Le règlement européen sur l'intelligence artificielle encadre progressivement les systèmes d'IA, y compris ceux déjà intégrés à vos outils du quotidien (Microsoft 365 Copilot, par exemple). SYAGA vous aide à recenser vos usages réels, comprendre les obligations qui vous concernent et construire un plan d'action, sans jargon et sans promesse chiffrée qui ne serait pas vérifiée.
Un règlement européen qui s'applique déjà, souvent sans que l'entreprise l'ait remarqué
Le Règlement (UE) 2024/1689 (source EUR-Lex) encadre la gouvernance des systèmes d'intelligence artificielle au sein de l'Union européenne. Son entrée en application se fait par paliers successifs selon le type d'obligation concernée.
Des fonctionnalités d'intelligence artificielle sont déjà intégrées à des suites bureautiques largement déployées en entreprise, comme Microsoft 365 Copilot. Beaucoup d'organisations les utilisent sans avoir formellement recensé ce périmètre.
Entre les outils fournis par des éditeurs, les développements internes et les agents automatisés déployés sur des plateformes existantes, le périmètre réel des systèmes d'IA utilisés est rarement documenté de manière centralisée.
Comme pour toute réglementation nouvelle, mieux vaut clarifier tôt son périmètre d'exposition que de découvrir une obligation au moment d'un contrôle ou d'une demande d'un client, d'un assureur ou d'un partenaire.
Un accompagnement en 5 étapes, calibré avec vous selon votre périmètre réel de systèmes d'IA
Comprendre le contexte, les outils déjà en place et les projets IA en cours ou envisagés. Objectif : délimiter un périmètre d'analyse réaliste, pas une liste théorique.
Outils éditeurs (dont les fonctionnalités IA déjà incluses dans vos suites bureautiques), développements internes, automatisations et agents déployés sur vos plateformes existantes.
Déterminer, pour chaque système identifié, dans quelle mesure vous en êtes fournisseur ou déployeur au sens du règlement, et quelles obligations générales s'en dégagent pour votre organisation.
Un plan d'action structuré, priorisé selon le risque et l'effort, sans promesse de résultat juridique : les points sensibles sont signalés pour vérification par un conseil juridique spécialisé.
Remise du dossier de cartographie et du plan d'action, avec un temps d'échange pour répondre aux questions de vos équipes.
Des documents de travail concrets, adaptés à votre périmètre réel
Inventaire structuré des usages identifiés lors du cadrage et de la cartographie.
Un document de vulgarisation reliant chaque système identifié aux grandes catégories d'obligations du règlement, en langage clair.
Une feuille de route opérationnelle pour votre organisation.
L'AI Act ne s'analyse pas seul : il s'articule avec des textes que vous connaissez déjà
Texte de référence sur la gouvernance des systèmes d'intelligence artificielle au sein de l'Union européenne. Source : EUR-Lex.
Dès lors qu'un système d'IA traite des données personnelles, les obligations RGPD (Règlement UE 2016/679) restent applicables en parallèle des obligations propres à l'AI Act.
La cartographie des usages d'IA s'inscrit naturellement dans une démarche de gouvernance SI plus large (politique de sécurité, gestion des risques), notamment si votre organisation est déjà concernée par NIS2 ou une démarche ISO 27001.
Des fonctionnalités comme Copilot introduisent de l'IA dans des outils déjà utilisés au quotidien. Leur usage entre dans le périmètre à cartographier, même sans projet IA "visible".
Le périmètre d'un diagnostic AI Act varie trop selon le nombre et la nature des systèmes d'IA utilisés pour proposer un prix générique. Nous établissons un devis après le cadrage.
Périmètre établi avec vous dès l'étape de cadrage
Écrivez-nous pour un premier échange et un devis personnalisé.
Ce que dit vraiment le texte européen sur l'IA, digéré en langage simple. Chaque point renvoie à sa source officielle (Commission européenne, EUR-Lex). Informations collectées le 17/07/2026.
C'est un règlement européen (le "AI Act", texte 2024/1689), publié le 12 juillet 2024 et déjà
"en vigueur". Il fixe des règles communes pour l'intelligence artificielle dans toute l'Union
européenne, quel que soit votre secteur d'activité.
source officielle →
Le règlement s'applique par étapes : les interdictions sont actives depuis le 2 février 2025 ;
les règles de gouvernance et les obligations sur les IA généralistes depuis le 2 août 2025 ; la
majorité des autres obligations (dont l'IA "à haut risque") entrent en vigueur le 2 août 2026.
À noter : la Commission a proposé le 19 novembre 2025 d'ajuster certaines de ces échéances, donc
ces dates peuvent encore légèrement bouger.
source officielle →
Le texte classe les usages de l'IA en 4 catégories : risque inacceptable (interdit), risque
élevé (encadré strictement), risque limité (obligation d'information), et risque minimal - la
grande majorité des usages actuels (par exemple un correcteur anti-spam ou un jeu vidéo), qui
ne sont pas concernés par de nouvelles règles.
source officielle →
Certains usages sont désormais hors-la-loi partout en Europe : manipuler ou tromper les gens
par l'IA, exploiter les vulnérabilités d'une personne, noter les citoyens comme un "score
social", prédire qu'une personne va commettre un crime à partir de son profil, aspirer en masse
des photos du web ou de vidéosurveillance pour créer des bases de reconnaissance faciale,
analyser les émotions au travail ou à l'école, ou encore utiliser la biométrie pour deviner des
origines, une religion ou une orientation.
source officielle →
Exemples cités par la Commission : un outil qui trie des CV, qui gère l'accès à un crédit, ou
qui sert de composant de sécurité dans un transport. Dans ce cas, il faut évaluer et limiter les
risques, utiliser des données de qualité, garder des journaux d'activité, documenter le système,
informer clairement les utilisateurs, prévoir une supervision humaine, et garantir un bon niveau
de robustesse et de cybersécurité.
source officielle →
Pour les usages interdits : jusqu'à 35 millions d'euros ou 7% du chiffre d'affaires mondial
(le montant le plus élevé des deux). Pour les autres manquements au règlement : jusqu'à 15
millions ou 3%. Pour avoir donné des informations trompeuses aux autorités : jusqu'à 7,5 millions
ou 1%. Pour les PME et jeunes entreprises, c'est le montant le plus BAS des deux qui s'applique
(voir le détail sourcé plus bas dans "Les sanctions AI Act, en clair").
source officielle →
Un "Bureau européen de l'IA" a été créé au sein de la Commission européenne (plus de 125
personnes) pour veiller à une application cohérente du règlement, épaulé par un comité
réunissant un représentant de chaque État membre. Chaque pays doit aussi désigner ses propres
autorités nationales de surveillance.
source officielle →
La Commission propose un engagement volontaire, le "AI Pact", pour anticiper la mise en
conformité avant les échéances légales. Plus de 230 entreprises (grands groupes et PME) l'ont
déjà signé. Ces engagements ne sont pas contraignants juridiquement.
source officielle →
Contrairement au RGPD ou à NIS2, l'AI Act ne fixe pas de seuil simple en nombre de salariés ou en chiffre d'affaires. Ce qui déclenche les obligations, c'est votre rôle (fournisseur ou déployeur) et le niveau de risque du système d'IA concerné. Informations collectées le 18/07/2026, sources officielles Commission européenne et EUR-Lex.
Le texte officiel est clair : le règlement s'applique "to both public and private
actors inside and outside the EU, who place an AI system or general-purpose AI model
on the EU market, or put an AI system into service or use it in the EU". Concrètement,
une entreprise établie hors UE peut être concernée dès lors que la sortie de son
système d'IA est destinée à être utilisée dans l'Union.
source officielle →
Celui qui développe le système d'IA ou le met sur le marché. Exemple donné par la
Commission européenne : "a developer of a CV-screening tool" (le développeur d'un
outil de tri de CV). Sont aussi visés les fournisseurs de modèles d'IA à usage général.
source officielle →
Celui qui utilise le système dans son activité professionnelle. Exemple donné par la
Commission : "a bank using this screening tool" (la banque qui utilise l'outil de tri
de CV). Un usage strictement personnel et non professionnel est exclu de cette
définition.
source officielle →
source officielle (EUR-Lex) → · source officielle (FAQ Commission) →
Les PME et jeunes entreprises restent dans le champ du règlement, mais bénéficient
d'amendes administratives proportionnées à leur taille, d'obligations de documentation
technique allégées (accord "AI omnibus"), et de "bacs à sable réglementaires" pour
tester leurs projets d'IA en conditions encadrées.
source officielle →
Le règlement classe tous les usages en 4 niveaux de risque (inacceptable, élevé,
limité, minimal). C'est ce niveau, déterminé par la nature du système et son usage,
qui déclenche (ou non) des obligations, indépendamment du nombre de salariés ou du
chiffre d'affaires de l'organisation qui l'utilise.
source officielle →
Liste indicative des grandes familles d'usages pouvant relever du "haut risque", telle que présentée par la Commission européenne :
Pas de jargon juridique : 8 questions concrètes, une réponse simple, et la source officielle (Commission européenne, EUR-Lex) derrière chaque réponse.
Cliquez sur une question pour voir la réponse et sa source.
Dans la grande majorité des cas, non, pas par des obligations spécifiques. Utiliser un chatbot ou un copilote du commerce, sans l'intégrer ni le transformer en produit, reste en dehors du cœur du règlement tant qu'il ne s'agit pas d'un système d'IA "à haut risque". Vous restez toutefois "déployeur" de l'outil : vous devez l'utiliser conformément à sa notice d'emploi.
C'est une obligation prévue par le règlement (article 4, "littératie IA"), en vigueur depuis le 2 février 2025. L'idée : donner à vos équipes - celles qui fournissent, utilisent ou sont affectées par un système d'IA - les notions nécessaires pour prendre des décisions éclairées face à ces outils. La Commission a publié un recueil de pratiques ("living repository") pour aider les entreprises à s'organiser, sans imposer un format unique de formation.
Oui, à partir du 2 août 2026 (article 50 du règlement). Une personne qui échange avec un chatbot doit pouvoir savoir qu'elle parle à une machine. Un contenu généré par IA (texte, image, vidéo) doit rester identifiable comme tel, et les "deepfakes" ou les textes IA publiés sur des sujets d'intérêt public doivent être signalés de façon claire et visible. Un code de bonnes pratiques volontaire sur le marquage de ces contenus a été publié le 10 juin 2026 pour guider les entreprises.
Seulement si vous êtes fournisseur d'un système d'IA "à haut risque" : dans ce cas, l'inscription dans une base de données publique européenne est obligatoire. Les autorités publiques qui déploient un système à haut risque doivent aussi s'y inscrire, sauf pour les infrastructures critiques. Les usages courants d'outils IA du commerce ne sont pas concernés par ce registre.
Non. Le règlement fixe 3 paliers de sanctions (jusqu'à 35 M€ ou 7% du chiffre d'affaires mondial pour les pratiques interdites ; 15 M€ ou 3% pour les autres manquements ; 7,5 M€ ou 1% pour de fausses informations aux autorités), en retenant à chaque fois le montant le plus élevé des deux. Pour les PME et jeunes entreprises, la règle s'inverse : c'est le montant le plus BAS de chaque palier qui s'applique, jamais le plus haut. Détail complet et sourcé dans la section "Les sanctions AI Act, en clair".
Oui. La Commission a mis en place un "AI Act Service Desk" qui propose une FAQ, un outil "Compliance Checker" pour évaluer vos propres obligations, un "AI Act Explorer" pour naviguer dans le texte article par article, et un formulaire pour poser une question directement à une équipe d'experts.
Oui, ce sont des usages typiques classés "à haut risque" par le règlement. En tant que déployeur, vous devez notamment désigner une supervision humaine assurée par du personnel "suffisamment équipé et habilité", informer vos salariés AVANT de déployer un tel système sur leur lieu de travail, et informer toute personne dès lors qu'une IA participe à une décision qui la concerne (par exemple le tri d'une candidature). Le règlement impose aussi transparence, documentation technique et tenue de registres pour ces usages.
Oui, c'est justement le rôle des "bacs à sable réglementaires" (regulatory sandboxes) et des tests en conditions réelles prévus par le règlement, pensés pour les PME et jeunes entreprises. Un amendement du 7 mai 2026 a encore élargi l'accès à ce dispositif : davantage d'innovateurs peuvent désormais y accéder, y compris via un bac à sable au niveau européen, et l'éligibilité a été étendue aux "small mid-cap" (petites entreprises de taille intermédiaire).
Le règlement européen sur l'IA ne s'applique pas d'un coup : il avance par étapes entre 2024 et 2028. Voici les dates à retenir, ce qui est déjà actif et ce qui arrive, chacune avec sa source officielle. Informations collectées le 18/07/2026.
Le texte européen sur l'intelligence artificielle devient officiellement un règlement en
vigueur dans toute l'Union européenne. C'est le point de départ : toutes les échéances
suivantes se comptent à partir de cette date.
source officielle →
Manipulation des personnes, notation sociale, reconnaissance faciale de masse... les
pratiques les plus dangereuses sont désormais hors-la-loi partout en Europe (détail dans la
section "veille réglementaire" ci-dessus). Les règles sur la sensibilisation à l'IA dans les
organisations s'appliquent aussi depuis cette date.
source officielle →
Les autorités de contrôle prévues par le texte (dont le Bureau européen de l'IA) sont
officiellement en place, et les fournisseurs de grands modèles d'IA générative (type
assistant conversationnel) doivent respecter des obligations de transparence et de
documentation technique.
source officielle →
C'est la date que le texte d'origine fixait pour son application générale (24 mois après
l'entrée en vigueur) : obligation d'informer les utilisateurs face à une IA, et la majorité
des systèmes d'IA "à haut risque" utilisés de façon autonome. Une partie du haut risque a
toutefois été décalée entre-temps (voir les deux étapes suivantes).
source officielle →
Le 19 novembre 2025, la Commission européenne a proposé de simplifier et de retarder
certaines échéances du règlement, le temps que les normes techniques nécessaires soient
prêtes. Le Parlement européen et le Conseil ont trouvé un accord politique sur ce texte le
7 mai 2026. Conséquence concrète : deux échéances sur le "haut risque" ont été repoussées
(les deux prochaines étapes ci-dessous). À la date de cette page, cet accord politique
n'est pas encore publié sous sa forme définitive au Journal officiel de l'UE.
source officielle →
Nouvelle échéance pour les systèmes d'IA à haut risque utilisés notamment en biométrie,
infrastructures critiques, éducation, emploi, ou migration/asile/contrôle des frontières.
Ces obligations, qui devaient initialement s'appliquer en août 2026, sont repoussées à cette
date pour laisser le temps aux normes techniques d'être finalisées.
source officielle →
Pour les systèmes d'IA qui sont des composants de sécurité dans des produits déjà régulés
par ailleurs (ascenseurs, jouets, dispositifs médicaux...), l'échéance était fixée à août
2027 dans le texte d'origine (36 mois après l'entrée en vigueur). Elle est désormais
repoussée à cette date.
source officielle →
Les interdictions et les règles de gouvernance sont déjà actives depuis 2025 ; l'échéance générale du règlement tombe dans les tout prochains jours (2 août 2026) ; et deux familles de systèmes à haut risque (secteurs sensibles, produits réglementés) bénéficient d'un délai supplémentaire jusqu'à fin 2027 puis mi-2028, le temps que les normes techniques soient prêtes.
Pas de panique ni de chiffre choc : voici exactement ce que dit le texte européen sur les amendes, qui les prononce, et depuis quand elles s'appliquent réellement. Chaque montant est celui écrit noir sur blanc dans le règlement (UE) 2024/1689, articles 99 à 101.
Le montant le plus élevé des deux est retenu. Il vise exclusivement les 8 usages interdits par l'article 5 : manipulation ou tromperie par l'IA, exploitation des vulnérabilités d'une personne, notation sociale, prédiction d'un risque de délit à partir du seul profilage, aspiration massive de visages pour créer une base de reconnaissance faciale, reconnaissance des émotions au travail ou à l'école, catégorisation biométrique de caractéristiques protégées, et identification biométrique "en temps réel" par les forces de l'ordre dans l'espace public.
Règlement (UE) 2024/1689, article 99§3 →C'est ce palier qui touche le plus directement les entreprises clientes d'un outil d'IA : obligations des fournisseurs (article 16), des mandataires (22), des importateurs (23), des distributeurs (24), des déployeurs, c'est-à-dire des entreprises qui utilisent un système d'IA à haut risque (article 26), des organismes notifiés, et les obligations de transparence envers les utilisateurs (article 50 - par exemple signaler qu'un chatbot est une IA).
Règlement (UE) 2024/1689, article 99§4 →S'applique quand une entreprise fournit une information incorrecte, incomplète ou trompeuse à un organisme notifié ou à une autorité nationale compétente qui lui a fait une demande officielle.
Règlement (UE) 2024/1689, article 99§5 →Règle explicite du texte : pour les PME et jeunes entreprises, chaque amende est plafonnée au montant le plus bas des deux termes (pourcentage ou somme fixe), jamais le plus haut. Concrètement, une amende basée sur un pourcentage de votre chiffre d'affaires réel remplace presque toujours le plafond en millions d'euros pensé pour les multinationales.
Règlement (UE) 2024/1689, article 99§6 →Le texte impose à l'autorité de tenir compte, avant de fixer un montant : la gravité et la durée du manquement, le nombre de personnes affectées, la taille et le chiffre d'affaires de l'entreprise, le caractère intentionnel ou négligent, le degré de coopération avec l'autorité, et les mesures déjà prises pour corriger le problème.
Règlement (UE) 2024/1689, article 99§7 →Chaque État membre doit désigner au moins une "autorité de surveillance du marché" nationale, chargée de faire appliquer le règlement sur son territoire. Au niveau européen, le Bureau européen de l'IA coordonne l'ensemble. À ce jour, aucune source officielle consultée ne permet de confirmer le nom de l'autorité définitivement désignée pour la France - nous ne l'inventons donc pas.
Règlement (UE) 2024/1689, article 70 →Les interdictions de l'article 5 (et leurs amendes jusqu'à 35 M€) s'appliquent depuis le 2 février 2025. L'ensemble du régime de sanctions (chapitre XII, article 99) est en application depuis le 2 août 2025. Ce n'est donc pas une échéance lointaine : le cadre des amendes est déjà actif aujourd'hui.
Règlement (UE) 2024/1689, article 113 →Les fournisseurs de grands modèles d'IA à usage général (les "fondations" derrière des outils comme les assistants IA) relèvent d'un régime à part : c'est la Commission européenne elle-même qui peut leur infliger une amende allant jusqu'à 15 M€ ou 3 % de leur chiffre d'affaires mondial. Ce régime cible l'éditeur du modèle, pas l'entreprise qui l'utilise au quotidien.
Règlement (UE) 2024/1689, article 101 →Le règlement prévoit que chaque État membre transmette chaque année à la Commission un rapport sur les amendes réellement prononcées. Aucune première édition de ce rapport n'a été identifiée à ce jour dans les sources officielles consultées - nous ne citons donc aucun cas concret ni aucun montant réellement infligé tant qu'il n'est pas officiellement publié.
Règlement (UE) 2024/1689, article 99§11 →