Votre entreprise
doit être conforme
à l'EU AI Act

L'EU AI Act (Règlement UE 2024/1689) est le premier cadre juridique mondial contraignant sur l'intelligence artificielle, publié au Journal Officiel de l'UE le 12 juillet 2024 et entré en vigueur le 1er août 2024. Il s'applique à toute organisation qui développe, met sur le marché, déploie ou utilise des systèmes IA dans l'UE — y compris les entreprises hors UE ciblant le marché européen.

Il classe les systèmes IA selon 4 niveaux de risque et impose des obligations proportionnées :

• 🚫 Niveau 1 — Interdit (Art. 5) : manipulation comportementale, social scoring, biométrie en temps réel dans l'espace public
• 🔴 Niveau 2 — Haut risque (Annexe III) : recrutement, crédit, santé, éducation, répression, justice → obligations documentaires lourdes
• 🟡 Niveau 3 — Risque limité (Art. 50-52) : chatbots, deepfakes → obligations de transparence (indiquer qu'on interagit avec une IA)
• 🟢 Niveau 4 — Risque minimal : pas d'obligation légale spécifique, codes de conduite volontaires

Il s'articule avec le RGPD, le DSA et le CRA, créant un empilement réglementaire numérique que SOTELI intègre dans ses audits.

Oui, absolument. L'EU AI Act s'applique aux déployeurs — les entreprises qui utilisent des systèmes IA développés par des tiers. Si vous utilisez Salesforce, SAP, Workday, un ATS avec scoring automatique, ou tout outil SaaS intégrant de l'IA pour influencer des décisions impactant des personnes, vous avez des obligations de conformité.

En tant que déployeur (Art. 26), vous êtes notamment tenu de :

• Utiliser les systèmes IA selon les instructions du fournisseur
• Assurer la surveillance humaine effective des systèmes
• Signaler les incidents graves aux autorités compétentes
• Auditer vos fournisseurs SaaS pour vérifier leur conformité

La lacune la plus fréquente : 95 % des DRH ignorent que leur ATS intègre de l'IA classifiée haut risque. Une cartographie de vos usages est la première étape indispensable.

Les deux réglementations sont complémentaires et distinctes :

Attention : la conformité RGPD ne garantit pas la conformité AI Act. Un système IA traitant des données personnelles doit satisfaire les deux réglementations simultanément. SOTELI intègre cette double dimension dans tous ses audits.

L'EU AI Act s'applique progressivement par vagues :

Depuis février 2025, l'article 4 impose aux entreprises de garantir que leurs collaborateurs utilisant ou supervisant des systèmes IA disposent d'un niveau suffisant de compétences IA ("AI literacy"). Cela inclut la compréhension du fonctionnement des outils, de leurs limites, de leurs biais potentiels et des règles de supervision humaine.

Cette obligation s'applique dès maintenant à tous les collaborateurs exposés à l'IA, quelle que soit la taille de l'entreprise. SOTELI propose des formations adaptées par métier : DPO, DSI, DRH, managers, commerciaux.

L'Article 11 combiné à l'Annexe IV impose un dossier technique complet avant toute mise en service d'un système IA à haut risque. Ce dossier doit inclure :

• Description générale du système IA et de ses objectifs
• Spécifications des données d'entraînement, de validation et de test
• Architecture technique et description algorithmique
• Métriques de performance et limites connues du système
• Description des mesures de contrôle humain (Art. 14)
• Plan de surveillance post-commercialisation (Art. 72)

Lacune la plus fréquente : la quasi-totalité des entreprises déploient des systèmes IA sans aucune documentation de ce type. SOTELI automatise partiellement la génération de ces dossiers grâce à des agents IA spécialisés.

L'EU AI Act crée de facto le rôle d'AI Officer dans les organisations déployant des systèmes IA à haut risque. Ce rôle est distinct du DPO (RGPD) : le DPO seul ne couvre pas les obligations AI Act, même s'il peut être formé pour les cumuler.

L'AI Officer est responsable de :

• La cartographie et la classification des systèmes IA
• La supervision du programme de conformité AI Act
• Le signalement des incidents graves aux autorités (Art. 73)
• La liaison avec les fournisseurs IA et la gestion des contrats
• La formation des équipes à la littératie IA (Art. 4)

Stat clé : dans 70 % des entreprises auditées, les dirigeants pensent que leur DPO gère l'AI Act — ce qui n'est pas le cas sans formation dédiée. SOTELI forme les DPO et assiste à la nomination des AI Officers.

Oui, de deux façons distinctes :

1. Les fournisseurs de GPAI (modèles à usage général) — OpenAI, Google, Anthropic, Mistral — ont depuis août 2025 des obligations de transparence sur leurs données d'entraînement (Art. 53) et de politique de droits d'auteur. Ces modèles peuvent aussi recevoir le statut de "GPAI à risque systémique" si leur puissance de calcul dépasse 10²⁵ FLOPs.

2. Vous, en tant que déployeur — si vos équipes utilisent ChatGPT, Copilot ou Claude, vous avez l'obligation (Art. 50) de marquer les contenus générés par IA (textes, images, audio, vidéo) sur vos communications externes. Les contenus IA non marqués constituent une infraction. Par ailleurs, une politique d'usage interne de l'IA générative est fortement recommandée.

L'Article 72 impose un plan de surveillance post-commercialisation formel pour tout système IA à haut risque. Concrètement :

• Art. 12 — Journalisation : enregistrement automatique des événements pendant toute la durée de vie du système (logs horodatés, conservés selon réglementation sectorielle)
• Art. 72 — Plan de surveillance : détection des dérives (data drift), des anomalies comportementales, des biais émergents
• Art. 73 — Signalement incidents : notification obligatoire aux autorités nationales en cas d'incident grave ou de risque sérieux — dans des délais stricts

La lacune la plus critique : la plupart des systèmes IA en production n'ont aucune capacité de traçabilité ou de monitoring dédié. SOTELI déploie des couches d'observabilité (Prometheus, Grafana, MLflow) sur les systèmes existants.

Oui — c'est l'une des catégories les plus exposées. L'Annexe III §4 classe en haut risque :

• ATS (Applicant Tracking System) avec scoring ou filtrage automatique de candidats
• Systèmes d'évaluation des performances avec IA
• Surveillance des salariés intégrant de l'IA
• Outils de gestion des promotions et licenciements assistés par IA

Le problème majeur : la quasi-totalité des ATS modernes (Workday, SAP SuccessFactors, Taleo, SmartRecruiters) intègrent de l'IA de scoring — souvent sans que les DRH en soient informés. En tant que déployeur, votre responsabilité est engagée même si l'IA est dans un outil SaaS tiers. Un audit fournisseur est obligatoire.

Le secteur financier est classé priorité maximale ★★★★★ d'exposition. Les systèmes IA à haut risque concernés (Annexe III §5) :

• Scoring crédit & évaluation de solvabilité — tout modèle influençant l'octroi de crédit
• Tarification assurance-vie et santé — IA de personnalisation des primes
• Détection de fraude — si décisions automatiques sans validation humaine
• Trading algorithmique — sous surveillance renforcée
• Chatbots conseil financier — obligations de transparence (Art. 50)

Lacune critique : les modèles de scoring anciens (pré-2021) n'ont aucune documentation de conformité AI Act. Une mise à niveau documentaire est urgente avant août 2026. SOTELI intervient auprès des établissements financiers, fintechs, assureurs et courtiers.

Oui — et c'est une priorité haute ★★★★☆. Les administrations françaises utilisent massivement de l'IA (CAF, Pôle Emploi, Impôts, services de police) sans plan de conformité. Les obligations s'appliquent aux :

• Décisions administratives assistées par IA (prestations sociales, droits)
• Systèmes de surveillance biométrique (règles très strictes)
• Marchés publics incluant des composants IA (les acheteurs publics doivent désormais exiger la conformité AI Act dans les clauses techniques)

Alerte : aucun AI Officer n'est encore nommé dans la plupart des collectivités françaises. L'exposition est réelle et sous-estimée.

L'EU AI Act prévoit trois niveaux de sanction (Art. 99 & 101), toujours retenus au montant le plus élevé entre un plafond fixe et un % du CA mondial :

⚠️ Pour une ETI de 100 M€ de CA, la sanction maximale peut atteindre 7 M€ — soit plusieurs années de bénéfices.

Oui — depuis février 2025. Les interdictions de l'Article 5 sont applicables depuis cette date. Votre entreprise est potentiellement en infraction si vous déployez :

• Des outils marketing utilisant des techniques d'influence subliminale
• Des outils RH exploitant les vulnérabilités ou biais socio-économiques
• Des systèmes de surveillance biométrique en temps réel
• Des outils d'inférence des émotions sur le lieu de travail

Par ailleurs, depuis août 2025, les contenus générés par IA non marqués sur vos communications constituent également une infraction (Art. 50). Un audit immédiat de vos usages IA est recommandé.

SOTELI propose des offres adaptées à la taille et aux besoins de chaque organisation :

Une mise en conformité complète pour un système IA à haut risque prend 12 à 18 mois en moyenne. Chaque mois compte. Voici les grandes étapes :

1. Mois 1-2 : Cartographie et inventaire de tous les systèmes IA (audit flash)
2. Mois 2-3 : Classification par niveau de risque et gap analysis
3. Mois 3-6 : Documentation technique (Annexe IV), politique de gouvernance des données
4. Mois 4-8 : Mise en place du monitoring, des logs, du contrôle humain
5. Mois 6-10 : Formation des équipes (AI literacy) et nomination de l'AI Officer
6. Mois 10-18 : Évaluation de conformité, déclaration UE, enregistrement base de données EUBA

Si vous n'avez pas encore commencé et que la deadline d'août 2026 approche, chaque semaine perdue réduit votre marge de manœuvre. Contactez SOTELI pour un audit d'urgence prioritaire.

Oui, la norme ISO/IEC 42001 (Système de Management de l'IA) est complémentaire à l'EU AI Act. Une certification ISO 42001 peut faciliter la démonstration de conformité réglementaire et constitue un avantage compétitif fort vis-à-vis des clients et partenaires.

SOTELI intègre les recommandations ISO 42001 et NIST AI RMF dans sa méthodologie d'accompagnement. Une démarche ISO 42001 menée en parallèle de la mise en conformité AI Act permet d'optimiser les efforts et les coûts documentaires.

La première étape incontournable est la cartographie de vos systèmes IA. Voici les 5 actions immédiates à engager :

1. Inventoriez vos outils — listez tous les logiciels SaaS, outils internes, APIs et modèles IA utilisés dans votre organisation
2. Identifiez vos déployeurs — désignez une personne responsable (AI Officer ou DPO formé)
3. Classifiez les risques — déterminez si vos systèmes entrent dans les catégories haut risque de l'Annexe III
4. Auditez vos fournisseurs SaaS — vérifiez leur conformité et leurs engagements contractuels AI Act
5. Faites le diagnostic SOTELI — audit flash de 30 minutes pour obtenir une vue claire de votre exposition