La réglementation IA en Europe ne se résume pas à un seul texte. C’est un écosystème législatif complexe — AI Act, RGPD, directive sur la responsabilité IA, normes sectorielles — qui redéfinit les règles du jeu pour toute entreprise qui utilise l’intelligence artificielle. Et les échéances arrivent vite : l’obligation de formation de l’Article 4 est déjà en vigueur, les obligations sur les IA à haut risque s’appliqueront dès août 2026.
Ce panorama fait le point sur chaque texte, chaque échéance, et ce que ça signifie concrètement pour votre entreprise.
À retenir
- L'AI Act est le texte central, mais il n'est pas seul : RGPD, directive responsabilité IA et normes sectorielles s'y ajoutent
- Les obligations se déploient progressivement entre 2025 et 2027 — certaines sont déjà en vigueur
- Le RGPD s'applique à tout traitement de données personnelles par un système d'IA, indépendamment de l'AI Act
- Chaque secteur (finance, santé, RH) a des exigences supplémentaires spécifiques
L’AI Act : le pilier central de la réglementation IA européenne
Le règlement européen sur l’intelligence artificielle (Règlement 2024/1689), dit AI Act, est le premier cadre juridique complet au monde dédié à l’IA. Adopté le 13 juin 2024, il est entré en vigueur le 1er août 2024 avec un déploiement progressif sur trois ans.
L’approche par les risques
L’AI Act classe les systèmes d’IA en quatre niveaux de risque :
Risque inacceptable (interdits) — Scoring social, manipulation comportementale subliminale, reconnaissance faciale en temps réel dans l’espace public (sauf exceptions de sécurité), catégorisation biométrique par race ou orientation sexuelle. Ces pratiques sont interdites depuis le 2 février 2025.
Risque élevé — Systèmes utilisés dans le recrutement, l’éducation, l’évaluation de crédit, la justice, la migration, les infrastructures critiques. Obligations lourdes : évaluation de conformité, documentation technique, contrôle humain, gestion des risques. Application à partir du 2 août 2026.
Risque limité — Chatbots, deepfakes, systèmes de génération de contenu. Obligations de transparence : informer l’utilisateur qu’il interagit avec une IA ou que le contenu est généré par IA.
Risque minimal — Filtres anti-spam, jeux vidéo, outils de productivité. Pas d’obligation spécifique, mais l’Article 4 sur la formation s’applique à tous.
2 août 2025
date d'entrée en vigueur de l'Article 4 de l'AI Act — l'obligation de formation IA concerne déjà toutes les entreprises
Source : AI Act, Article 113
Le calendrier de déploiement
| Date | Obligation |
|---|---|
| 2 février 2025 | Interdiction des pratiques à risque inacceptable |
| 2 août 2025 | Article 4 : obligation de compétences IA + règles sur les modèles GPAI |
| 2 août 2026 | Obligations pour les systèmes d’IA à haut risque |
| 2 août 2027 | Application complète, y compris les IA intégrées dans des produits réglementés |
L’Article 4 mérite une attention particulière car il concerne toutes les entreprises, quel que soit le niveau de risque de leurs usages IA. Il impose de garantir un « niveau suffisant de compétences IA » chez tout le personnel qui utilise des systèmes d’IA.
Les sanctions
L’AI Act prévoit trois paliers de sanctions :
- 35 millions d’euros ou 7 % du CA mondial pour les pratiques interdites
- 15 millions d’euros ou 3 % du CA mondial pour les autres violations (dont l’Article 4)
- 7,5 millions d’euros ou 1 % du CA mondial pour la fourniture d’informations inexactes aux autorités
Pour les PME, les sanctions sont proportionnées au chiffre d’affaires, mais restent dissuasives.
Le RGPD : toujours la base pour les données personnelles
Le Règlement Général sur la Protection des Données (2016/679) reste pleinement applicable à tout traitement de données personnelles effectué par un système d’IA. L’AI Act ne remplace pas le RGPD — il s’y ajoute.
Les points de friction courants :
- Base légale — Utiliser un outil d’IA pour analyser des données clients nécessite une base légale RGPD (consentement, intérêt légitime, contrat). Le simple fait que l’outil soit « grand public » ne change rien.
- Transferts hors UE — La plupart des grands LLM (GPT-4, Claude, Gemini) traitent les données sur des serveurs américains. Le cadre de transfert UE-US (Data Privacy Framework) validé en 2023 couvre certains cas, pas tous.
- Droit d’opposition au profilage automatisé — L’article 22 du RGPD encadre strictement les décisions entièrement automatisées. Si votre IA prend des décisions affectant des personnes (tri de CV, scoring client), un contrôle humain est obligatoire.
- AIPD — Une analyse d’impact relative à la protection des données est requise pour tout traitement présentant un « risque élevé » pour les droits des personnes. La CNIL a publié en 2025 un guide spécifique pour les traitements IA.
Les amendes RGPD et AI Act sont cumulables. Une même pratique peut violer les deux textes simultanément. Les entreprises qui traitent des données personnelles via l’IA sont exposées à un double risque de sanctions.
La directive sur la responsabilité IA
La directive européenne sur la responsabilité en matière d’IA (2024/2853) complète le tableau en facilitant les actions en justice des victimes de dommages causés par des systèmes d’IA. Ses principales dispositions :
- Renversement de la charge de la preuve — Le plaignant n’a plus à prouver le lien de causalité exact entre le dysfonctionnement de l’IA et le dommage subi. C’est à l’entreprise de prouver que son IA n’est pas en cause.
- Droit d’accès à la documentation — Les victimes peuvent exiger la divulgation de la documentation technique du système d’IA.
Cette directive entre en application en 2026 et aura un impact majeur dans les secteurs où l’IA interagit directement avec des personnes : santé, services financiers, recrutement.
4,2 Mds€
montant cumulé des amendes RGPD prononcées en Europe depuis 2018 — le précédent pour les sanctions IA
Source : GDPR Enforcement Tracker, mars 2026
Les réglementations sectorielles
Au-delà des textes horizontaux, plusieurs secteurs ont des exigences supplémentaires :
Finance
L’ABE (Autorité bancaire européenne) et l’AEAPP ont publié des lignes directrices sur l’utilisation de l’IA dans l’évaluation de crédit, la détection de fraude et le conseil financier. Le règlement DORA (Digital Operational Resilience Act), en vigueur depuis janvier 2025, impose des exigences de résilience numérique qui couvrent les systèmes d’IA utilisés dans les services financiers.
Santé
Le règlement sur les dispositifs médicaux (MDR 2017/745) classifie certains logiciels d’IA comme dispositifs médicaux. Un outil d’aide au diagnostic basé sur l’IA doit obtenir un marquage CE et satisfaire aux exigences de conformité correspondantes.
Ressources humaines
L’utilisation de l’IA dans le recrutement est classée « haut risque » par l’AI Act. Évaluation de conformité obligatoire, documentation technique exhaustive, contrôle humain systématique sur chaque décision.
Comment se mettre en conformité : une approche structurée
La conformité réglementaire IA n’est pas un projet ponctuel — c’est un processus continu. Voici les étapes prioritaires :
1. Cartographiez vos usages IA. Identifiez tous les systèmes d’IA utilisés dans votre organisation, y compris les outils utilisés par les collaborateurs sans validation officielle. C’est la base de toute démarche de gouvernance IA.
2. Classifiez par niveau de risque. Pour chaque usage, déterminez le niveau de risque AI Act applicable. Les usages à haut risque nécessitent une attention immédiate.
3. Formez vos équipes. L’Article 4 est en vigueur. Chaque collaborateur qui utilise l’IA doit être formé. Brain permet de déployer cette formation rapidement, avec un suivi documenté pour prouver votre conformité.
4. Rédigez votre politique IA. Fixez les règles internes : outils autorisés, données autorisées, processus de validation. Diffusez une charte d’utilisation IA à tous les collaborateurs.
5. Documentez tout. En cas de contrôle, la documentation est votre première ligne de défense. Formations suivies, décisions du comité de gouvernance, évaluations de risques, incidents et mesures correctives.
La France a désigné la CNIL comme autorité nationale de contrôle de l’AI Act. La CNIL a annoncé la création d’un service dédié à l’IA dès 2025, avec des premiers contrôles prévus au second semestre 2026.
Anticipez avec Brain
Le cadre réglementaire est complexe mais les obligations sont claires. La formation des équipes — première obligation en date — est aussi la plus simple à mettre en place.
Brain est conçu pour répondre aux exigences de l’AI Act dès aujourd’hui : des modules de formation pratiques, adaptés à chaque métier, avec un tableau de bord de conformité qui documente les compétences acquises. Consultez nos formules pour trouver la solution adaptée à votre organisation.