IRCNF
Privacy & Data

Les obligations de données de l'AI Act européen sont entrées en vigueur en mai 2026 — Ce que les entreprises déployant des systèmes d'IA doivent faire maintenant

Partager:
Les obligations de données de l'AI Act européen sont entrées en vigueur en mai 2026 — Ce que les entreprises déployant des systèmes d'IA doivent faire maintenant

Ce qui a changé le 2 mai 2026

Le calendrier d'application progressif de l'AI Act européen a atteint son étape la plus importante le 2 mai 2026 : les exigences pour les systèmes d'IA à haut risque sont devenues juridiquement contraignantes. Les dispositions relatives aux usages interdits (notation sociale, surveillance biométrique en temps réel dans les espaces publics) étaient déjà en vigueur depuis août 2024. Les exigences pour les modèles d'IA à usage général ont pris effet en août 2025. Mais la catégorie à haut risque — l'IA utilisée dans l'emploi, l'éducation, le crédit, les forces de l'ordre, le contrôle aux frontières et les infrastructures critiques — est celle où se trouve l'essentiel du déploiement d'IA en entreprise, et c'est elle qui est désormais passible d'amendes pouvant atteindre 3 % du chiffre d'affaires annuel mondial.

Le règlement n'interdit pas l'IA dans ces catégories. Il impose un ensemble spécifique de mesures de gouvernance des données, de transparence et de contrôle humain. Comprendre exactement ce qui est exigé est essentiel car le texte de la loi est précis dans les domaines où la plupart des cadres de conformité étaient vagues, et vague dans les domaines où les praticiens ont besoin de précisions.

Les six obligations fondamentales en matière de données pour l'IA à haut risque

1. Documentation des données d'entraînement

L'article 10 de l'AI Act exige que les ensembles de données d'entraînement, de validation et de test des systèmes d'IA à haut risque fassent l'objet de pratiques documentées de gouvernance des données. Concrètement, les opérateurs doivent documenter la méthodologie de collecte des données, les critères de sélection utilisés pour inclure ou exclure les données, la portée géographique et temporelle des données, les opérations de prétraitement et de nettoyage effectuées, et, point crucial, les limitations et biais potentiels que les données peuvent contenir et la manière dont ils ont été évalués.

C'est plus exigeant qu'il n'y paraît. La plupart des équipes ML savent décrire leur pipeline de prétraitement. Mais bien moins nombreuses sont celles qui disposent d'une documentation formelle expliquant pourquoi certaines sources de données ont été exclues, ou d'une évaluation écrite des biais démographiques ou contextuels que leurs données d'entraînement pourraient véhiculer. Les orientations du Comité européen de la protection des données d'avril 2026 précisent que cette documentation doit être mise à jour lors du réentraînement du modèle, et pas seulement lors du déploiement initial.

2. Évaluation d'impact sur les droits fondamentaux

Les déployeurs (organisations utilisant un système d'IA à haut risque, par opposition aux fournisseurs qui le construisent) doivent réaliser une évaluation d'impact sur les droits fondamentaux avant le déploiement. Celle-ci est analogue à une DPIA (évaluation d'impact sur la protection des données) au titre du GDPR, mais elle va au-delà de la protection des données pour couvrir l'impact potentiel du système d'IA sur l'égalité, la non-discrimination, l'accès aux services et les droits procéduraux.

L'évaluation doit identifier quels groupes de personnes interagissent avec le système, quelles décisions ou recommandations il éclaire, quelles seraient les conséquences d'erreurs systématiques pour des populations spécifiques, et quel mécanisme de contrôle humain est en place. L'évaluation doit être documentée, révisée lorsque le système est mis à jour de manière significative, et accessible aux autorités nationales de surveillance du marché sur demande.

3. Mécanismes de contrôle humain

L'article 14 exige que les systèmes d'IA à haut risque soient conçus et déployés avec des mesures de contrôle humain qui permettent à la personne responsable de comprendre les capacités et les limites du système, de superviser son fonctionnement, et de pouvoir annuler, interrompre ou ignorer les résultats du système. Cela n'est pas satisfait par la simple présence d'un humain dans la boucle qui approuve automatiquement les décisions de l'IA — la loi exige que l'humain soit réellement capable de comprendre et d'examiner de manière significative les résultats.

En pratique, cela crée une obligation de documentation et de formation. Les organisations doivent être en mesure de démontrer que les personnes qui examinent les recommandations générées par l'IA ont reçu des informations sur les taux d'erreur du système, ses limitations connues et les types de cas où il est moins fiable. Un responsable du recrutement qui approuve une shortlist de candidats générée par l'IA sans connaître les taux de faux positifs démographiques du système selon le genre ou l'ethnie ne satisfait pas à l'article 14.

4. Précision, robustesse et cybersécurité

Les systèmes d'IA à haut risque doivent atteindre des niveaux de précision cohérents et appropriés à leur usage prévu, et les fournisseurs doivent communiquer les métriques de précision attendues dans les instructions d'utilisation. Cela crée une obligation à laquelle la plupart des déploiements d'IA en entreprise ne sont pas actuellement structurés pour répondre : un suivi continu des performances avec des seuils définis qui déclenchent une révision ou une suspension du système. Les systèmes qui étaient précis lors du déploiement peuvent dériver à mesure que les distributions de données sous-jacentes changent — la loi exige de détecter et d'agir sur cette dérive.

5. Documentation technique et journaux

Les fournisseurs doivent tenir une documentation technique démontrant la conformité du système avec le règlement, et le système doit conserver automatiquement des journaux de son fonctionnement pendant une période appropriée à son usage. Pour l'IA dans l'emploi, les orientations suggèrent que les journaux doivent couvrir au minimum les entrées prises en compte, les résultats produits et l'horodatage de chaque décision importante, conservés pendant la durée de toute période de contestation juridique — généralement 3 à 5 ans selon le droit du travail de l'État membre.

6. Transparence envers les personnes concernées

Les personnes soumises à des décisions prises ou significativement influencées par une IA à haut risque ont droit à une explication. Ce droit n'est pas déclenché uniquement par une prise de décision automatisée (cela est couvert par l'article 22 du GDPR) mais par toute influence significative d'un système d'IA à haut risque sur une décision humaine. L'explication doit couvrir les principaux paramètres pris en compte par le système et la manière dont ils ont influencé le résultat — pas une description générique du fonctionnement du modèle, mais une explication spécifique à la décision.

Là où la plupart des organisations échouent actuellement

Le Bureau européen de l'IA a commencé à réaliser des audits de l'ombre des déploiements d'IA à haut risque dans les secteurs des services financiers et des technologies RH, et les premiers signaux des avocats spécialisés qui ont vu les questionnaires indiquent trois lacunes récurrentes :

Lacune 1 : La FRIA n'est pas réalisée ou est entièrement déléguée au fournisseur d'IA. Le déployeur est responsable de l'évaluation, pas le fournisseur. Les fournisseurs peuvent fournir une documentation d'appui, mais la FRIA doit refléter le contexte de déploiement spécifique, pas seulement le modèle dans l'abstrait. Un modèle de notation de crédit déployé par la Banque A en Allemagne pour le crédit à la consommation en 2026 doit avoir une FRIA différente du même modèle déployé par la Banque B en France pour le crédit aux PME.

Lacune 2 : Les mécanismes de contrôle humain existent sur le papier mais pas en pratique. De nombreuses organisations ont documenté qu'un humain examine les recommandations de l'IA, mais elles ne se sont pas assurées que les humains reçoivent les informations nécessaires pour annuler significativement l'IA. Une étude d'AlgorithmWatch publiée en avril 2026 a révélé que dans 78 % des déploiements d'IA RH étudiés, l'examinateur humain n'avait pas accès au score de confiance du modèle ni aux taux d'erreur connus au moment de l'examen.

Lacune 3 : La documentation des données d'entraînement date d'avant le règlement et ne satisfait pas à l'article 10. Les systèmes construits avant 2024 ont souvent des enregistrements inadéquats des décisions de sélection des sources de données et des évaluations de biais. Reconstruire rétroactivement cette documentation est difficile et, dans de nombreux cas, impossible pour les systèmes dont les données originales n'existent plus. La solution pragmatique consiste à considérer le réentraînement ou une mise à jour majeure du modèle comme un déclencheur de conformité pour produire une documentation conforme à l'avenir.

Mesures pratiques pour se conformer dès maintenant

  1. Cartographiez votre inventaire d'IA par rapport aux catégories à haut risque. L'article 6 et l'annexe III énumèrent précisément les catégories. Si vous utilisez l'IA pour le filtrage des candidatures, l'évaluation de la solvabilité, l'éligibilité aux prestations ou l'aide aux forces de l'ordre, vous êtes concerné. Ne présumez pas que le recours à un fournisseur externe vous dispense d'être le déployeur au sens de la loi.
  2. Priorisez l'achèvement de la FRIA pour les systèmes déjà déployés. La loi n'offre pas de période de grâce pour les systèmes déjà en service. Si votre système a été déployé avant le 2 mai 2026, vous êtes en infraction si vous ne disposez pas d'une FRIA conforme. Terminez-la maintenant, avec une date de déploiement précise, et documentez toute action corrective.
  3. Auditez votre documentation relative au contrôle humain. Pouvez-vous démontrer que les examinateurs humains des résultats de l'IA ont été formés sur les limites du système ? Vos workflows enregistrent-ils qu'un humain a effectivement examiné la décision, ou seulement que le système a produit une recommandation ?
  4. Mettez en place un suivi de la dérive des performances du modèle. Définissez vos seuils de précision, établissez une cadence de surveillance et documentez ce qui déclenche une révision ou une suspension du système. Cela ne nécessite pas d'outillage sophistiqué — un audit trimestriel de la précision sur un ensemble de données d'évaluation de référence vaut mieux que rien.
  5. Sollicitez vos fournisseurs d'IA sur les obligations documentaires partagées. Les fournisseurs de systèmes d'IA à haut risque ont leurs propres obligations en vertu du règlement. Demandez leur documentation technique et leurs évaluations de conformité, et vérifiez qu'ils disposent du marquage CE le cas échéant. Utiliser un système d'IA d'un fournisseur qui ne peut pas fournir cette documentation constitue en soi une exposition à la non-conformité.

Le régime d'application de l'AI Act a plus de mordant que le GDPR n'en avait à son lancement. Le Bureau européen de l'IA est un organe dédié avec du personnel technique, et les amendes sont proportionnées au chiffre d'affaires plutôt que plafonnées à un montant fixe. Les organisations qui ont traité le 2 mai 2026 comme un simple point de contrôle plutôt que comme un véritable changement opérationnel prennent un risque juridique mesurable.

complianceprivacydata-governancegdprai regulationeu-ai-acthigh-risk-ai
Partager:
Les obligations de données de l'AI Act européen sont entrées en vigueur en mai 2026 — Ce que les entreprises déployant des systèmes d'IA doivent faire maintenant | IRCNF - Intelligent Reliable Custom Next-gen Frameworks