AI Act européen : guide complet pour les startups françaises

L’essentiel à retenir en 30 secondes

• Entrée en vigueur : 1er août 2024. Interdictions dès le 2 février 2025, obligations GPAI le 2 août 2025, conformité complète des IA à haut risque au 2 août 2026 (EUR-Lex, Commission européenne).
• 4 niveaux de risque : inacceptable (interdit), haut (cadre strict), limité (transparence), minimal (bonnes pratiques volontaires) (CNIL).
• GPAI/générative : obligations de transparence et gestion des risques spécifiques dès août 2025 (watermarking, documentation) (UE).
• Haut risque : système de gestion des risques, données de qualité, supervision humaine, journalisation, cybersécurité, évaluation de conformité et marquage CE (Service Public Entreprendre).
• Sanctions : jusqu’à 35 M€ ou 7 % du CA mondial selon la gravité. Contrôles coordonnés avec les autorités nationales (CNIL, secteurs) (UE, CNIL).

Calendrier et périmètre d’application

Le texte officiel de l’AI Act (UE 2024/1689) est disponible sur EUR-Lex et présenté par l’Union européenne sur Shaping Europe’s digital future. Il est entré en vigueur le 1er août 2024.

• 2 février 2025 (T+6 mois) : application des interdictions de pratiques à risque inacceptable (CNIL).
• 2 août 2025 (T+12 mois) : obligations pour les GPAI et l’IA générative (transparence, documentation, watermarking).
• 2 août 2026 (T+24 mois) : obligations complètes pour les IA à haut risque (évaluation de conformité, marquage CE, base de données de l’UE).

Le règlement s’applique aux fournisseurs et déployeurs de systèmes d’IA mis sur le marché de l’UE ou dont les sorties sont utilisées dans l’UE, y compris hors UE si l’effet se produit en Europe (exceptions limitées, par ex. défense). Voir la présentation État/France AI Act – AIN et Legifrance.

Cartographier vos IA et vos rôles (première étape cruciale)

1. Inventorier tous vos systèmes d’IA (produits/feature internes/externes) et les données utilisées.
2. Qualifier votre rôle par système : fournisseur (vous développez/ mettez sur le marché), déployeur (vous utilisez), importateur/distributeur, représentant autorisé.
3. Classifier le risque selon les listes du règlement (inacceptable / haut / limité / minimal), en particulier les cas d’usage d’Annexe III (haut risque).
4. Identifier si le système relève d’un GPAI ou d’un modèle génératif et si des obligations s’appliquent dès 2025.

Un registre interne des systèmes d’IA et de leurs risques facilite les audits et la conformité continue. Pour accélérer, voyez nos modèles contractuels et packs conformité : Découvrir nos offres juridiques.

Niveaux de risque : implications concrètes

Risque inacceptable (interdit dès février 2025)

• Catégorisation biométrique fondée sur des données sensibles (origine, orientation, etc.).
• Reconnaissance biométrique à distance « en temps réel » dans l’espace public à des fins répressives (sauf exceptions strictes prévues par la loi).
• Inférence des émotions au travail et à l’école.
• Constitution de bases de données de reconnaissance faciale par collecte massive non ciblée d’images.

Références : EUR-Lex, CNIL – IA.

Haut risque (cadre strict, marquage CE)

Exemples fréquents en startup : recrutement/évaluation RH, notation de crédit, éducation, gestion d’infrastructures critiques, composants logiciels d’appareils médicaux, dispositifs de sécurité produit. Pour la e-santé, voir l’analyse dédiée G_NIUS e-santé.

Risque limité

Obligations de transparence ciblées (ex. indiquer à l’utilisateur qu’il interagit avec une IA, marquage des deepfakes). Références : UE, CNIL – Q/R.

Risque minimal

Pas d’obligation légale spécifique, mais adoption de codes de conduite et bonnes pratiques recommandée (sécurité, éthique, RGPD).

GPAI et IA générative : obligations dès août 2025

• Transparence : informations claires aux utilisateurs ; indication des contenus générés (watermarking/étiquetage des deepfakes).
• Documentation technique : description du modèle, du processus de formation et des limites connues ; résumé des contenus utilisés pour l’entraînement lorsque requis.
• Gestion des risques GPAI : pour les modèles générant des risques systémiques, exigences renforcées (sécurité, évaluation, rapports). Références : UE, EUR-Lex.

Obligations majeures des IA à haut risque (fournisseurs)

1. Système de gestion des risques (analyse, mesures de mitigation, réévaluation continue).
2. Gouvernance et qualité des données (pertinence, représentativité, réduction des biais).
3. Documentation technique complète et tenue à jour.
4. Traçabilité et journalisation des événements pertinents.
5. Transparence et instructions d’utilisation pour l’utilisateur professionnel.
6. Supervision humaine efficace et définie.
7. Performance, robustesse, cybersécurité conformes aux normes applicables.
8. Évaluation de conformité (organisme notifié si requis), marquage CE et enregistrement dans la base UE des IA à haut risque.
9. Surveillance post-commercialisation et notification des incidents graves.

Guide entreprises : Service Public – Entreprendre. Vue d’ensemble officielle : UE.

Obligations côté déployeurs (utilisateurs professionnels)

• Utiliser des systèmes conformes et suivre les instructions du fournisseur.
• Effectuer, le cas échéant, une analyse d’impact (ex. DPIA RGPD) et assurer la supervision humaine.
• Tenir des journaux, surveiller les performances, signaler les incidents graves.
• Former les équipes et documenter les contrôles internes. Références : CNIL – IA.

Procédure de conformité et marquage CE

1. Conception conforme + intégration des normes harmonisées/« common specifications ».
2. Évaluation de conformité interne ou par un organisme notifié selon le cas.
3. Établissement de la déclaration UE de conformité + marquage CE.
4. Enregistrement dans la base de données de l’UE des IA à haut risque et mise à jour continue.

Rappels pratiques : EUR-Lex, Service Public Entreprendre.

PME/Startups : allègements, bacs à sable et accompagnement

• Bacs à sable réglementaires nationaux pour expérimenter sous supervision.
• Formulaires et documentation simplifiés, soutien aux coûts d’évaluation, codes de conduite sectoriels.
• AI Office et Service Desk européens pour questions transversales (UE), relais nationaux : AI Act – AIN.

Sanctions, contrôles et articulation sectorielle

En cas de non-conformité, les plafonds peuvent atteindre jusqu’à 35 M€ ou 7 % du CA mondial (pratiques interdites), avec des niveaux inférieurs pour d’autres manquements. Voir la présentation officielle UE et les Q/R CNIL.

Les autorités nationales (p. ex. CNIL) coordonnent avec les régulateurs sectoriels. Exemples : santé (voir G_NIUS), finance (règles prudentielles et marchés — AMF), obligations générales entreprises (Service Public Pro).

Feuille de route startup jusqu’au 2 août 2026

T-18 mois

• Cartographie des IA, rôles et risques ; gap analysis vs AI Act.
• Lancement du système de gestion des risques et gouvernance des données.
• Design d’architecture pour journalisation, supervision humaine et cybersécurité.

T-12 mois

• Rédaction de la documentation technique ; protocole d’évaluation de conformité.
• Pilote en bac à sable si éligible ; tests d’aptitude, robustesse, biais.
• Préparer les obligations GPAI/génératives (étiquetage, résumés de données).

T-6 mois

• Finaliser l’évaluation de conformité ; sélectionner un organisme notifié si requis.
• Établir la déclaration UE, apposer le marquage CE, préparer l’enregistrement UE.
• Former les équipes, mettre en production la supervision et les journaux.

T-0 et après

• Surveillance post-market, gestion des incidents, audits réguliers.
• Mise à jour documentation, normes et correctifs sécurité en continu.

Accélérez avec nos packs et playbooks AI-first : Comprendre notre méthode AI-first. Pour approfondir le cadre IA et droit : lire d’autres analyses.

Cas d’usage types et points de vigilance

Startup RH (tri de CV, matching)

• Probablement haut risque (emploi/éducation). Exiger données représentatives, tests de biais, supervision humaine avant décision.
• Transparence envers les candidats et possibilité de recours.

MedTech (diagnostic assisté par IA)

• Haut risque et potentiellement soumis à règlementation dispositifs médicaux. Coordination conformité IA + santé (G_NIUS).

Fintech (scoring crédit, antifraude)

• Haut risque. Traçabilité des décisions, explications, contrôle humain. Coordination avec les règles marché/consommateur (AMF).

SaaS génératif (assistant, image/texte)

• Obligations GPAI : étiquetage contenus, résumés entraînement, sécurité des sorties, gestion droits & licences.

Intégrer l’AI Act dans la gouvernance et la PI

• Registre IA (inventaire, risques, contrôles, incidents).
• Politiques internes (données, prompts, sécurité, validation humaine, usage des GPAI tiers).
• Contrats (clauses IA avec clients/fournisseurs, responsabilité, audit, données). Voir nos modèles : Découvrir nos offres juridiques.
• Propriété intellectuelle : brevets/logiciels, secrets d’affaires, gestion des licences contenus d’entraînement (INPI).

FAQ courte

Quelles dates clés pour ma startup ?

Interdictions : 2 février 2025. GPAI/générative : 2 août 2025. Haut risque (CE, base UE) : 2 août 2026. Réf. EUR-Lex, UE.

Comment savoir si mon IA est « haut risque » ?

Vérifiez les catégories de l’Annexe III (recrutement, crédit, santé, etc.). En cas de doute, documentez l’analyse et sollicitez conseil. Réf. Service Public Entreprendre.

Dois-je faire un marquage CE ?

Oui, si vous êtes fournisseur d’une IA à haut risque. Procédure d’évaluation + déclaration UE + enregistrement. Réf. EUR-Lex.

Quelles sanctions en cas de manquement ?

Jusqu’à 35 M€ ou 7 % du CA mondial selon la gravité, plus bas pour d’autres manquements. Réf. UE, CNIL.