En quoi l'IA générative peut-elle aider à réduire les coûts IT ?

L'IA générative automatise des tâches chronophages comme la création de tickets, la rédaction de documentation ou la génération de tests, réduisant la dépendance aux prestataires et améliorant la productivité interne.

Quels bénéfices concrets apporte "IA Gen pour l'IT" à une DSI ?

Elle permet d'identifier les leviers d'économie immédiats, industrialiser des pratiques IA, gagner en vélocité tout en sécurisant la qualité et mesurer un ROI réel sur la transformation numérique.

À qui s'adressent les webinaires "IA Gen pour l'IT" d'Oxyl ?

Aux Managers IT et DSI souhaitant accélérer leurs développements via des outils concrets, des démonstrations réelles et des retours d'expérience terrain.

Archives des Réglementation & conformité

AI Act pour les entreprises : obligations et mise en conformité 2025-2028

par Stephanie Gorostegui | Juin 11, 2026 | Réglementation & conformité

L’intelligence artificielle est devenue une réalité opérationnelle : automatisation RH, scoring financier, copilotes et IA générative intégrée aux outils métiers. Cette adoption massive s’accompagne désormais d’un cadre réglementaire structurant qui change la donne. Les sanctions atteignent 35 M€ ou 7% du CA mondial (article 99). Ces montants transforment la conformité en priorité stratégique.

Publié au Journal Officiel de l’UE le 12 juillet 2024, ce texte est la première régulation mondiale de l’IA. L’enjeu va au-delà de la conformité juridique : l’AI Act exige une gouvernance transverse impliquant IT, métiers et direction.

La maîtrise de l’AI Act pour les entreprises est le pré-requis pour sécuriser l’innovation et garantir la pérennité des projets IA. Le délai pour les systèmes à haut risque a été repoussé au 2 décembre 2027, suite à l’accord politique du 7 mai 2026 (Digital Omnibus). Et pourtant, le report des échéances risque d’amplifier l’attentisme de nombreuses organisations, alors que la préparation doit continuer.

🔍 L’œil d’Oxyl : > Nous constatons souvent chez nos clients que le passage du « Proof of Concept » (POC) à l’industrialisation est le moment où les lacunes de gouvernance deviennent critiques. L’AI Act impose de professionnaliser cette transition.

Sommaire

Qu’est-ce que l’AI Act et qui est concerné ?
Pourquoi l’AI Act change la façon d’innover
Comprendre la pyramide des risques
Les 5 erreurs fréquentes
Checklist de conformité
Calendrier 2025-2028
AI Act et gouvernance
PME et ETI
Conclusion

Qu’est-ce que l’AI Act et quelles entreprises sont concernées ?

L’AI Act (Règlement UE 2024/1689) redéfinit les règles du jeu numérique à l’échelle mondiale. Les analyses d’impact de la Commission européenne indiquent qu’il touche plus de 700 000 entreprises en Europe.

Fournisseurs, déployeurs et importateurs : qui est responsable de quoi ?

Erreur fréquente : croire que seules les Big Tech ou les éditeurs de logiciels sont visés. En réalité, le périmètre est beaucoup plus vaste et repose sur trois rôles distincts :

Les Fournisseurs (Providers) : Ceux qui développent un système d’IA ou un modèle de fondation (GPAI) pour le commercialiser. Ils portent la responsabilité technique la plus lourde (marquage CE, documentation technique).
Les Déployeurs (Deployers) : C’est ici que se situent la majorité des clients d’Oxyl. Les entreprises qui utilisent un système d’IA dans leur activité (RH, scoring, tri de CV).
Les Importateurs et Distributeurs : Ceux qui doivent s’assurer que le fournisseur a bien rempli ses obligations avant de mettre le produit sur le marché de l’UE.

Les modèles GPAI : qui est concerné dans votre organisation ?

L’AI Act introduit un régime spécifique pour les modèles d’IA à usage général (GPAI ou General Purpose AI), comme GPT-4, Gemini ou Mistral. Leurs fournisseurs (OpenAI, Google, Mistral AI) sont soumis à des exigences strictes de transparence. Mais attention : les entreprises qui intègrent ces modèles dans leurs propres outils héritent, elles aussi, de responsabilités et d’obligations de conformité.

Par ailleurs, les modèles les plus puissants, ceux dont la puissance de calcul dépasse 10²⁵ FLOPs, sont classés comme présentant un « risque systémique » et font l’objet de règles renforcées.

En clair : Que vous développiez un assistant interne, un copilote métier ou un outil client basé sur un LLM tiers, vous êtes directement concerné par ces nouvelles règles.

L’effet d’extra-territorialité : pourquoi personne n’y échappe

Si votre IA produit des résultats utilisés dans l’UE, vous êtes soumis à l’AI Act, même hors UE.

🔍 L’œil d’Oxyl : > Trop d’entreprises pensent être protégées par la responsabilité de leur fournisseur (SaaS). Or, l’AI Act impose au déployeur de garantir la qualité des données d’entrée et d’assurer une supervision humaine réelle. C’est pourquoi chez Oxyl nous insistons sur le rôle du « Déployeur ». La conformité est une co-responsabilité.

Pourquoi l’AI Act redéfinit l’innovation en entreprise

L’ère du « Move fast and break things » est révolue. L’AI Act impose l’innovation responsable. Il structure l’innovation : passer d’une approche technique à une approche systémique et éthique.

De la « boîte noire » à la transparence

Un algorithme performant mais opaque n’est plus un simple avantage technologique : c’est une source de coûts cachés et de risques juridiques majeurs. En cas de non-conformité, les amendes potentielles et les obligations de mise à jour technique pèsent directement sur le bilan de l’entreprise. Le règlement européen exige une traçabilité rigoureuse et une maîtrise réelle des processus métiers.

La conformité : le prérequis à toute exploitation commerciale

En 2026, la transparence est une condition de survie. L’AI Act fait de l’audit et de l’absence de biais des standards industriels. La conformité lève les blocages juridiques de vos clients lors des cycles de vente.

🔍 L’œil d’Oxyl : > Nous voyons l’AI Act comme un accélérateur d’industrialisation. Passer d’une « IA de promesse » à une « IA de preuve » permet d’éviter la dette technique réglementaire qui finit toujours par rattraper les projets mal cadrés.

La pyramide des risques : Diagnostic et mise en conformité

L’AI Act n’impose pas les mêmes contraintes à un chatbot qu’à un diagnostic médical. Le niveau de conformité dépend exclusivement de l’usage final : l’UE a défini quatre niveaux de risques.

AI Act pour les entreprises : pyramide des niveaux de risque de l'intelligence artificielle, obligations de conformité et sanctions associées présentées par Oxyl.

Classification des applications IA selon la pyramide des risques de l’UE, d’après les données du Règlement UE 2024/1689

Risques inacceptables : les interdits de février 2025

Ici, aucune négociation : interdits depuis février 2025. Sont visés les usages portant atteinte à la dignité humaine ou au libre arbitre :

Notation sociale (Social Scoring) : Classer des individus en fonction de leur comportement social ou de leur personnalité.
Manipulation comportementale : Systèmes utilisant des techniques subliminales pour fausser le comportement d’une personne (ex : jouets connectés incitant à des comportements dangereux).
Surveillance biométrique en temps réel : Dans les espaces publics à des fins répressives (hors dérogations judiciaires strictes).

➤ Sanction maximale : 35 millions d’euros ou 7 % du CA mondial.

Haut-risque (High-Risk) : l’échéance du 2 décembre 2027

La catégorie Haut Risque concerne les projets de DSIN, DRH et Directions Métiers. Obligations strictes avant le 2 décembre 2027 (systèmes autonomes) et le 2 août 2028 (produits réglementés). Ces dates remplacent l’ancienne échéance d’août 2026 (Digital Omnibus, 7 mai 2026).

Exemples fréquents :

RH et gestion des travailleurs : Algorithmes de tri de candidatures, de promotion ou de suivi des performances.
Éducation : Systèmes déterminant l’accès à une formation ou l’évaluation des examens.
Services essentiels : Évaluation de la solvabilité (crédit bancaire) ou tarification de l’assurance vie.

Les obligations associées :

Mise en place d’un système de gestion des risques (ISO 42001)
Traçabilité complète via la journalisation automatique des événements (logs) pour permettre l’explicabilité des décisions
Transparence accrue
Supervision humaine effective.

Concrètement, cela signifie qu’un algorithme de tri de CV ne peut pas prendre de décision finale seul, un RH formé doit valider, annoter et pouvoir expliquer chaque rejet.

➤ Sanction maximale : 15 millions d’euros ou 3 % du CA mondial.

Risque limité : l’impératif de transparence et de marquage

Cette catégorie vise les systèmes en interaction directe avec l’utilisateur, comme certains chatbots. Elle inclut aussi la génération de contenus audio, image, vidéo ou texte. Attention : une IA générative n’est pas d’office à « risque limité ». Son niveau de risque dépend toujours de son usage final. Un LLM pour le service client diffère d’un outil de tri de CV ou d’évaluation de solvabilité.

À partir du 2 août 2026, l’article 50 de l’AI Act impose des obligations de transparence spécifiques. Sauf exception, les utilisateurs doivent savoir s’ils interagissent avec une IA. Les créateurs de contenus artificiels doivent intégrer un système d’identification. Si c’est possible, un marquage lisible par machine signalera la manipulation par IA.

Pour les entreprises déployeuses, l’enjeu est double. D’abord, il faut informer l’utilisateur de l’intervention de l’IA. Ensuite, il faut encadrer la publication de contenus manipulés. Cela concerne particulièrement les deepfakes ou les sujets d’intérêt public. La transparence dépasse le simple bandeau d’information. Elle s’intègre aux processus métiers, marketing, communication et conformité.

➤ Sanction maximale : 7,5 millions d’euros ou 1,5 % du chiffre d’affaires mondial pour non-respect des obligations de transparence.

Risque minimal ou nul : le socle du quotidien

Il s’agit de la majorité des applications d’IA actuelles. Les filtres anti-spam, l’optimisation des stocks ou la traduction interne en font partie. L’AI Act n’impose aucune obligation légale spécifique pour ces usages. Attention toutefois au risque de glissement fonctionnel. Un outil minimal analysant le ton pour évaluer l’humeur des salariés devient un système Haut Risque.

Aperçu rapide : Exemples et calendrier de mise en conformité

Le tableau ci-dessous illustre comment classifier vos outils selon leur niveau de risque et les obligations associées.

Tableau des usages de l’intelligence artificielle classés selon leur niveau de risque dans l’AI Act, avec les obligations associées pour les systèmes interdits, à haut risque, à risque limité et à risque minimal- Oxyl

AI Act : exemples d’usages IA classés par niveau de risque et obligations associées

Les 5 erreurs fréquentes des entreprises face à l’AI Act

Nous avons identifié les pièges qui menacent la mise en conformité des organisations. Voici comment les éviter.

1- L’illusion du « SaaS conforme » : l’erreur de responsabilité

Ne tombez pas dans le piège classique. Votre fournisseur SaaS (Microsoft, Salesforce, OpenAI) ne porte pas tout le risque.

En tant que déployeur, vos obligations restent entières. Vous gérez la supervision humaine et les conditions d’utilisation. Vous contrôlez aussi la qualité des données, la formation et la documentation interne. La conformité du fournisseur ne garantit pas la vôtre.

2- Négliger la documentation technique dès le Minimum Viable Product

Documenter un outil seulement lors de sa mise en production est une erreur. Cela crée une dette de conformité insurmontable. L’AI Act exige une traçabilité dès la conception. Vous devez consigner les choix de données et les tests de biais.

3- Le défaut de la formation

Les obligations de littératie IA définies par l’Article 4 s’appliquent depuis 2025. Une organisation peut être en règle techniquement, mais si ses collaborateurs ne sont pas formés à détecter les hallucinations ou les biais d’un modèle « Haut Risque », elle est en infraction. C’est ici que nos formations IA pour entreprises prennent tout leur sens.

4- L’attentisme face aux retards de l’UE

Le nouveau délai pour le Haut Risque (décembre 2027) peut inciter à l’attentisme. C’est précisément le piège à éviter. D’abord, les interdits (Art. 5) et les obligations de transparence (Art. 50) s’appliquent déjà. Ensuite, les normes harmonisées et la documentation technique finale arriveront tardivement. Cela laissera peu de marge aux retardataires. Le report offre du temps pour construire, pas pour attendre.

5- Le silo juridique sans expertise technique

Confier l’AI Act au seul département juridique ou à la DSI mène à une impasse. La conformité exige une vision hybride. Les juristes doivent comprendre les limites techniques des modèles. Les ingénieurs doivent intégrer les impacts éthiques.

🔍 L’œil d’Oxyl : > L’erreur fatale est de se reposer sur la conformité du fournisseur. En 2026, la redevabilité est claire : le déployeur répond de l’usage. Notre rôle est de vous donner les clés pour prouver votre maîtrise des risques, de la donnée injectée jusqu’à la décision finale.

Checklist de conformité AI Act : où en êtes-vous ?

Utilisez cette grille d’auto-évaluation rapide pour préparer votre conformité AI Act.

Tableau des actions prioritaires pour la conformité à l’AI Act, incluant l’inventaire des systèmes IA, la classification des risques, la formation des équipes, la supervision humaine et l’alignement RGPD et DORA- Oxyl

Actions prioritaires à lancer dès maintenant pour se mettre en conformité

Calendrier 2025-2028 : naviguer dans le cadre réglementaire post-Omnibus

En mai 2026, l’accord du Digital Omnibus a figé un calendrier réglementaire désormais lisible. Voici les jalons clés à intégrer dans votre feuille de route.

⚠️ Le Point Juridique d’Oxyl : Accord politique vs Adoption formelle

Bien que l’accord du Digital Omnibus du 7 mai 2026 acte les nouveaux délais (notamment le report des systèmes Haut Risque au 2 décembre 2027), il s’agit techniquement d’un accord politique provisoire.

Pour être pleinement effectif, le texte doit encore faire l’objet d’une adoption formelle par le Parlement européen et le Conseil de l’UE, attendue d’ici le 2 août 2026. Cette étape législative ne modifiera pas les dates convenues, mais elle officialisera leur inscription dans le droit européen.

Cette incertitude formelle ne change rien à l’urgence de se préparer : le compte à rebours est bel et bien lancé.

🔍 L’œil d’Oxyl : > En 2026, le cadre réglementaire est posé, mais son application reste à construire. La priorité : documenter l’explicabilité de vos outils dès maintenant, pour ne pas subir les échéances 2027-2028 mais les anticiper.

Tableau récapitulatif des échéances de l’AI Act pour les entreprises, avec les jalons clés de 2025 à 2028, leur statut et les obligations associées, Oxyl.

Calendrier des principales échéances de l’AI Act (2025–2028)

AI Act : un révélateur de maturité data, cyber et gouvernance IA

L’AI Act ne doit pas être traité comme un sujet juridique isolé. Il révèle surtout la capacité d’une organisation à maîtriser ses usages IA : qualité des données, traçabilité, supervision humaine, cybersécurité et contrôle du Shadow AI.

Le premier enjeu est donc de reprendre la main sur les usages réels. Entre les outils SaaS intégrant de l’IA, les copilotes métiers et les expérimentations non déclarées, de nombreuses entreprises utilisent déjà des systèmes d’IA sans cartographie claire. Cette zone grise crée un risque de conformité, mais aussi un risque opérationnel : données sensibles exposées, décisions difficiles à expliquer, responsabilités mal définies.

La conformité AI Act s’inscrit aussi dans un écosystème réglementaire plus large. Le RGPD (Règlement Général sur la Protection des Données) reste central dès que des données personnelles sont utilisées. La directive NIS2 (Network and Information Security) renforce les exigences de cybersécurité pour de nombreux secteurs critiques.

Enfin, DORA (Digital Operational Resilience Act) concerne plus spécifiquement la résilience numérique du secteur financier et de ses prestataires de services informatiques.

L’enjeu n’est donc pas d’empiler les obligations, mais de construire une gouvernance cohérente entre data, IA, sécurité et métiers.

🔍 L’œil d’Oxyl : > Nous recommandons d’aborder l’AI Act comme un chantier de structuration : inventorier les usages IA, qualifier les risques, encadrer les données d’entrée, documenter les décisions et mettre en place une supervision humaine effective. Bien menée, cette démarche ne se limite pas à éviter les sanctions : elle sécurise le passage à l’échelle et renforce la confiance dans les projets IA.

📚 Pour approfondir ce sujet, découvrez notre livre blanc La maîtrise des données et de l’intelligence artificielle : Vademecum pour les grandes organisations.

PME et ETI : ce que l’AI Act change (et allège) pour vous

L’AI Act s’applique à toutes les tailles d’entreprise, mais le législateur a prévu des aménagements concrets pour les PME et les structures de taille intermédiaire. Voici ce qui compte réellement pour vous :

icône documentation pour AI act pour les entreprises PME et ETI

Documentation adaptée

Les obligations techniques s’adaptent aux ressources de l’organisation pour le Haut Risque.

Accès aux sandboxes

Les PME accèdent prioritairement aux espaces de test supervisés par les autorités.

sanctions-financieres-act-act-entrerises

Sanctions proportionnées

Les amendes retiennent le montant le plus bas entre le plafond et le pourcentage du CA.

Guides pratiques

La CNIL et la direction du numérique fourniront des guides simplifiés et un support aux PME.

⚠️ Ce qui ne change pas, quelle que soit votre taille : supervision humaine, transparence, formation des équipes (Art. 4). Les allègements portent sur la forme, pas sur la substance.

Conformité minimale ou leadership stratégique ?

L’AI Act marque la fin de l’ère de l’IA « Far West ». Que vous soyez une PME découvrant vos premières obligations ou un grand groupe structurant sa gouvernance IA, deux trajectoires se dessinent désormais :

1. La conformité subie : se contenter du minimum légal, au risque de voir ses projets ralentis par chaque nouvelle mise à jour réglementaire.
2. Le leadership stratégique : embrasser la régulation pour structurer son patrimoine data et devenir un acteur de référence dans l’IA de confiance.

En 2026, les interdits et les obligations de transparence s’appliquent déjà. Le délai accordé jusqu’en décembre 2027 n’est pas une pause, c’est du temps pour construire. Chez Oxyl, nous sommes convaincus que la rigueur imposée aujourd’hui sera le socle de votre performance de demain.

Sources complémentaires

Pour approfondir votre compréhension du cadre réglementaire, voici les documents de référence :

Texte intégral du Règlement (UE) 2024/1689 (AI Act) : https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX:32024R1689
Analyse d’impact de l’IA (Commission Européenne – PDF en anglais) : https://digital-strategy.ec.europa.eu/en/library/impact-assessment-regulation-artificial-intelligence
Chiffres clés sur le marché de l’IA en Europe (Digital Strategy) : https://ec.europa.eu/eurostat/statistics-explained/index.php?title=Use_of_artificial_intelligence_in_enterprises
Norme ISO/IEC 42001:2023 – Système de management de l’IA : https://www.iso.org/fr/standard/42001
Portail de la Stratégie Numérique de l’UE : Guide pratique et FAQ officielle de la Commission sur la mise en œuvre de l’AI Act. : https://digital-strategy.ec.europa.eu/en/policies/regulatory-framework-ai

Vos usages de l’IA sont-ils concernés par l’AI Act ?

Nos experts vous aident à identifier vos usages de l’IA, évaluer leur niveau de risque et construire votre feuille de route de mise en conformité.

Demander votre diagnostic AI Act