AI Act 2027 entreprise : un faux répit pour les dirigeants
L’AI Act est déjà en vigueur et la législation européenne sur l’intelligence artificielle entre maintenant dans une phase d’application progressive pour toutes les entreprises. Le 7 mai, l’accord politique entre Parlement et Conseil a simplement re-séquencé le calendrier des obligations sans modifier le cœur de l’act ni le cadre juridique qui encadre les systèmes à haut risque et les pratiques interdites. Pour un comité exécutif, l’enjeu n’est donc pas de gagner du temps mais de décider comment transformer l’AI Act 2027 entreprise en levier de gouvernance de l’intelligence artificielle et de pilotage des projets IA.
Les systèmes listés à l’annexe III, qui couvrent notamment les systèmes RH, la biométrie, les infrastructures critiques et certains usages quasi judiciaires, voient leur application repoussée de quelques mois mais restent classés comme systemes risque élevé. Un outil de scoring automatique des candidatures ou un dispositif de reconnaissance faciale dans un aéroport restent par exemple des systèmes à haut risque. Les composants de sécurité des produits régulés, visés par l’annexe I, ne seront pleinement applicables aux systèmes qu’ultérieurement, tandis que les pratiques interdites, l’AI literacy et les exigences pour les modèles de base demeurent inchangées. Les sanctions, jusqu’à 35 millions d’euros ou 7 pour cent du chiffre d’affaires mondial, restent identiques et renforcent la pression sur la conformité des entreprises utilisatrices.
Le piège est clair pour les directions générales françaises, alors que 58 pour cent des dirigeants déclarent ne pas avoir de stratégie IA structurée, selon une enquête 2024 de France Stratégie sur la transformation numérique des entreprises. Beaucoup liront ce rééchelonnement comme un signal de tolérance, alors que la commission européenne et l’union européenne misent en réalité sur des standards harmonisés et des lignes directrices en cours de finalisation pour guider les entreprises. Comme le rappelle une source officielle de la commission, « L'AI Act s'applique de manière progressive entre 2025 et 2027, mais les principes de protection des droits fondamentaux sont d’ores et déjà opposables. » L’article 5 du règlement précise par exemple les pratiques interdites, tandis que les annexes I et III détaillent les catégories de systèmes à haut risque.
Trois chantiers immédiats : inventaire, gouvernance, documentation
Pour un comité exécutif, la première décision concrète consiste à lancer un inventaire exhaustif des systèmes d’intelligence artificielle déjà en production ou en pilote dans l’entreprise. Cet inventaire doit distinguer chaque solution IA selon son niveau de risque, ses modèles sous-jacents, ses modèles d’usage et son exposition aux droits fondamentaux, à la santé sécurité ou à la sécurité des droits des personnes, en particulier dans les infrastructures critiques. Un tableau simple (nom du système, finalité, fournisseur, données traitées, niveau de risque, statut de conformité) permet déjà de structurer ce recensement. Les directions métiers doivent y intégrer les solutions de fournisseurs externes, les fournisseurs de modèles de type GPT ou Claude, ainsi que les outils internes pour éviter les angles morts de la surveillance du marché par les autorités.
Deuxième chantier, la mise en place d’un comité IA interne qui ne soit pas un simple bureau consultatif mais un organe de décision transverse. Ce comité doit réunir DSI, directions métiers, juridique, conformité, data, sécurité et représentants des entreprises utilisatrices internes, afin d’arbitrer les obligations applicables aux différents systèmes à risque et de définir les règles de gouvernance des pratiques d’IA, y compris les pratiques interdites. Un échéancier interne aligné sur les jalons 2025–2027 (identification des cas d’usage critiques, mise à niveau documentaire, tests de conformité) aide à prioriser les décisions. Les dirigeants peuvent s’appuyer sur les retours du Salon AI Paris et sur des analyses comme « les tendances qui comptent pour les décideurs » présentées sur cette synthèse dédiée aux décideurs.
Troisième chantier, la documentation progressive, compatible avec les futures lignes directrices de l’AI Office et les attentes de la commission. Il s’agit de produire des livres blancs internes par cas d’usage, décrivant les modèles, les modèles d’usage, les obligations de transparence, les mesures de sécurité des droits et les engagements en matière de transparence vis-à-vis des utilisateurs, des clients et des régulateurs. Une checklist opérationnelle (description du système, justification du niveau de risque, tests, contrôles humains, procédures d’escalade) permet de standardiser cette documentation. Les directions doivent déjà intégrer les exigences de marquage des contenus synthétiques, qui imposent aux fournisseurs et aux entreprises utilisatrices des obligations de transparence renforcées sur les contenus générés par l’IA.
AI literacy, standards et projets en cours : une fenêtre de tir stratégique
Au-delà des textes, l’AI Act 2027 entreprise crée une obligation implicite de montée en compétence massive, souvent résumée sous le terme d’AI literacy. Cette obligation de formation existe déjà dans la législation européenne, mais très peu d’entreprises l’ont intégrée dans leurs plans de développement des compétences alors même que la commission européenne insiste sur la protection des droits fondamentaux et de la santé sécurité au travail. Les conseils d’administration doivent suivre de près ces enjeux, comme le rappelle l’analyse sur « ce que les conseils d’administration doivent vraiment regarder » disponible sur cette ressource dédiée aux actualités IA.
Le pari implicite de Bruxelles est clair : la pression ne vient pas d’un changement de doctrine mais de la montée en puissance de standards harmonisés et de lignes directrices techniques. Les obligations fournisseurs, les obligations applicables aux systèmes à haut risque et les exigences de conformité pour les entreprises utilisatrices seront précisées par ces normes, qui structureront la surveillance du marché et les contrôles. Comme le résume un analyste spécialisé cité par la commission européenne, « Le règlement classe les systèmes d'IA en quatre niveaux de risque avec des obligations proportionnées, allant de l’interdiction pure et simple à des exigences de transparence allégée. »
Dans ce contexte, arrêter les projets de gouvernance IA lancés au premier trimestre serait une erreur stratégique pour toute direction générale. C’est au contraire le moment de tester à vide les processus de validation, les circuits de décision, la gestion des obligations de transparence et la coordination avec les fournisseurs de modèles, afin d’anticiper les futures exigences de la commission européenne et de l’union européenne. Les dirigeants qui souhaitent sécuriser leur stratégie peuvent déjà structurer leurs règles internes autour des principes de sécurité des droits, de transparence et de maîtrise des risques, comme le détaille l’analyse dédiée à la sécurisation de la stratégie IA disponible sur cette ressource sur la stratégie IA. Une enquête 2024 de France Stratégie sur la transformation numérique des entreprises rappelle d’ailleurs que l’absence de stratégie IA structurée accroît directement l’exposition aux risques réglementaires et réputationnels.