AI Act, le règlement européen sur l'IA.

Qui est concerné ?

Toute organisation qui développe, fournit, importe, distribue ou utilise un système d'IA sur le marché européen. Que vous soyez fournisseur (qui met sur le marché le système) ou déployeur (qui l'utilise dans vos opérations), des obligations s'appliquent.

Concrètement : si vos équipes utilisent ChatGPT, Claude, Copilot, ou un outil d'IA pour scorer des candidats RH, modérer du contenu, automatiser des décisions, l'AI Act vous concerne. Pareil pour les outils d'IA développés en interne.

Obligations clés

Les obligations dépendent du niveau de risque du système d'IA :

• Risque inacceptable (interdit) : notation sociale par les autorités, manipulation cognitive, exploitation de personnes vulnérables, identification biométrique en temps réel dans l'espace public (avec exceptions strictes).
• Risque élevé : RH (tri de CV, évaluation), accès à l'éducation et aux services essentiels, application de la loi, contrôle aux frontières, biométrie d'identification. Obligations majeures : système de gestion de la qualité, documentation technique, surveillance humaine, robustesse, transparence, journalisation, marquage CE.
• Risque limité : chatbots, deepfakes, générateurs de contenu. Obligation principale : transparence (l'utilisateur doit savoir qu'il interagit avec une IA, le contenu généré par IA doit être identifié comme tel).
• Risque minimal : la majorité des usages (filtres anti-spam, IA dans les jeux). Pas d'obligation spécifique, code de conduite encouragé.

Pour les modèles d'IA à usage général (GPAI) comme GPT-4, Claude, Gemini : obligations de documentation technique, transparence sur les données d'entraînement, respect du droit d'auteur. Obligations renforcées pour les modèles à risque systémique.

Échéances

• 2 février 2025 : interdiction des pratiques à risque inacceptable.
• 2 août 2025 : obligations sur les modèles GPAI, sanctions, gouvernance.
• 2 août 2026 : application complète aux systèmes à haut risque (sauf produits encadrés par législation sectorielle, pour lesquels la date est différée).
• 2 août 2027 : application aux systèmes à haut risque intégrés à des produits soumis à législation sectorielle (jouets, dispositifs médicaux, etc.).

Sanctions en cas de non-conformité

Sanctions administratives très élevées : jusqu'à 35 millions d'euros ou 7 % du chiffre d'affaires mondial pour les pratiques interdites ; 15 millions ou 3 % pour les autres manquements aux obligations IA ; 7,5 millions ou 1 % pour information incorrecte.

Comment Luxgap vous aide

L'AI Act fait partie du périmètre de notre mandat DPO. Nos juristes inventorient vos systèmes d'IA, les classent par niveau de risque, construisent un plan de mise en conformité et rédigent la documentation requise.

Notre volet IA va plus loin : nous déployons des agents IA conformes par construction (on-premise déconnectés d'Internet pour les secteurs les plus régulés, ou GPAI publiques cadrées contractuellement). C'est ce qui nous distingue : juristes + ingénieurs cyber + développeurs sur un même projet.