Les projets intégrant des systèmes d’intelligence artificielle (ci-après « IA ») se multiplient au sein des entreprises : assistants vocaux, chatbots, objets connectés, outils d’analyse ou de recommandation. Souvent portées par les équipes métiers ou IT, ces initiatives ont pour objectif d’améliorer l’expérience utilisateur et générer de la valeur.
Cependant, depuis l’entrée en vigueur de l’AI Act et l’adoption de Data Act, ces projets ne peuvent plus être appréhendés sous un angle exclusivement technique.
AI Act – Qui est concerné ?
Prenons l’exemple d’un assistant vocal intégré à un service. Celui-ci permet d’interagir avec les utilisateurs, de traiter des demandes, voire d’automatiser certaines décisions. Il repose sur des modèles d’IA, parfois fournis par des prestataires tiers, et évolue grâce aux données collectées lors de son utilisation.
Dans une telle configuration, l’entreprise qui ajoute cet assistant vocal au service qu’elle offre entre déjà dans le champ d’application de l’AI Act. En effet, le règlement ne vise pas uniquement les développeurs de solutions d’IA, mais toute organisation qui fournit, déploie ou utilise un système d’intelligence artificielle au sein de l’Union européenne. Autrement dit, intégrer un assistant vocal dans un produit ou un service suffit à déclencher des obligations.
Par ailleur,s un point souvent sous-estimé concerne les solutions tierces. Beaucoup d’entreprises intègrent aujourd’hui des briques d’intelligence artificielle via des API (Application programming interface ou « interface de programmation d’application ») ou des prestataires externes. Or, l’AI Act n’opère pas un transfert automatique de responsabilité, mais plutôt une addition des responsabilités. L’entreprise qui déploie la solution reste responsable de son utilisation et doit s’assurer de sa conformité. En pratique, cela implique d’exiger des garanties contractuelles et de mettre en place des mécanismes de contrôle.
Qu’implique l’AI Act ?
L’AI Act repose sur une logique de classification par le risque. Un assistant vocal utilisé pour répondre à des questions simples pourra être considéré comme un système à risque limité. En revanche, dès lors qu’il intervient dans des processus sensibles (par exemple le recrutement, l’évaluation de clients ou la prise de décisions automatisées) il peut basculer dans la catégorie des systèmes à haut risque, entraînant des obligations nettement plus lourdes, que ce soit pour les fournisseurs ou les déployeurs.
Dans ce cas, l’entreprise devra notamment documenter le fonctionnement du système, garantir une supervision humaine effective, contrôler la qualité des données utilisées et être en mesure d’expliquer les décisions prises par l’IA.
Le Data Act : vers une redéfinition de la donnée
En parallèle, le Data Act vient compléter ce cadre en s’attaquant à un autre angle : celui de la donnée, qu’elle soit ou non à caractère personnel.
Reprenons l’exemple de l’assistant vocal intégré dans un objet connecté, par exemple un appareil électroménager intelligent. Ce dispositif collecte des données d’usage, des préférences utilisateurs, voire des informations comportementales. Jusqu’à présent, ces données étaient souvent considérées comme un actif stratégique de l’entreprise.
Le Data Act modifie cette logique. Il prévoit notamment que les utilisateurs doivent pouvoir accéder aux données générées par l’utilisation d’un produit connecté et, dans certains cas, pouvoir demander leur partage avec des tiers. Pour les entreprises, cela implique une remise à plat des architectures techniques, mais aussi des modèles contractuels et économiques.
Autrement dit, la donnée n’est plus uniquement un avantage concurrentiel : elle devient aussi une obligation d’ouverture et de transparence.
Un enjeu d’anticipation
Dans la pratique, ces éléments sont encore trop rarement intégrés en amont des projets. Les initiatives d’IA sont fréquemment développées sans analyse juridique structurée, avec pour conséquence des mises en conformité tardives, coûteuses, voire impossibles sans refonte du produit.
Ce décalage rappelle fortement les débuts du RGPD. À la différence près que l’AI Act va plus loin : il ne se limite pas aux données à caractère personnel, mais encadre l’ensemble des systèmes d’intelligence artificielle, quel que soit leur usage et le type de données traitées.
Dans la pratique, cela signifie qu’une grande majorité d’entreprises sont déjà concernées, parfois sans en avoir conscience : chatbot sur un site web, outil RH automatisé, moteur de recommandation, analyse prédictive, etc. autant de cas d’usage qui entrent dans le périmètre du règlement.
Our advice:
Vous développez ou utilisez des solutions intégrant de l’intelligence artificielle ou des objets connectés ?
- Cartographier vos systèmes d’IA : identifiez les cas d’usage existants ou en développement afin de déterminer s’ils entrent dans le champ d’application de l’IA Act et à quel niveau de risque ils se situent.
- Anticiper la qualification réglementaire : intégrez, dès la phase de conception, une analyse du niveau de risque et des obligations associées.
- Préparer la gouvernance de la donnée : alignez vos architectures techniques et vos modèles contractuels avec les exigences du Data Act.
Notre équipe vous accompagne. Une analyse ciblée permet d’identifier rapidement vos obligations et d’éviter des ajustements coûteux une fois vos solutions déployées. N’hésitez pas à nous contacter !
