L'AI Act s'applique-t-il aux entreprises qui utilisent ChatGPT ou Claude via API ?

Oui. L'AI Act distingue les 'fournisseurs' (ceux qui développent des systèmes IA) et les 'déployeurs' (ceux qui utilisent des systèmes IA existants dans un contexte professionnel). Si vous appelez l'API d'OpenAI, Anthropic ou Google pour intégrer un LLM dans votre produit ou vos processus internes, vous êtes un déployeur soumis au règlement. Certaines obligations s'appliquent dès maintenant (Art.4 — alphabétisation IA depuis février 2025), d'autres à partir d'août 2026 pour les systèmes haut risque.

Quelles sont les amendes prévues par l'AI Act ?

L'AI Act prévoit trois niveaux d'amendes : jusqu'à 35 millions d'euros ou 7% du chiffre d'affaires mondial annuel pour les violations des interdictions (Art.5), jusqu'à 15 millions d'euros ou 3% pour les obligations relatives aux systèmes à haut risque, et jusqu'à 7,5 millions d'euros ou 1,5% pour la fourniture d'informations inexactes. Ces montants s'appliquent aux grandes entreprises ; pour les PME, le montant le plus bas des deux seuils est retenu.

Qu'est-ce que l'obligation d'alphabétisation à l'IA de l'Article 4 de l'AI Act ?

L'Article 4 de l'AI Act, en vigueur depuis février 2025, impose à tous les fournisseurs et déployeurs de systèmes IA de s'assurer que leur personnel dispose d'un niveau suffisant de littératie en matière d'IA. Concrètement, cela signifie former les collaborateurs qui utilisent ou supervisent des systèmes IA, adapter le niveau de formation au rôle (utilisateur final, développeur, manager), et documenter ces formations. Il ne s'agit pas d'une obligation de certification, mais d'une obligation de moyens avec documentation à l'appui.

Mon usage d'un LLM est-il considéré comme un système IA à haut risque ?

Pas nécessairement. La majorité des usages courants (génération de contenu, résumés, aide à la rédaction, chatbots informationnels) ne sont pas classés haut risque. L'Annexe III de l'AI Act liste les catégories haut risque : infrastructures critiques, éducation et formation, emploi et gestion des ressources humaines, accès aux services essentiels (crédit, assurance), application des lois, gestion des migrations, administration de la justice. Si votre LLM sert à noter des candidats, décider d'un crédit ou d'une prestation sociale, il est haut risque.

EU AI Act : obligations concrètes si vous utilisez un LLM en entreprise

L'EU AI Act est entré en vigueur le 1er août 2024. Première obligation concrète applicable à toutes les entreprises : l'alphabétisation à l'IA (Article 4), depuis février 2025. Pourtant, selon une étude EY publiée en mars 2026, 78% des entreprises européennes n'ont pas encore de programme de formation IA documenté. Le règlement ne concerne pas seulement les laboratoires qui entraînent des modèles — si vous appelez l'API d'OpenAI, Anthropic ou Google dans un contexte professionnel, vous êtes un déployeur soumis au règlement. Voici ce que ça impose, article par article.

Qu'est-ce que l'AI Act ? Le calendrier réel

L'EU AI Act (Règlement UE 2024/1689) est le premier cadre juridique mondial contraignant pour les systèmes d'intelligence artificielle. Il s'applique à toutes les organisations qui développent, distribuent ou utilisent des systèmes IA sur le territoire de l'Union européenne — y compris les entreprises établies hors UE si leurs systèmes affectent des personnes situées en Europe.

Le calendrier d'application est progressif :

1er août 2024 — Entrée en vigueur du règlement
2 février 2025 — Interdictions absolues (Art.5) + Obligation d'alphabétisation IA (Art.4)
2 août 2025 — Obligations relatives aux modèles d'IA à usage général / GPAI (Art.51-56)
2 août 2026 — Obligations relatives aux systèmes à haut risque (Annexe III)
2 août 2027 — Application complète à tous les systèmes IA

La bonne nouvelle : la majorité des obligations lourdes (certification, audit de conformité, marquage CE) ne s'appliquent qu'aux systèmes à haut risque et aux fournisseurs de modèles GPAI. Pour un usage courant de LLM, les obligations actuelles sont significatives mais accessibles.

Fournisseur ou déployeur : à quelle catégorie appartenez-vous ?

L'AI Act distingue plusieurs rôles. Identifier le vôtre conditionne l'étendue de vos obligations :

Fournisseur — Développe ou met sur le marché un système IA (OpenAI, Anthropic, Google, Mistral…). Obligations les plus lourdes : documentation technique, marquage CE pour haut risque, enregistrement dans la base de données EU.
Déployeur — Utilise un système IA sous sa propre responsabilité dans un contexte professionnel. C'est la catégorie de la quasi-totalité des entreprises qui intègrent des LLM via API. Obligations allégées mais réelles.
Importateur / Distributeur — Rôles intermédiaires dans la chaîne de distribution, avec des obligations de vérification.

Concrètement : si votre startup appelle l'API d'Anthropic pour construire un assistant client, vous êtes déployeur. Si vous intégrez un LLM dans votre logiciel RH vendu à d'autres entreprises, vous devenez fournisseur de ce système combiné.

Article 4 — L'obligation d'alphabétisation IA (en vigueur depuis février 2025)

C'est l'obligation la plus immédiate et la plus souvent ignorée. L'Article 4 impose aux fournisseurs et déployeurs de prendre des mesures pour que leur personnel dispose d'un niveau suffisant de littératie en matière d'IA, adapté au rôle exercé.

Ce que ça signifie concrètement :

Pour les utilisateurs finaux : comprendre ce qu'est un LLM, pourquoi les outputs peuvent être incorrects (hallucinations), quelles données ne doivent pas être envoyées à un service IA tiers
Pour les développeurs qui intègrent des LLM : sécurité applicative, prompt injection, gestion des clés API, filtrage des inputs/outputs
Pour les managers : identifier les usages IA dans leur équipe, comprendre les risques, appliquer la politique IA de l'entreprise
Pour les DPO et juristes : qualification des systèmes IA, interaction avec le RGPD, obligations de documentation

Il n'existe pas de certification obligatoire définie par le règlement — c'est une obligation de moyens avec documentation. En cas d'audit, vous devez pouvoir présenter : la liste des formations dispensées, leur contenu, les collaborateurs concernés, les dates. Un email de sensibilisation sans documentation ne suffit pas.

Article 5 — Les usages interdits (depuis février 2025)

L'Article 5 liste les pratiques absolument interdites, quel que soit le niveau de risque du système. Pour les utilisateurs de LLM, les plus pertinentes sont :

Systèmes de notation sociale — Attribuer un score de fiabilité à des personnes physiques sur la base de leur comportement social pour leur accorder ou refuser des avantages
Exploitation des vulnérabilités — Utiliser un LLM pour cibler des personnes vulnérables (mineurs, personnes âgées, troubles psychologiques) de manière manipulatrice
Manipulation subliminale — Systèmes dont l'objectif est d'influencer une décision sans que la personne en soit consciente
Reconnaissance émotionnelle dans les espaces de travail et établissements d'enseignement — sauf motifs de sécurité justifiés

Ces interdictions concernent rarement un usage standard de LLM en entreprise, mais elles doivent être vérifiées si le système est intégré dans des parcours client ou RH automatisés.

Les systèmes IA à haut risque : êtes-vous concerné ?

L'Annexe III de l'AI Act liste 8 catégories de systèmes à haut risque, soumis aux obligations les plus strictes à partir d'août 2026. La question à se poser : votre LLM sert-il à l'un de ces usages ?

Infrastructures critiques — Eau, énergie, transport, infrastructure numérique
Éducation et formation — Évaluation des étudiants, orientation professionnelle automatisée
Emploi et RH — Recrutement assisté par IA, évaluation des performances, licenciement
Accès aux services essentiels — Scoring de crédit, évaluation d'assurance, services publics
Application des lois — Profilage, évaluation de risques criminels, analyse de preuves
Gestion des migrations — Évaluation des demandes d'asile, contrôle aux frontières
Administration de la justice — Aide à la décision judiciaire
Processus démocratiques — Systèmes pouvant influencer des élections

Si votre LLM génère des emails marketing, des résumés de documents, du code, ou fait du support client générique : il n'est pas haut risque. Si votre LLM classe des CV, évalue la solvabilité d'un client ou aide à prendre des décisions de santé clinique : il est haut risque, avec un calendrier de conformité à respecter.

Les modèles GPAI (ChatGPT, Claude, Gemini) : obligations des fournisseurs qui impactent les déployeurs

Les Articles 51 à 56 de l'AI Act (applicables depuis août 2025) encadrent les modèles d'IA à usage général (GPAI — General Purpose AI models). OpenAI, Anthropic, Google et Mistral sont directement concernés en tant que fournisseurs.

Pour les déployeurs, ces obligations ont un impact indirect mais concret :

Documentation technique obligatoire — Les fournisseurs GPAI doivent publier une documentation sur les capacités et limites du modèle, les données d'entraînement, les évaluations de sécurité. Vous pouvez vous en prévaloir pour documenter votre propre conformité.
Politique d'utilisation acceptable — Les fournisseurs doivent définir et faire respecter des conditions d'usage. Si vous déployez un LLM pour un usage interdit par les CGU du fournisseur, la responsabilité peut remonter vers vous.
Gestion des incidents — Les fournisseurs GPAI avec impact systémique (> 10^25 FLOPs d'entraînement) doivent signaler les incidents graves à la Commission. En tant que déployeur, vous devez coopérer à ces signalements si votre usage est impliqué.

Ce que l'AI Act n'exige PAS — les idées reçues

Plusieurs mythes circulent sur l'AI Act. Clarifions ce que le règlement n'impose pas pour les usages courants :

Pas d'interdiction d'utiliser des LLM — Le règlement ne bannit pas les outils d'IA générative. Il encadre certains usages.
Pas de certification obligatoire pour les usages non haut risque — Un chatbot de support client n'a pas besoin de marquage CE.
Pas d'obligation de n'utiliser que des modèles européens — L'AI Act n'est pas un texte protectionniste. GPT-4o, Claude ou Gemini restent utilisables s'ils sont déployés dans le respect du règlement.
Pas d'audit obligatoire par un tiers pour les PME — Les audits tiers ne sont obligatoires que pour certains systèmes haut risque et dans certaines conditions.
Pas d'obligation de publier ses données d'entraînement — Sauf si vous êtes fournisseur d'un modèle GPAI.

Architecture recommandée : un proxy conforme comme point de contrôle unique

La manière la plus pragmatique de se conformer à l'AI Act sans refactoriser chaque intégration individuellement est d'utiliser un proxy IA centralisé. Tous les appels LLM passent par ce point de contrôle unique, qui applique :

Requête utilisateur
    → [Auth + rate limit par utilisateur]
    → [Filtre statique anti-injection (286 patterns)]
    → [Anonymisation PII automatique]
    → [LLM Provider : OpenAI / Anthropic / Gemini]
    → [Filtre output : détection hallucinations, données sensibles]
    → [Log horodaté : user_id pseudonymisé, modèle, score sécurité]
    → Réponse restituée à l'utilisateur

Ce modèle d'architecture permet de centraliser la traçabilité (obligation Art.12 pour haut risque), le filtrage (Art.9 gestion des risques), et l'anonymisation (RGPD + AI Act privacy by design). Il sépare clairement la logique de conformité de la logique métier.

Check-list : êtes-vous conforme à l'AI Act aujourd'hui ?

☐ Cartographie des usages IA — Liste exhaustive des LLM et systèmes IA utilisés en interne et dans vos produits
☐ Qualification des usages — Pour chaque usage, déterminer si haut risque (Annexe III) ou non
☐ Programme de formation IA documenté — Art.4 : plan de formation, contenu, collaborateurs formés, dates (obligatoire depuis février 2025)
☐ Politique d'utilisation IA publiée — Règles claires sur ce que les collaborateurs peuvent ou non envoyer à un LLM
☐ Vérification de l'absence d'usages interdits — Art.5 : notation sociale, manipulation, reconnaissance émotionnelle non autorisée
☐ Logs d'audit — Horodatage, identifiants pseudonymisés, modèle utilisé, score de sécurité
☐ Anonymisation PII avant envoi au LLM — Privacy by design : ne pas envoyer plus de données que nécessaire
☐ Hébergement EU des logs — Conformité RGPD sur les transferts de données
☐ Registre des traitements IA mis à jour — Chaque LLM utilisé dans un processus impliquant des données personnelles doit figurer dans le registre RGPD
☐ Plan de conformité haut risque — Si usage haut risque identifié : planifier la mise en conformité avant août 2026

AI Act et RGPD : complémentaires, pas contradictoires

L'AI Act ne remplace pas le RGPD — les deux règlements s'appliquent simultanément et en complémentarité. Le RGPD régit le traitement des données personnelles (base légale, droits des personnes, transferts internationaux). L'AI Act régit les systèmes IA (niveau de risque, traçabilité, transparence, qualité des données d'entraînement).

Un même traitement peut violer les deux règlements indépendamment. Un système de scoring RH basé sur un LLM peut être haut risque au sens de l'AI Act (obligation de documentation, supervision humaine) et violer l'Art.22 du RGPD (décision automatisée avec obligation d'intervention humaine) et enfreindre le principe de minimisation des données RGPD si le prompt contient des informations non nécessaires.

Notre article RGPD + AI Act : guide pour les métiers réglementés détaille les obligations spécifiques pour les avocats, médecins, DRH et notaires. Pour la partie technique — logs, filtrage, traçabilité — consultez notre guide d'implémentation technique.

Les amendes : un double risque AI Act + RGPD

L'AI Act prévoit des amendes substantielles, indépendantes de celles du RGPD :

35 millions € ou 7% du CA mondial — violation des interdictions de l'Art.5 (manipulation, notation sociale, reconnaissance biométrique non autorisée)
15 millions € ou 3% du CA mondial — non-conformité pour les systèmes haut risque ou les modèles GPAI
7,5 millions € ou 1,5% du CA mondial — fourniture d'informations inexactes aux autorités

Pour les PME, le montant le moins élevé des deux seuils s'applique. Les premières amendes AI Act sont attendues entre 2026 et 2027, à mesure que les autorités nationales de surveillance (l'ANSSI en France pour certains aspects) monteront en puissance.

La double exposition AI Act + RGPD peut donc atteindre 7% + 4% = 11% du chiffre d'affaires mondial pour une violation combinée. Un horizon qui devrait motiver l'action dès maintenant, avant les premières décisions.

Pour aller plus loin sur les risques liés au Shadow AI et à la gouvernance IA en entreprise, ainsi que sur les obligations spécifiques aux professions réglementées.

Conclusion

L'AI Act n'est pas une menace pour les entreprises qui utilisent des LLM — c'est un cadre qui, bien appliqué, crée un avantage concurrentiel : confiance des clients, conformité aux appels d'offres publics exigeant la conformité IA, réduction des risques juridiques. Les entreprises qui attendent la date butoir d'août 2026 pour réagir auront un travail considérable à faire en urgence. Celles qui agissent maintenant — formation Art.4, cartographie des usages, logs d'audit — construisent une base solide à faible coût.

La priorité immédiate : documenter les formations IA de vos équipes (Art.4, en vigueur), cartographier vos usages LLM, et mettre en place une journalisation centralisée. Trois actions concrètes qui couvrent 80% des obligations actuellement exigibles.

Routtx : conformité AI Act dès aujourd'hui

Logs horodatés exportables, filtrage statique 286 patterns + Llama Guard, anonymisation automatique de 80+ types de données personnelles, hébergement EU, rapport PDF d'audit. Tout ce qu'impose l'AI Act pour un déployeur de LLM, en un seul proxy.

Voir les offres Fonctionnalités