EU AI Act : calendrier des obligations 2025-2027 et checklist entreprise

L'EU AI Act est trop souvent rangé dans la case « problème de juristes » — une contrainte abstraite qu'on traitera « plus tard ». C'est une erreur de cadrage. Ce règlement structure dès aujourd'hui la façon dont vous concevez, documentez et exploitez un système d'IA, y compris un simple assistant RAG branché sur votre documentation interne. Les équipes qui l'intègrent en amont gagnent un avantage : elles évitent de refactoriser sous la contrainte, et elles transforment la conformité en argument commercial.

Voici, sans jargon inutile, ce que l'AI Act change concrètement, quand les obligations tombent, et une checklist opérationnelle pour un système d'IA d'entreprise.

Comprendre la logique : une régulation par niveaux de risque

L'AI Act ne régule pas « l'IA » en bloc. Il classe les usages selon le risque qu'ils font peser sur les droits des personnes, et calibre les obligations en conséquence. Quatre niveaux :

• Risque inacceptable — pratiques interdites (notation sociale généralisée, manipulation subliminale, certaines formes de reconnaissance biométrique en temps réel dans l'espace public).
• Risque élevé — autorisé mais lourdement encadré (IA dans le recrutement, l'éducation, le crédit, la santé, les infrastructures critiques…). Documentation technique, supervision humaine, gestion des risques, qualité des données.
• Risque limité — obligations de transparence uniquement (l'utilisateur doit savoir qu'il interagit avec une IA, les contenus générés doivent être identifiables).
• Risque minimal — pas d'obligation spécifique (la grande majorité des usages : filtres anti-spam, recommandations basiques…).

Le réflexe clé n'est pas « est-ce que je fais de l'IA ? » mais « dans quel niveau de risque tombe chacun de mes usages ? ». La réponse dicte tout le reste.

Concrétisons avec des exemples que vous rencontrerez en entreprise :

• Risque minimal : un classement automatique des tickets entrants par catégorie, un correcteur orthographique, un moteur de recommandation d'articles dans une base de connaissances. Aucune obligation spécifique au titre de l'AI Act.
• Risque limité : un chatbot de support qui répond aux clients, un assistant interne qui résume des documents, un générateur de brouillons d'e-mails. Vous devez la transparence, rien de plus.
• Risque élevé : un outil qui pré-trie des candidatures, un système qui évalue la solvabilité d'un demandeur de prêt, un dispositif d'aide au diagnostic médical. Là, le régime complet s'applique.
• Risque inacceptable : un système qui infère les émotions des salariés sur leur lieu de travail pour les sanctionner, ou une notation sociale généralisée. Tout simplement interdit.

La frontière qui compte en pratique se situe entre risque limité et risque élevé. C'est là que se jouent la majorité des arbitrages d'une entreprise qui déploie de l'IA générative.

Le calendrier réel des obligations

Le texte est entré en vigueur le 1er août 2024, mais ses obligations s'appliquent par vagues. Retenez ces jalons :

1. Février 2025 — entrée en application des interdictions (pratiques à risque inacceptable) et de l'obligation de littératie en IA : les organisations doivent s'assurer que les personnes qui opèrent des systèmes d'IA disposent d'un niveau de compréhension suffisant.
2. Août 2025 — obligations pour les modèles d'IA à usage général (GPAI) : transparence sur les données d'entraînement, documentation, et exigences renforcées pour les modèles présentant un « risque systémique ».
3. Août 2026 — application du gros des obligations pour les systèmes à haut risque et des règles de transparence.
4. 2027 — échéances complémentaires pour certains systèmes à haut risque intégrés dans des produits déjà réglementés.

Concrètement : si vous déployez en 2026, les obligations de transparence et la classification de risque ne sont plus optionnelles. Et si l'un de vos usages est à haut risque, le compte à rebours pour la documentation technique est déjà lancé.

L'obligation de littératie en IA, applicable depuis février 2025, est la plus sous-estimée. Elle ne se règle pas avec une charte signée vite fait. Elle implique que les personnes qui conçoivent, déploient et utilisent vos systèmes d'IA comprennent leurs capacités, leurs limites et les risques associés. Pour un assistant RAG, cela veut dire que vos agents de support savent que l'IA peut « halluciner », qu'elle ne remplace pas leur jugement, et qu'ils doivent vérifier les réponses sensibles. Une session de formation tracée, adaptée aux rôles, suffit généralement — mais elle doit exister et être documentée.

Où tombe un assistant RAG d'entreprise ?

C'est la question pratique qui intéresse la plupart des lecteurs. Un assistant interne qui répond aux questions des employés à partir de votre documentation, ou un copilote de support client, relève le plus souvent du risque limité. Vos obligations principales sont alors de l'ordre de la transparence :

• indiquer clairement à l'utilisateur qu'il dialogue avec un système d'IA ;
• permettre d'identifier les contenus générés par l'IA ;
• documenter ce que fait le système et sur quelles données il s'appuie.

Mais attention aux bascules en haut risque. Le même socle technique (un RAG) peut basculer selon l'usage :

• un assistant qui trie des CV ou aide à des décisions de recrutement → haut risque ;
• un système qui participe à l'évaluation des employés, à l'octroi de crédit, ou à l'accès à des services essentiels → haut risque ;
• tout traitement biométrique d'identification → encadrement renforcé voire interdiction selon le contexte.

La technologie ne décide pas du niveau de risque : l'usage le décide. Le même pipeline RAG est « risque limité » pour une FAQ interne et « haut risque » pour un tri de candidatures.

Mini-scénario : le chatbot support qui reste en risque limité

Une entreprise SaaS déploie un assistant qui répond aux clients à partir de sa documentation produit et de sa base de tickets résolus. Il ne prend aucune décision sur une personne : il informe, il oriente, il escalade vers un humain quand il ne sait pas. Risque limité. Ses obligations tiennent en quelques lignes : un bandeau « Vous échangez avec un assistant IA », un marquage des réponses générées, une page interne décrivant les sources mobilisées et un canal pour atteindre un conseiller humain. Rien d'écrasant pour une équipe d'ingénierie sérieuse.

Mini-scénario : l'assistant RH qui bascule en haut risque

La même entreprise étend l'assistant aux ressources humaines. Première version : il répond aux salariés sur leurs congés et leur mutuelle — toujours du risque limité. Puis l'équipe ajoute une fonction qui classe et note les candidatures reçues pour un poste, en s'appuyant sur le même pipeline RAG. À cet instant précis, l'usage bascule en haut risque : le recrutement figure explicitement dans les domaines sensibles de l'AI Act. Le périmètre d'obligations change du tout au tout : système de gestion des risques formalisé, documentation technique complète, exigences de qualité et de représentativité des données d'entraînement et de contexte, supervision humaine effective sur chaque décision, journalisation de longue durée, et information claire des candidats. Une simple fonctionnalité ajoutée à un produit existant peut donc déplacer tout le projet d'un régime à l'autre. D'où l'importance de reclasser le risque à chaque évolution fonctionnelle, pas seulement au lancement.

Le détail des obligations de documentation technique

Pour un système à haut risque, la documentation technique n'est pas une formalité : c'est la preuve, opposable, que vous maîtrisez votre système. Elle doit notamment couvrir :

• Description générale : finalité du système, version, périmètre d'usage prévu et usages explicitement exclus.
• Architecture et logique : composants (modèle, base vectorielle, reranker, garde-fous), flux de données, choix de conception et leurs justifications.
• Données : provenance des corpus, méthodes de collecte et de nettoyage, critères de qualité, mesures de fraîcheur, traitement des biais connus.
• Performances et limites : métriques d'évaluation, conditions dans lesquelles le système est fiable, cas où il ne l'est pas, comportements en cas d'échec.
• Gestion des risques : risques identifiés pour les droits des personnes et mesures de mitigation.
• Supervision humaine : points de contrôle, modalités d'intervention et de contestation.
• Cybersécurité et robustesse : protection contre les manipulations (injection de prompt, empoisonnement de données), traçabilité.

Bonne nouvelle pour les praticiens RAG : une grande partie de ce contenu existe déjà sous forme de décisions d'ingénierie. Vos paramètres de chunking, votre stratégie de récupération hybride, vos seuils de pertinence, votre golden set d'évaluation — tout cela est la documentation technique, à condition de l'écrire au fil de l'eau plutôt que de la reconstituer en panique. Versionnez ces décisions dans le dépôt, à côté du code, et la documentation se construit presque toute seule.

Exemples concrets de mentions de transparence

La transparence ne se résume pas à enfouir une phrase dans des CGU. Quelques formulations qui fonctionnent :

• En tête de conversation : « Vous échangez avec un assistant IA. Il peut se tromper — vérifiez les informations importantes. Pour parler à un conseiller, tapez "humain". »
• Sous une réponse générée : « Réponse générée par IA à partir de : Guide produit v4, Article KB-1182. » — la citation des sources sert à la fois la transparence légale et la confiance utilisateur.
• Sur un contenu produit automatiquement (e-mail, résumé, brouillon de document) : un marquage « Généré par IA » visible, et idéalement un marquage technique exploitable par les outils en aval.

La meilleure mention de transparence est celle qui rend service à l'utilisateur en même temps qu'elle vous met en conformité. Citer ses sources coche la case réglementaire et réduit les hallucinations perçues.

AI Act et RGPD : deux régimes qui se cumulent

Erreur fréquente : croire qu'être conforme au RGPD suffit. Les deux textes poursuivent des objectifs différents et se cumulent.

• Le RGPD protège les données personnelles : base légale, minimisation, droits des personnes, AIPD (analyse d'impact) quand le traitement est à risque.
• L'AI Act encadre le système d'IA lui-même : classification du risque, documentation technique, supervision humaine, qualité et gouvernance des données, transparence.

Un assistant RAG peut donc devoir, simultanément : disposer d'une base légale RGPD pour les données ingérées, faire l'objet d'une AIPD si nécessaire, et respecter les obligations de transparence de l'AI Act. Les deux documentations se nourrissent l'une l'autre, mais ne se substituent pas.

AIPD (RGPD) vs documentation technique (AI Act) : qui couvre quoi

Concrètement, ces deux livrables se recoupent mais ne se confondent pas :

• L'AIPD se concentre sur le traitement de données personnelles : quelles données, pour quelle finalité, sur quelle base légale, avec quels risques pour les personnes concernées et quelles mesures de protection. Elle répond à la question « ce traitement respecte-t-il les droits des personnes ? ».
• La documentation technique AI Act se concentre sur le système : comment il est construit, comment il a été évalué, quelles sont ses limites, comment l'humain garde le contrôle. Elle répond à la question « ce système est-il sûr, robuste et maîtrisé ? ».

En pratique, sur un projet RAG à haut risque, on mène les deux en parallèle et on les fait pointer l'un vers l'autre. L'AIPD décrit le corpus ingéré contenant des données personnelles et leur base légale ; la documentation technique décrit comment le pipeline traite ce corpus, avec quels garde-fous. Mener une seule des deux démarches vous laisse exposé sur l'autre régime.

Checklist de conformité opérationnelle

Voici une checklist concrète à dérouler pour un système d'IA d'entreprise. Elle ne remplace pas l'avis de votre juriste, mais elle vous fait poser les bonnes questions au bon moment.

1. Inventaire — recensez tous vos systèmes d'IA (y compris ceux « cachés » dans des outils SaaS). On ne classe que ce qu'on connaît.
2. Classification du risque — pour chaque usage, déterminez le niveau (inacceptable / élevé / limité / minimal). Documentez le raisonnement, et reclassez à chaque évolution fonctionnelle.
3. Transparence — pour les systèmes en contact avec des utilisateurs : mention explicite « vous parlez à une IA », marquage des contenus générés.
4. Documentation technique — décrivez l'architecture, les sources de données, les limites connues, les mesures de sécurité. Indispensable pour le haut risque, utile partout.
5. Supervision humaine — prévoyez des points de contrôle humains, surtout dès qu'une décision affecte une personne (escalade, validation, droit de contestation).
6. Journalisation et traçabilité — conservez les journaux de requêtes, les sources récupérées et les versions de modèles utilisées. La traçabilité est exigée pour le haut risque et précieuse partout.
7. Gouvernance des données — qualité, fraîcheur, absence de biais manifestes dans le corpus. Un RAG amplifie la qualité — ou les défauts — de ses sources.
8. Articulation RGPD — vérifiez la base légale des données ingérées et déclenchez une AIPD si le traitement le justifie ; faites-la dialoguer avec la documentation technique.
9. Gestion des fournisseurs — si vous vous appuyez sur un modèle GPAI tiers, récupérez sa documentation de conformité et tracez la chaîne de responsabilité.
10. Littératie en IA — formez et tracez la formation des personnes qui opèrent le système ; adaptez le niveau à leur rôle.

Bonne nouvelle : pour un assistant RAG bien conçu (sources maîtrisées, réponses sourcées, hébergement souverain, journalisation), l'essentiel de cette checklist est déjà couvert par de bonnes pratiques d'ingénierie.

La conformité comme avantage, pas comme frein

L'AI Act fait peur parce qu'on le lit comme une liste d'interdits. Vu autrement, il formalise ce qu'une entreprise sérieuse devrait déjà faire : savoir où vivent ses données, tracer ses traitements, garder un humain dans la boucle pour les décisions sensibles, et dire la vérité à ses utilisateurs. Ces exigences construisent la confiance — celle de vos clients comme celle de vos régulateurs.

Plutôt que d'attendre l'échéance d'août 2026, classez vos usages dès maintenant, documentez au fil de l'eau, et faites de la transparence un trait de votre produit. La conformité devient alors un actif commercial, pas une dette technique. Dans un appel d'offres, pouvoir présenter sur demande votre classification de risque, votre documentation technique et votre politique de supervision humaine vous distingue immédiatement d'un concurrent qui découvre le sujet. La conformité, traitée tôt, n'est pas un coût : c'est une barrière à l'entrée que vous érigez face à ceux qui l'ont négligée.

Pour aller plus loin

• RGPD et IA générative : le guide de conformité de vos projets RAG
• Souveraineté de l'IA pour l'entreprise européenne : le guide stratégique 2026