L'IA Act européen, adopté en 2024 et entré en application progressive en 2025-2027, est le premier cadre légal complet sur l'IA. Il classe les systèmes IA en 4 niveaux de risque et impose des obligations proportionnées :

**1. Risque inacceptable (interdit)** : scoring social, manipulation comportementale, identification biométrique en temps réel (sauf exceptions). Concerne <1% des cas business.

**2. Haut risque** : IA dans recrutement, crédit scoring, éducation, services publics critiques, justice, biométrie. Obligations lourdes : registres, documentation, supervision humaine, audits.

**3. Risque limité** : chatbots, deepfakes, génération de contenu. Obligation de transparence (informer l'utilisateur qu'il interagit avec une IA).

**4. Risque minimal** : la majorité des automations IA en entreprise (résumés, classification, génération de contenu interne). Pas d'obligation spécifique au-delà du RGPD.

Pour 90% des PME, les automations courantes (résumés réunion, qualification leads, support client) tombent en risque limité ou minimal.

Cartographions les usages les plus fréquents :

**Risque minimal (pas d'obligation spécifique)** : - Résumé automatique de documents internes - Génération d'emails marketing (avec validation humaine) - Classification de tickets support pour routage - Synthèse de réunions internes - Reporting automatisé

**Risque limité (transparence obligatoire)** : - Chatbot client face-public : doit indiquer "Je suis un assistant IA" - Génération de contenu publié (articles, vidéos) : doit mentionner l'usage d'IA - Réponse automatique aux clients : transparence sur la nature IA

**Haut risque (obligations lourdes)** : - Scoring automatique de candidats RH - Évaluation de performance employés - Scoring crédit ou solvabilité - Aide à la décision médicale - Triage automatique de demandes sociales/publiques

**Si vous êtes en haut risque, c'est lourd** : registre EU, documentation technique, système de gestion des risques, supervision humaine documentée, contrôle qualité continu, audit externe. Compter 50-200k€ de mise en conformité.

Pour la majorité des PME en risque limité ou minimal, voici les 5 actions concrètes :

**1. Transparence chatbot/agent** : sur tout agent IA face client, mentionner explicitement "Assistant IA" dans l'intro. Coût : 1 ligne de code, 0€.

**2. Mention "généré avec IA"** : sur les contenus publiés générés majoritairement par IA (articles, posts sociaux), ajouter une mention discrète mais visible. Coût : 0€.

**3. Registre interne des systèmes IA** : tableau simple listant chaque workflow IA, son objectif, ses données, son modèle, son niveau de risque. À jour. Coût : 2-4h de mise en place.

**4. DPO informé** : votre DPO doit avoir une vision claire des données personnelles traitées par chaque agent IA. Audit annuel recommandé.

**5. Garde-fous documentation** : pour chaque workflow IA, documenter "comment on évite [hallucination / biais / erreur critique]". Sert pour audit et pour vous-même.

**Ce qui ne change PAS** : le RGPD reste prioritaire. L'IA Act s'empile sur le RGPD, ne le remplace pas.

Si votre workflow tombe en haut risque (typiquement : scoring candidats, évaluation performance, scoring solvabilité), trois options :

**Option 1 : sortir du haut risque.** Reformuler le workflow pour que l'IA assiste sans décider. Exemple : au lieu d'un score auto qui filtre, l'IA produit un résumé de profil + 3 forces + 3 questions à approfondir. Le RH décide en restant maître.

**Option 2 : mettre en conformité.** Lourd mais possible. Documentation technique du système, gestion des risques, registre EU, supervision humaine, monitoring continu. Compter 6-12 mois et 50-200k€ pour une PME. Souvent réservé aux ETI/grands groupes.

**Option 3 : utiliser un fournisseur déjà conforme.** Certains éditeurs spécialisés (HiPeople pour RH, certains scoring fintech) prennent la conformité IA Act à leur charge. Vous restez "déployeur" avec des obligations allégées.

**Recommandation cabinet** : option 1 dans 80% des cas PME. Gardez l'IA comme assistant, pas comme décideur, et vous restez en risque limité avec une utilité similaire.

Au quotidien, le RGPD vous concernera 10x plus que l'IA Act. Quatre règles fondamentales pour vos workflows IA :

**1. Base légale claire pour chaque traitement.** Intérêt légitime, contrat, consentement : documentez le motif pour chaque pipeline qui traite des données personnelles.

**2. Minimisation.** N'envoyez à GPT/Claude que les données strictement nécessaires. Anonymisez avant si possible. Évitez d'envoyer email + nom + entreprise + téléphone quand juste l'email suffit.

**3. Sous-traitants conformes.** OpenAI, Anthropic et Mistral ont tous des accords DPA (Data Processing Agreement) signables. Faites-le. Vérifiez aussi qu'ils sont engagés sur le non-entraînement sur vos données API (vrai pour les API enterprise, à confirmer pour le grand public).

**4. Droits des personnes.** Vos workflows doivent permettre à un utilisateur de demander l'accès, la rectification ou l'effacement de ses données. Tracez quel workflow utilise quelles données, pour pouvoir répondre dans les 30 jours.

**Sanctions IA Act + RGPD cumulées** : jusqu'à 35M€ ou 7% du CA mondial. Pour une ETI à 100M€ de CA, c'est 7M€ de risque. La conformité coûte beaucoup moins cher.