Guide conformité AI Act Startups & Entreprises

Le Règlement (UE) 2024/1689 du 13 juin 2024, dit AI Act, est entré en vigueur le 1er août 2024 et s'applique progressivement jusqu'en août 2027.

Première législation horizontale au monde sur l'intelligence artificielle, il impose des obligations strictes aux fournisseurs et aux déployeurs de systèmes d'IA mis sur le marché ou utilisés dans l'Union européenne, y compris lorsqu'ils sont établis hors UE.

INFLUXIO accompagne startups, scale-ups, éditeurs SaaS et entreprises utilisatrices dans leur mise en conformité, leur documentation technique et leur défense en cas de contrôle, à Paris et à Bruxelles, avec une réponse sous 24 heures.

L'AI Act s'applique dès qu'un système d'IA est mis sur le marché, mis en service ou utilisé dans l'Union, quelle que soit la localisation du fournisseur. Une startup américaine commercialisant un grand modèle de langage accessible à des utilisateurs européens est concernée. Une scale-up française intégrant un modèle tiers dans son produit l'est également.

Trois cas d'usage déclenchent l'application : la mise sur le marché, la mise en service, et la production de résultats utilisés dans l'Union.

L'enjeu n'est pas seulement réglementaire : la conformité conditionne l'accès aux marchés publics européens, la confiance des investisseurs lors des levées de fonds, la souscription d'assurance cyber et la signature de contrats avec des grands comptes eux-mêmes soumis au règlement.

Une non-conformité peut entraîner des amendes pouvant atteindre 35 millions d'euros ou 7 % du chiffre d'affaires annuel mondial, en retenant le plus élevé des deux montants.

L'AI Act repose sur une approche par les risques. Chaque système d'IA est classé dans l'une des quatre catégories suivantes, déterminant le niveau d'obligations applicable.

La qualification conditionne l'intégralité de vos obligations. Le fournisseur est celui qui développe un système d'IA ou le fait développer en vue de sa mise sur le marché ou de sa mise en service sous son nom ou sa marque. Le déployeur (anciennement utilisateur) est toute personne physique ou morale utilisant un système d'IA dans le cadre de son activité professionnelle.

Attention au basculement de qualification : un déployeur qui modifie substantiellement un système d'IA haut risque, le commercialise sous son propre nom ou modifie sa finalité initialement prévue est requalifié en fournisseur (article 25) et hérite de toutes les obligations correspondantes.

Ce mécanisme touche particulièrement les éditeurs SaaS qui intègrent et personnalisent des modèles tiers, et constitue l'un des angles morts les plus fréquents lors d'un audit AI Act.

Les fournisseurs de systèmes d'IA haut risque supportent un socle d'obligations détaillé aux articles 8 à 22, 47, 48 et 49 du règlement. Notre cabinet rédige la documentation, structure la gouvernance et prépare le marquage CE.

L'article 26 impose aux déployeurs d'utiliser les systèmes d'IA haut risque conformément à la notice d'utilisation, d'assurer une supervision humaine effective, de surveiller le fonctionnement et de signaler tout incident grave au fournisseur et à l'autorité compétente.

Les déployeurs publics et certains acteurs privés doivent réaliser une analyse d'impact sur les droits fondamentaux (article 27) avant la première utilisation. Les personnes physiques exposées à un système d'IA haut risque doivent être informées. Les décisions individuelles produisant des effets juridiques doivent pouvoir être expliquées (article 86).

L'articulation avec le RGPD est constante : l'AI Act ne se substitue pas aux obligations de licéité du traitement, de base légale, d'information et de droits des personnes prévues par le règlement général sur la protection des données.

Les modèles d'IA à usage général (General Purpose AI, articles 51 à 55) sont soumis à un régime spécifique applicable depuis le 2 août 2025. Tout fournisseur de GPAI doit publier un résumé du contenu utilisé pour l'entraînement, respecter le droit d'auteur de l'Union et tenir une documentation technique à jour.

Les modèles présentant un risque systémique, présumés au-delà du seuil de 10^25 opérations en virgule flottante (FLOPs), supportent des obligations renforcées : évaluation des risques systémiques, tests contradictoires, signalement des incidents graves au Bureau européen de l'IA, et garanties de cybersécurité.

Le Code de bonnes pratiques sur l'IA à usage général, publié le 10 juillet 2025 et articulé en trois chapitres (transparence, droit d'auteur, sûreté et sécurité), constitue le mode de conformité présumée jusqu'à l'adoption de normes harmonisées. Les fournisseurs non-signataires devront démontrer une conformité équivalente, s'exposant à un risque contentieux plus élevé.

L'article 50 impose l'étiquetage clair des contenus générés ou modifiés par IA : deepfakes, contenus synthétiques audio, image, vidéo ou texte produits en quantité et publiés. Les fournisseurs doivent prévoir des solutions techniques de marquage (watermarking, métadonnées C2PA) lisibles par machine. Les déployeurs doivent porter cette information à la connaissance du public.

Cette obligation se combine avec les régimes parallèles du droit d'auteur (opt-out TDM de la directive 2019/790), du droit à l'image, du droit pénal de l'usurpation d'identité, et des dispositions de la loi française du 21 mai 2024 sur les contenus à caractère pornographique générés par IA.

INFLUXIO traite ces problématiques de manière intégrée avec son pôle propriété intellectuelle et e-réputation.

L'AI Act s'applique progressivement, par paliers, ce qui impose d'anticiper chaque jalon dans la feuille de route produit et juridique de l'entreprise.

Le régime de sanctions, parmi les plus sévères du droit européen, repose sur des plafonds modulés selon la gravité du manquement.

L'AI Act s'inscrit dans un paysage normatif dense.

Il se combine avec le RGPD (traitement des données personnelles), le Digital Services Act (modération de contenus et systèmes de recommandation), le Digital Markets Act (gatekeepers), le Data Act (accès aux données générées par les objets connectés et les services cloud) et la directive révisée sur la responsabilité du fait des produits défectueux (directive (UE) 2024/2853), qui couvre désormais expressément les logiciels et les systèmes d'IA.

La proposition de directive spécifique sur la responsabilité civile en matière d'IA (AI Liability Directive) a, pour sa part, été retirée par la Commission européenne en 2025, faute d'accord ; la réparation des dommages causés par l'IA relève donc du régime rénové de responsabilité du fait des produits et des droits nationaux de la responsabilité civile.

INFLUXIO conduit des audits transversaux pour éviter les contradictions et exploiter les synergies entre ces régimes.

Une feuille de route opérationnelle, déclinable en chantiers internes ou pilotée avec notre cabinet, pour transformer l'obligation réglementaire en avantage compétitif.

Les autorités nationales compétentes désignées par la France à compter du 2 août 2025 disposent de pouvoirs d'enquête étendus : demandes d'accès à la documentation, audits, sanctions administratives.

La CNIL s'est vu confier, par modification de la loi Informatique et Libertés du 6 janvier 1978, un rôle d'autorité de surveillance du marché pour plusieurs systèmes d'IA haut risque (biométrie, ressources humaines, scoring) ainsi que pour les traitements de données personnelles.

D'autres régulateurs sectoriels interviennent selon les domaines : la DGCCRF (notamment pour les pratiques interdites de l'article 5), l'ARCOM (audiovisuel), l'ACPR (finance), la HAS et l'ANSM (santé) ou le ministère du Travail. La Direction générale des entreprises (DGE) assure la coordination stratégique. Le Bureau européen de l'IA supervise les GPAI au niveau européen.

Les recours s'exercent devant les juridictions administratives. Les actions civiles en réparation peuvent être engagées devant le tribunal judiciaire ou le tribunal des activités économiques de Paris selon la qualité des parties.

Lorsque la violation de l'AI Act se double d'une infraction (escroquerie, abus de confiance, atteintes aux systèmes de traitement automatisé de données), notre pôle pénal des affaires intervient en coordination avec l'équipe contentieux des affaires.

Notre cabinet intervient à chaque étape du cycle de conformité, du premier audit jusqu'à la défense devant l'autorité de contrôle ou la juridiction compétente.