Êtes-vous concernés par l’AI Act ?

L’AI Act suit une logique par niveaux de risque. Situer votre système dans la bonne case détermine vos obligations — souvent bien plus légères qu’on ne le croit.

Les quatre niveaux

  • Risque inacceptable : certaines pratiques sont interdites (par exemple la notation sociale généralisée).
  • Haut risque : systèmes de l’annexe III (crédit, emploi, biométrie…) ou composants de sécurité de produits réglementés. Obligations lourdes, dont le dossier de données de l’article 10.
  • Risque limité : obligations de transparence (par exemple signaler qu’on parle à une IA, ou qu’un contenu est généré).
  • Risque minimal : la majorité des usages. Quasi aucune obligation au titre de l’AI Act.

La bonne surprise : souvent, « vous n’avez pas besoin de X »

La valeur d’un cadrage n’est pas d’ajouter du travail, mais d’en retirer. Beaucoup de systèmes qui semblent « IA » relèvent en réalité du risque minimal. Le réflexe utile : ne pas empiler des obligations que l’Act n’impose pas.

Et le RGPD ?

Indépendant de l’AI Act : dès que vous traitez des données personnelles, le RGPD s’applique, quel que soit le niveau de risque IA.

Repère indicatif, pas un avis juridique. En cas de doute, un diagnostic structuré lève l’ambiguïté.