L’intelligence artificielle en entreprise : comprendre les règles européennes (AI Act)

L’intelligence artificielle (IA) s’invite de plus en plus dans l'activité des entreprises. Pour encadrer ces usages, l’Union européenne a adopté le règlement sur l’intelligence artificielle (AI Act), qui impose progressivement de nouvelles règles de sécurité, de transparence et de gestion des risques.

AI Act : de quoi s’agit-il ?

L’AI Act est un cadre juridique européen entièrement consacré à l’intelligence artificielle. Il ne vise pas à interdire l’IA, mais à encadrer son utilisation en fonction du risque qu’elle représente pour les personnes.

Concrètement, le règlement s’applique à toute entreprise qui, dans l’Union européenne :

• utilise un système d’IA dans ses processus (on parle alors de « déployeur ») ;

• intègre une solution d’IA dans un produit ou service qu’elle commercialise ;

• développe ou fait développer des systèmes d’IA, pour son propre usage ou pour les vendre ;

• ou utilise des modèles d’IA à usage général (GPAI) comme base pour d’autres applications.

Le règlement s’applique aussi lorsque le fournisseur d’IA est établi en dehors de l’UE, dès lors que le système est utilisé sur le marché européen.

Quatre niveaux de risque pour les systèmes d’IA

L’AI Act classe les systèmes d’IA en quatre niveaux de risque. Plus le risque est élevé, plus les obligations sont strictes.

1. Risque inacceptable : systèmes interdits

Certains usages sont interdits d’emblée, comme la manipulation ou la notation sociale. L’idée vise les systèmes qui classent des personnes sur base de leur comportement ou de traits personnels et qui entraînent ensuite des traitements injustifiés.

2. IA à haut risque : impact important sur la vie des personnes

Ce sont les systèmes d’IA qui peuvent avoir des conséquences majeures sur la sécurité, la santé ou les droits fondamentaux des individus, par exemple lorsqu’ils interviennent dans :

• le recrutement, la sélection ou l’évaluation de travailleurs ;

• l’accès à un crédit ou à certains services ;

• l’éducation (sélection, évaluation) ;

• certains usages sensibles de la biométrie.

Pour ces systèmes, les exigences sont renforcées (gestion des risques, qualité des données, documentation, contrôle humain, etc.).

3. Risque limité : obligation de transparence

Ce niveau vise notamment :

• les chatbots qui répondent automatiquement aux clients ;

• les outils d’IA générative qui produisent des textes, images, sons ou vidéos.

L’entreprise doit, au minimum, informer clairement l’utilisateur qu’il interagit avec un système d’IA et non avec une personne. L’utilisateur doit savoir qu’il interagit avec une IA.

Exemple : « Vous discutez avec un assistant IA. Les réponses sont générées automatiquement. »

4. Risque minimal : outils à usage courant

Exemples : correcteurs orthographiques intelligents, systèmes de tri automatique de mails, assistants qui classent des documents. Ce type d’outil reste autorisé sans exigences particulières.

Vous n’utilisez pas encore l’IA : que devez-vous faire ?

Si votre entreprise n’utilise pas encore d’outils d’IA, vous n’avez pas d’obligation immédiate de mise en conformité. En revanche, il est utile de vous préparer, car l’IA est de plus en plus intégrée dans les logiciels utilisés au quotidien (comptabilité, CRM, RH, bureautique…).

Quelques réflexes à adopter :

• comprendre ce qu’est l’IA au sens de l’AI Act (un logiciel qui reconnaît des schémas, aide à prendre des décisions ou exécute des tâches sur la base de données) ;

• réfléchir aux applications possibles de l’IA dans votre entreprise (gain de temps, automatisation, support à la décision, relation client…) ;

• vous familiariser avec les notions de base : niveaux de risque, rôles (déployeur, fournisseur), obligations de transparence et de documentation.

En Belgique, le SPF Économie a lancé la campagne « L’AI Act, aussi pour moi ? » et mis à disposition un guide pour les entrepreneurs, afin d’aider en particulier les PME à comprendre si elles sont concernées et comment se préparer progressivement.

Vous utilisez déjà l’IA dans votre entreprise : vos obligations principales

Dès que vous utilisez un système d’IA dans le fonctionnement quotidien de votre entreprise (lecture automatique de factures, tri de CV, chatbot sur votre site, analyse de données, etc.), vous êtes considéré comme déployeur au sens de l’AI Act.

Vous devez notamment :

• dresser un inventaire des systèmes d’IA que vous utilisez (outils qui produisent des conclusions, scores, prévisions ou recommandations à partir de données) ;

• évaluer le niveau de risque de chaque système (haut risque, risque limité, risque minimal) en fonction de son impact sur vos clients, travailleurs, candidats, fournisseurs, etc. ;

• déterminer votre rôle : simple utilisateur/déployeur ou, dans certains cas, également fournisseur (par exemple si vous modifiez profondément un modèle ou le redistribuez sous votre nom).

  
  

Ensuite, vous devez mettre en place une utilisation sûre et transparente :

• S’assurer que les utilisateurs internes comprennent l’outil : règles d’usage, limites, et bonnes pratiques, avec un minimum de sensibilisation/formation.

• Travailler avec des informations fiables : données pertinentes, cohérentes et maintenues à jour pour éviter des sorties trompeuses.

• Garder un contrôle humain régulier : relire/contrôler les résultats et repérer rapidement les anomalies ou erreurs.

• Prévoir une réaction en cas de problème : remonter les incidents et arrêter l’outil quand son usage devient risqué ou inadapté.

• Tracer ce qui compte : conserver les éléments utiles (logs, preuves, versions, décisions) pendant au moins six mois.

• Être transparent avec les personnes concernées : préciser quand une IA intervient, notamment vis-à-vis des clients, des travailleurs ou des candidats.

David Bultreys