Êtes-vous concernés par l’AI Act ?

L’AI Act suit une logique par niveaux de risque. Situer votre système dans la bonne case détermine vos obligations — souvent bien plus légères qu’on ne le croit.

Les quatre niveaux

  • Risque inacceptable : certaines pratiques sont interdites (par exemple la notation sociale généralisée).
  • Haut risque : systèmes de l’annexe III (crédit, emploi, biométrie…) ou composants de sécurité de produits réglementés. Obligations lourdes, dont le dossier de données de l’article 10.
  • Risque limité : obligations de transparence (par exemple signaler qu’on parle à une IA, ou qu’un contenu est généré).
  • Risque minimal : la majorité des usages. Quasi aucune obligation au titre de l’AI Act.

Fournisseur ou déployeur ? Ça change tout

Au-delà du niveau de risque, votre rôle détermine vos obligations. Le fournisseur — celui qui conçoit, entraîne ou affine le système — porte les obligations lourdes, dont le dossier de données de l’article 10. Le déployeur — celui qui se contente d’utiliser une IA fournie par un tiers — a des obligations bien plus légères (supervision humaine, information des personnes) : l’article 10 est l’affaire de son fournisseur, pas la sienne. Beaucoup d’organisations se croient tenues par l’article 10 alors qu’elles ne sont que déployeuses.

La bonne surprise : souvent, « vous n’avez pas besoin de X »

La valeur d’un cadrage n’est pas d’ajouter du travail, mais d’en retirer. Beaucoup de systèmes qui semblent « IA » relèvent en réalité du risque minimal. Le réflexe utile : ne pas empiler des obligations que l’Act n’impose pas.

Et le RGPD ?

Indépendant de l’AI Act : dès que vous traitez des données personnelles, le RGPD s’applique, quel que soit le niveau de risque IA.

Repère indicatif, pas un avis juridique. En cas de doute, un diagnostic structuré lève l’ambiguïté.