.AI Act et conformité IA

Cédric Millauriaux
Rédigé par Cédric Millauriaux, Architecte Logiciel
Mis à jour le

L'AI Act européen (Règlement UE 2024/1689) structure désormais la mise sur le marché et l'usage de l'IA en Europe. Pour les acteurs B2B et les éditeurs de logiciels, c'est un sujet à intégrer dès la conception, pas à découvrir au moment du marquage CE ou d'un audit.



Classification des systèmes IA

  • Risque inacceptable (interdits) : notation sociale, manipulation cognitive, reconnaissance faciale dans l'espace public (avec exceptions).
  • Haut risque : RH, éducation, services essentiels, application de la loi, justice, infrastructures critiques, dispositifs médicaux. Obligations substantielles.
  • Risque limité : chatbots, deepfakes, systèmes générant du contenu. Obligations de transparence.
  • Risque minimal : la grande majorité des usages courants en entreprise. Aucune obligation spécifique mais bonnes pratiques recommandées.


AI Act et conformité IA

Notre démarche de mise en conformité

  1. Inventaire des systèmes IA : y compris ceux dont vous ignorez peut-être l'usage (modules IA embarqués dans des SaaS, agents intégrés à des outils existants).
  2. Qualification par cas d'usage : où se situe chaque système dans la pyramide de risque ?
  3. Analyse d'écart : pour chaque système, ce qui manque par rapport aux obligations applicables.
  4. Plan de mise en conformité : priorités, jalons, responsabilités, budget.
  5. Gouvernance IA pérenne : comité IA, processus de validation, documentation vivante, registre des systèmes IA.


Croisements sectoriels

  • Santé : articulation AI Act + MDR + HDS + RGPD santé. Notre expertise e-santé couvre ces croisements.
  • Finance / Assurance : articulation AI Act + DORA + ACPR + RGPD.
  • Juridique : secret professionnel, conformité ordinale, AI Act haut risque pour la justice.
  • RH : recrutement et évaluation classés haut risque, articulation avec le droit du travail.

Cas client confidentiel

Acteur santé — qualification IA Act

Pour un acteur de la santé numérique préparant un usage IA dans un dispositif médical logiciel, nous avons mené une qualification croisée AI Act / MDR : classification du risque selon l’Annexe III, articulation avec les obligations existantes (HDS, RGPD, IEC 62304) et plan de conformité priorisé. Livrable : note de cadrage + plan d’action 12 mois.
Un système IA à mettre en conformité ? Contactez-nous !


L'équipe DINNO derrière ce service

Une équipe permanente à Saint-Herblain, qui suit chaque projet du cadrage à la maintenance.

Aline Deschamps

Aline Deschamps

Directrice Générale, spécialiste Data

Co-fondatrice de DINNO, elle pilote la stratégie de l'agence et accompagne les clients dans la valorisation de leurs données. Elle intervient sur le cadrage des projets, la gouvernance et la dimension métier des solutions, en particulier auprès des acteurs de la santé.

LinkedIn →
Antoine Précigout

Antoine Précigout

Directeur Technique

Directeur technique de DINNO, il pilote l'équipe de développement et garantit la qualité d'ingénierie de bout en bout : architecture, industrialisation, CI/CD, tests automatisés et mise en production. Référent technique sur les projets web et mobiles.

LinkedIn →
Cédric Millauriaux

Cédric Millauriaux

Architecte Logiciel

Architecte logiciel chez DINNO, il intervient sur les audits techniques, la conception d'architecture et l'urbanisation des systèmes d'information. Il accompagne éditeurs et grands comptes dans leurs refontes et leurs choix structurants (cloud, intégration LLM, sécurité).

LinkedIn →

Questions fréquentes

Quand l'AI Act s'applique-t-il ?
L'AI Act est entré en vigueur le 1er août 2024 avec un déploiement progressif : interdictions des pratiques inacceptables à partir de février 2025, obligations sur les modèles à usage général (GPAI) en août 2025, et obligations sur les systèmes à haut risque à partir d'août 2026. Cela laisse peu de temps pour se mettre en conformité : il faut commencer maintenant si ce n'est pas déjà fait.
Notre IA est-elle à haut risque ?
L'annexe III de l'AI Act liste les cas d'usage à haut risque : ressources humaines (recrutement, évaluation), éducation, services essentiels (crédit, assurance), application de la loi, migration, justice, infrastructures critiques. Les dispositifs médicaux logiciels MDR sont également considérés à haut risque. Si vous êtes dans ces secteurs, les obligations sont substantielles.
Quelles obligations pour une IA à haut risque ?
Système de management de la qualité, gestion des risques, gouvernance des données, documentation technique, journalisation, transparence vers les utilisateurs, surveillance humaine, exactitude/robustesse/cybersécurité, déclaration de conformité, marquage CE. C'est assez proche du MDR sur le logiciel médical.
AI Act et RGPD : c'est la même chose ?
Non, mais ils se complètent. Le RGPD concerne la protection des données personnelles ; l'AI Act concerne la sécurité et la fiabilité des systèmes d'IA. Pour une IA qui traite des données personnelles à haut risque, les deux s'appliquent cumulativement. L'articulation est complexe et nécessite souvent une AIPD croisée avec une analyse AI Act.

À lire aussi