Guide IA Act
IA Act :
suis-je concerné ?
Dès qu'une organisation utilise un outil d'IA — même un simple chatbot ou un logiciel de tri de CV — l'IA Act peut s'appliquer. Voici comment savoir si vous êtes concerné, et ce que ça implique concrètement.
Un règlement basé sur le niveau de risque.
L'IA Act ne réglemente pas l'IA en général : il classe chaque usage selon son niveau de risque, et adapte les obligations en conséquence. Plus l'impact potentiel sur les personnes est important, plus les exigences sont strictes.
Risque inacceptable
Purement et simplement interdit : notation sociale, manipulation comportementale, certains usages de reconnaissance faciale en temps réel.
Risque élevé
Autorisé, sous conditions strictes : recrutement, scoring de crédit, évaluation scolaire, certains usages RH ou d'accès à des services essentiels.
Risque limité
Obligation de transparence : chatbots, générateurs de contenu, deepfakes — la personne doit savoir qu'elle interagit avec une IA.
Risque minimal
La majorité des usages courants (filtres anti-spam, recommandation de contenu simple) — aucune obligation spécifique liée à l'IA Act.
La plupart des organisations qui utilisent l'IA se situent en risque limité (obligation de transparence) ou découvrent qu'un outil RH, de sélection ou de notation les fait basculer en risque élevé sans s'en rendre compte.
Vous n'avez pas besoin de créer une IA pour être concerné.
L'IA Act distingue deux rôles. La plupart des PME et associations n'imaginent pas qu'elles entrent déjà dans le champ du texte.
Fournisseur
Celui qui développe ou fait développer un système d'IA pour le mettre sur le marché. Concerne surtout les éditeurs de logiciels.
Déployeur — c'est probablement vous
Celui qui utilise un système d'IA dans le cadre de son activité professionnelle : un cabinet qui utilise un outil de tri de CV, une association qui utilise un chatbot, une PME qui utilise un outil de scoring client. Le déployeur a lui aussi des obligations propres.
Ce que l'IA Act vous demande de faire.
Le détail exact dépend de votre niveau de risque, mais quatre chantiers reviennent systématiquement.
Classifier vos outils
Identifier chaque système d'IA utilisé et déterminer son niveau de risque (article 6).
Informer les personnes
Notice de transparence quand une personne interagit avec une IA ou en subit une décision (article 50).
Garder un humain dans la boucle
Désigner une supervision humaine pour les usages à risque élevé (article 26).
Tenir un registre IA
Inventorier vos systèmes d'IA — à articuler avec votre registre RGPD existant.
Le piège le plus fréquent
L'IA Act ne remplace pas le RGPD — il s'y ajoute.
Dès qu'un système d'IA traite des données personnelles — ce qui est presque toujours le cas — les deux réglementations s'appliquent en parallèle. Être conforme RGPD ne suffit pas à être conforme IA Act, et inversement. C'est pour ça que VIGIL traite les deux sujets ensemble plutôt que comme deux dossiers séparés.
Voir le détail des risques financiers (RGPD + IA Act) →Vous ne savez pas où vous en êtes ?
15 minutes suffisent pour situer votre organisation et savoir ce qui s'applique réellement à vous.
Faire le point avec nousContenu à visée informative, à jour au moment de sa rédaction. Il ne constitue pas un conseil juridique personnalisé au sens de la loi n°71-1130 du 31 décembre 1971 — chaque situation mérite une analyse dédiée.