Guide IA Act

IA Act :
suis-je concerné ?

Dès qu'une organisation utilise un outil d'IA — même un simple chatbot ou un logiciel de tri de CV — l'IA Act peut s'appliquer. Voici comment savoir si vous êtes concerné, et ce que ça implique concrètement.

Le principe

Un règlement basé sur le niveau de risque.

L'IA Act ne réglemente pas l'IA en général : il classe chaque usage selon son niveau de risque, et adapte les obligations en conséquence. Plus l'impact potentiel sur les personnes est important, plus les exigences sont strictes.

Risque inacceptable

Purement et simplement interdit : notation sociale, manipulation comportementale, certains usages de reconnaissance faciale en temps réel.

Risque élevé

Autorisé, sous conditions strictes : recrutement, scoring de crédit, évaluation scolaire, certains usages RH ou d'accès à des services essentiels.

Risque limité

Obligation de transparence : chatbots, générateurs de contenu, deepfakes — la personne doit savoir qu'elle interagit avec une IA.

Risque minimal

La majorité des usages courants (filtres anti-spam, recommandation de contenu simple) — aucune obligation spécifique liée à l'IA Act.

La plupart des organisations qui utilisent l'IA se situent en risque limité (obligation de transparence) ou découvrent qu'un outil RH, de sélection ou de notation les fait basculer en risque élevé sans s'en rendre compte.

Un point souvent mal compris

Vous n'avez pas besoin de créer une IA pour être concerné.

L'IA Act distingue deux rôles. La plupart des PME et associations n'imaginent pas qu'elles entrent déjà dans le champ du texte.

Fournisseur

Celui qui développe ou fait développer un système d'IA pour le mettre sur le marché. Concerne surtout les éditeurs de logiciels.

Déployeur — c'est probablement vous

Celui qui utilise un système d'IA dans le cadre de son activité professionnelle : un cabinet qui utilise un outil de tri de CV, une association qui utilise un chatbot, une PME qui utilise un outil de scoring client. Le déployeur a lui aussi des obligations propres.

Concrètement

Ce que l'IA Act vous demande de faire.

Le détail exact dépend de votre niveau de risque, mais quatre chantiers reviennent systématiquement.

Classifier vos outils

Identifier chaque système d'IA utilisé et déterminer son niveau de risque (article 6).

Informer les personnes

Notice de transparence quand une personne interagit avec une IA ou en subit une décision (article 50).

Garder un humain dans la boucle

Désigner une supervision humaine pour les usages à risque élevé (article 26).

Tenir un registre IA

Inventorier vos systèmes d'IA — à articuler avec votre registre RGPD existant.

Voir comment VIGIL couvre chacun de ces points →

Le piège le plus fréquent

L'IA Act ne remplace pas le RGPD — il s'y ajoute.

Dès qu'un système d'IA traite des données personnelles — ce qui est presque toujours le cas — les deux réglementations s'appliquent en parallèle. Être conforme RGPD ne suffit pas à être conforme IA Act, et inversement. C'est pour ça que VIGIL traite les deux sujets ensemble plutôt que comme deux dossiers séparés.

Voir le détail des risques financiers (RGPD + IA Act) →

Vous ne savez pas où vous en êtes ?

15 minutes suffisent pour situer votre organisation et savoir ce qui s'applique réellement à vous.

Faire le point avec nous

Contenu à visée informative, à jour au moment de sa rédaction. Il ne constitue pas un conseil juridique personnalisé au sens de la loi n°71-1130 du 31 décembre 1971 — chaque situation mérite une analyse dédiée.