ultérieure du registre des systèmes IA, l'instruction des nouvelles initiatives, et le dialogue avec les autorités relèvent de vos fonctions internes.
Parlons de votre projet
Échangez avec un dirigeant Expert IA pour structurer votre projet d'intelligence artificielle — diagnostic du contexte, identification des cas d'usage prioritaires, cadrage de la démarche.