IA et régulation européenne : ce qui change concrètement

L’AI Act européen n’est plus un projet : ses premières obligations sont entrées en vigueur et les suivantes arrivent par vagues jusqu’en 2027. Pour les entreprises qui déploient des systèmes d’intelligence artificielle, la question n’est plus de savoir si elles seront concernées, mais comment se préparer concrètement.

Le texte classe les systèmes d’IA selon quatre niveaux de risque. La grande majorité des applications en entreprise — automatisation de processus, aide à la décision, analyse documentaire — tombent dans la catégorie « risque limité », qui impose principalement des obligations de transparence. Mais dès qu’un système touche à l’évaluation de personnes physiques — scoring de crédit, tri de candidatures, évaluation de risque assurantiel — il passe en « haut risque » avec des exigences substantielles.

Pour les systèmes à haut risque, trois obligations méritent une attention particulière. La première est la documentation technique. Chaque système doit disposer d’une documentation détaillant son objectif, ses données d’entraînement, ses métriques de performance et ses limites connues. Cette documentation doit être maintenue à jour tout au long du cycle de vie du système.

La deuxième obligation est la gestion des risques. Un processus formel d’identification, d’évaluation et d’atténuation des risques doit être mis en place et documenté. Cela inclut les biais discriminatoires, les scénarios de défaillance et les impacts sur les droits fondamentaux.

La troisième obligation est la supervision humaine. Le système doit être conçu pour permettre une intervention humaine effective — ce qui implique des interfaces de monitoring adéquates, des mécanismes d’arrêt et une traçabilité des décisions.

La troisième obligation est la supervision humaine.

En pratique, les entreprises qui ont déjà adopté de bonnes pratiques de MLOps sont en avance. Le versionnage des modèles, le monitoring de la dérive, les pipelines d’évaluation continue — tout cela constitue le socle technique sur lequel les obligations réglementaires s’appuient.

Pour les autres, l’urgence n’est pas de déployer un outil de conformité. C’est de cartographier les systèmes d’IA existants, d’évaluer leur niveau de risque, et de mettre en place les processus de documentation et de gouvernance qui feront défaut le jour de l’audit. Mieux vaut commencer modestement et construire progressivement qu’attendre une solution clé en main qui n’arrivera pas.

Nous accompagnons plusieurs de nos clients dans cet exercice de mise en conformité. Le constat est le même partout : ceux qui avaient investi dans la gouvernance des données et le MLOps passent la marche sans difficulté majeure. Les autres découvrent qu’ils ont un chantier de fond à mener, et que la régulation n’a fait qu’en révéler l’urgence.