Loi IA de l'UE : Guide complet pour les entreprises francophones

Points clés

• La Loi IA de l'UE s'applique à portée extraterritoriale — toute organisation dont l'IA affecte des citoyens européens est en scope, quelle que soit son implantation géographique.
• Suite à l'accord Omnibus du 7 mai 2026, le délai pour l'IA à haut risque (Annexe III) est repoussé au 2 décembre 2027. Les obligations de transparence (Article 50) restent fixées au 2 août 2026.
• Les pénalités maximales atteignent 35 millions d'euros ou 7% du chiffre d'affaires mondial annuel pour les violations les plus graves.
• La CNIL en France et l'APD en Belgique sont les autorités nationales de contrôle de la protection des données compétentes pour les questions d'intersection RGPD/Loi IA.
• Les entreprises francophones doivent agir maintenant : l'inventaire des systèmes d'IA, la classification des risques et la désignation d'un responsable IA sont les premières étapes.

Champ d'application : qui est concerné ?

La Loi IA de l'UE (Règlement 2024/1689) s'applique à toute organisation qui développe ou utilise des systèmes d'IA qui affectent des personnes dans l'Union européenne — indépendamment du lieu d'établissement de l'organisation. Une entreprise basée à Paris, à Bruxelles, à Genève, à Montréal ou à Casablanca qui utilise un système d'IA pour prendre des décisions affectant des citoyens européens est en scope.

Le règlement distingue quatre catégories de risque. Les pratiques d'IA interdites (manipulation subliminale, notation sociale par les autorités publiques, reconnaissance biométrique en temps réel dans les espaces publics dans la plupart des cas) sont prohibées depuis le 2 février 2025. Les systèmes d'IA à haut risque — qui couvrent des domaines sensibles comme l'emploi, l'accès au crédit, la santé, l'éducation et les services essentiels — font l'objet d'obligations strictes.

Les délais clés mis à jour (accord Omnibus, mai 2026)

L'accord provisoire du 7 mai 2026 entre le Conseil de l'UE et le Parlement européen a substantiellement modifié le calendrier d'application pour l'IA à haut risque :

• 2 février 2025 : Interdictions applicables (déjà en vigueur)
• 2 août 2025 : Obligations pour les modèles d'IA à usage général (déjà en vigueur)
• 2 août 2026 : Obligations de transparence — divulgation des chatbots IA, marquage des contenus générés par IA (NON modifié par l'Omnibus)
• 2 décembre 2026 : Filigranage des contenus générés par IA (Article 50(2)) — délai de grâce de 3 mois accordé par l'Omnibus
• 2 décembre 2027 : Obligations principales pour l'IA à haut risque Annexe III (prolongé de 16 mois par l'Omnibus — était août 2026)
• 2 août 2028 : Systèmes Annexe I intégrés dans des produits (prolongé d'un an par l'Omnibus)

Ce que doivent faire les entreprises françaises maintenant

La priorité immédiate pour les entreprises françaises est la réalisation d'un inventaire des systèmes d'IA utilisés dans l'organisation — qu'ils soient développés en interne ou achetés auprès de fournisseurs. Cet inventaire doit identifier pour chaque système : sa finalité, les données personnelles traitées, les décisions qu'il influence ou prend, et les personnes affectées.

La classification du risque vient ensuite. La grande majorité des systèmes d'IA utilisés par les entreprises relèvent de la catégorie "risque limité" ou "risque minimal" — ce qui signifie des obligations légères (essentiellement des exigences de transparence). Seule une minorité de systèmes — ceux utilisés dans les RH, le crédit, les assurances, l'éducation ou les services publics — relèvent de la catégorie "haut risque" avec des obligations substantielles.

Le rôle de la CNIL et l'intersection avec le RGPD

La Commission Nationale de l'Informatique et des Libertés (CNIL) reste l'autorité compétente pour les questions de protection des données liées à l'IA en France. La CNIL a publié des recommandations spécifiques sur les systèmes d'IA, notamment sur les systèmes de recommandation et les décisions automatisées. Ces recommandations s'articulent avec l'Article 22 du RGPD qui encadre les décisions entièrement automatisées ayant des effets significatifs sur les personnes.

La Loi IA de l'UE et le RGPD créent des obligations cumulatives pour les entreprises qui traitent des données personnelles via des systèmes d'IA. Les deux corpus réglementaires doivent être respectés simultanément — il n'y a pas de dérogation de l'un par rapport à l'autre.