Règlement sur l'IA : ce que cela signifie concrètement pour les entreprises mid-market
Le Règlement européen sur l'IA (AI Act) est entré en vigueur le 1er août 2024. Ses premières obligations contraignantes ont pris effet en février 2025. D'autres échéances arrivent tout au long de 2026 et 2027. Si vous dirigez la technologie ou les opérations d'une entreprise de 100 à 500 salariés en France ou en Italie, ce n'est pas un texte que vous pouvez déléguer au service juridique et oublier. Il déterminera ce que vous pouvez déployer, quand vous pouvez le déployer, et quelle documentation vous devez détenir avant la mise en production.
Cet article couvre ce que le Règlement exige réellement, lesquels de vos systèmes d'IA sont concernés, et les étapes concrètes qu'une entreprise de 200 personnes doit entreprendre cette année.
Ce qu'est réellement le Règlement sur l'IA
Le Règlement sur l'IA est une réglementation de sécurité produit. Il suit la logique du marquage CE ou des niveaux de risque du RGPD. Plus le préjudice potentiel de votre système d'IA est élevé, plus vos obligations sont lourdes avant le déploiement. Le Règlement n'interdit pas l'IA. Il ne vous oblige pas à arrêter de construire. Il vous oblige à classifier ce que vous construisez, à le documenter correctement, et dans certains cas à réaliser des évaluations de conformité par des tiers avant la mise en production. Le non-respect expose à des amendes pouvant atteindre 30 millions d'euros ou 6 % du chiffre d'affaires annuel mondial, selon le montant le plus élevé.
Quels systèmes d'IA sont à haut risque et lesquels ne le sont pas
Le Règlement trace une ligne entre le haut risque et tout le reste.
Interdits (depuis février 2025) :
- La surveillance biométrique en temps réel dans les espaces publics (avec de rares exceptions pour les forces de l'ordre)
- La notation sociale par les autorités publiques
- Les systèmes d'IA qui manipulent le comportement par des techniques subliminales
- L'exploitation de vulnérabilités liées à l'âge, au handicap ou à la situation sociale
Si aucun de vos systèmes ne fait ces choses, vous n'êtes pas dans la catégorie interdite.
IA à haut risque (obligations renforcées) : Cela inclut l'IA utilisée dans le recrutement et les décisions RH, la notation de crédit, l'évaluation en matière d'éducation ou de formation, les composants de sécurité d'infrastructures critiques, et les outils d'IA utilisés par les forces de l'ordre ou les autorités migratoires. La liste complète figure à l'Annexe III du Règlement.
Pour la plupart des entreprises mid-market à Lyon, Milan ou Paris, la question pratique est la suivante : utilisez-vous l'IA pour trier des CV, noter des candidats, évaluer la performance de vos collaborateurs, ou prendre des décisions de crédit ou d'assurance ? Si oui, ces systèmes sont à haut risque.
IA à risque limité : Chatbots, moteurs de recommandation, outils de génération de contenu. Ceux-ci ne sont soumis qu'à des obligations de transparence. Vous devez informer les utilisateurs qu'ils interagissent avec une IA. C'est généralement réalisable en un sprint.
IA à risque minimal : Filtres anti-spam, fonctionnalités de machine learning de base dans votre produit, tableaux de bord analytiques assistés par IA. Aucune nouvelle obligation au-delà des bonnes pratiques d'ingénierie.
Checklist pratique : ce qu'une entreprise de 200 personnes doit faire en 2026
Ceci n'est pas un conseil juridique. C'est ce que nous avons vu fonctionner lors de nos déploiements. Faites valider les spécificités de votre secteur par vos avocats.
1. Faites l'inventaire. Cartographiez chaque système d'IA que vous utilisez ou développez. Les outils internes comptent. Les modèles tiers que vous intégrez via API comptent. Attribuez à chacun un niveau de risque à l'aide de l'Annexe III.
2. Vérifiez d'abord votre posture RGPD. Le Règlement sur l'IA et le RGPD se recoupent fortement. Si vous disposez d'une gouvernance des données structurée et d'une base légale de traitement solide, vous êtes déjà à mi-chemin de la conformité au Règlement sur l'IA côté données.
3. Pour les systèmes à haut risque, commencez la documentation maintenant. Le Règlement exige un dossier technique couvrant la finalité du système, les sources de données d'entraînement, les métriques de précision, les limites connues et les mécanismes de contrôle humain. Cela prend du temps à produire correctement. Commencer au T4 2026, c'est trop tard.
4. Mettez en place un processus de contrôle humain. Les décisions prises par une IA à haut risque ne peuvent pas être entièrement automatisées. Vous avez besoin d'un processus documenté de revue humaine des résultats, en particulier lorsque la décision affecte des collaborateurs, des clients ou l'éligibilité financière.
5. Désignez un responsable. Quelqu'un dans votre organisation doit porter la conformité au Règlement sur l'IA. Ce n'est pas une responsabilité partagée. Désignez une personne, donnez-lui un périmètre et une autorité, et documentez-le.
6. Passez en revue vos contrats fournisseurs. Si vous utilisez un produit SaaS ou une API qui intègre de l'IA dans une catégorie à haut risque, votre fournisseur a aussi des obligations. Vérifiez ce que vos contrats prévoient. S'ils sont muets sur la conformité au Règlement sur l'IA, mettez-les à jour.
7. Formez les équipes concernées. Les développeurs, les chefs de produit et les équipes RH qui utilisent des outils d'IA doivent comprendre ce que signifie le contrôle humain en pratique. Des sessions d'une heure suffisent pour la plupart des équipes. Il ne s'agit pas d'un cursus de formation approfondi.
Ce que nous avons constaté lors des déploiements Karven en France et en Italie
Nous avons travaillé avec des équipes opérations et technologie à Lyon, Paris et Milan pour déployer des systèmes d'IA dans des environnements réglementés. Plusieurs tendances se dégagent.
Les entreprises qui avancent le plus vite sont celles qui disposent déjà d'une fonction de gouvernance des données. Quand la propriété des données est claire et que des journaux de traitement existent, ajouter une couche de conformité au Règlement sur l'IA prend des semaines, pas des mois. Quand cette gouvernance est absente, vous vous retrouvez à mener deux projets en parallèle.
Le plus gros point de friction que nous observons concerne les technologies RH. Plusieurs clients avaient déployé des outils de recrutement assistés par IA construits sur des modèles tiers. Ces outils se trouvaient dans une zone grise : à haut risque au sens du Règlement, mais développés et gérés par un fournisseur sans posture de conformité claire. Démêler cette situation a pris plus de temps que le déploiement initial.
Les entreprises qui ont bloqué tout déploiement sont celles qui attendaient une clarté parfaite de la part des régulateurs. Le Règlement comporte des ambiguïtés. Des lignes directrices sont encore en cours de publication par le Bureau de l'IA. Mais attendre la certitude est la mauvaise stratégie. Le cadre est suffisamment clair pour agir. Les entreprises qui ont entamé leur travail de conformité en 2025 déploient désormais en confiance. Celles qui ont attendu sont aujourd'hui sous pression.
Les gains d'efficacité sont réels. Nous avons vu des équipes ayant suivi un processus de conformité structuré déployer des fonctionnalités IA qui ont tenu dans la durée, parce qu'elles avaient documenté le périmètre et les limites de leurs systèmes dès le départ. Sur l'ensemble de ces déploiements, nous avons mesuré un gain d'efficacité moyen de 35 % sur les workflows ciblés. Les entreprises qui ont fait l'impasse sur la conformité ont souvent dû retirer des fonctionnalités après le déploiement. Le coût est alors bien plus élevé.
La conformité d'abord, la production ensuite : comment avancer vite et rester dans les clous
L'objectif n'est pas de traiter la conformité comme une barrière en fin de pipeline de livraison. Ce modèle ne tient pas avec le Règlement, car les exigences de documentation doivent être intégrées dès le départ.
L'approche qui fonctionne est la suivante :
Au démarrage de tout nouveau projet IA, classifiez le système. Documentez la finalité prévue, les données d'entrée et la décision que le système prendra ou assistera. Cela prend un après-midi, pas une semaine.
Pendant le développement, documentez au fil de la construction. Fiches de modèle, provenance des données, benchmarks de précision. Ce ne sont pas des livrables inédits pour des ingénieurs qui construisent des systèmes en production. Ce sont de bonnes pratiques d'ingénierie qui ont désormais un fondement réglementaire.
Avant le déploiement, réalisez une revue au regard des obligations applicables. Si le système est à haut risque, cette revue implique votre fonction conformité ou juridique. S'il est à risque limité, la revue prend une heure avec vos responsables produit et ingénierie.
Après le déploiement, surveillez. Le Règlement exige un suivi post-mise en marché pour les systèmes à haut risque. Intégrez la journalisation dès le premier jour. C'est bien moins coûteux que de la rajouter après coup.
Ce n'est pas un processus lent. Les entreprises qui suivent cette méthode déploient plus rapidement dès le deuxième, troisième et quatrième projet, parce que l'équipe a intériorisé le cadre. Le premier projet prend plus de temps. Tous les suivants vont plus vite.
Prochaine étape : réservez un appel de cadrage conformité d'une heure
Si vous êtes CTO, VP Engineering ou responsable des opérations en France ou en Italie et que vous ne savez pas exactement où se situent vos systèmes au regard du Règlement, l'étape la plus rapide est un appel de cadrage.
En une heure, nous cartographierons vos systèmes d'IA actuels par rapport aux niveaux de risque du Règlement, identifierons les deux ou trois points qui nécessitent une attention immédiate, et vous donnerons une séquence d'actions claire pour 2026.
Pas de slides. Pas de cadre générique. Du concret, adapté à votre stack et à votre secteur.
