EU AI Act : ce que les entreprises doivent anticiper
Le règlement européen sur l'IA (AI Act) impose une approche par les risques. Ce que les entreprises qui utilisent l'IA doivent savoir et préparer.
Le règlement européen sur l'intelligence artificielle (AI Act) encadre l'IA selon une approche par les risques : plus un usage est risqué, plus les obligations sont fortes. Pour la plupart des entreprises qui utilisent des assistants IA grand public, l'enjeu n'est pas d'être un « fournisseur » au sens du règlement, mais d'utiliser l'IA de façon responsable — transparence, supervision humaine, et protection des données qui transitent. L'anonymisation des données avant l'envoi reste un réflexe robuste, quel que soit le détail réglementaire.
Une approche par les risques
L'AI Act classe les systèmes d'IA par niveau de risque, des usages interdits aux usages à haut risque (soumis à des obligations strictes), jusqu'aux usages à risque limité ou minimal. Les modèles d'IA à usage général ont leurs propres obligations, notamment de transparence.
- Risque inacceptable : certains usages sont interdits.
- Haut risque : obligations renforcées (documentation, supervision, robustesse).
- Risque limité : obligations de transparence (informer que c'est de l'IA).
- Risque minimal : la majorité des usages courants.
Fournisseur ou déployeur : qui êtes-vous ?
Le règlement distingue notamment celui qui développe/met sur le marché un système (fournisseur) et celui qui l'utilise dans un cadre professionnel (déployeur). Une entreprise qui se contente d'utiliser un assistant IA est généralement déployeur : ses obligations portent surtout sur un usage conforme, la transparence et la protection des données.
Ce que vous pouvez préparer dès maintenant
- 1Cartographier vos usages d'IA et les données qu'ils manipulent.
- 2Documenter une politique d'usage (transparence, supervision humaine).
- 3Minimiser les données transmises aux services tiers (anonymisation à la source).
- 4Articuler AI Act et RGPD : la protection des données reste un socle commun.
Quel que soit votre rôle, transmettre moins de données sensibles aux services d'IA réduit votre surface de risque. ONYRI Sanitize anonymise ces données dans le navigateur avant tout envoi : un geste simple, aligné avec l'esprit de minimisation partagé par le RGPD et l'AI Act.
Questions fréquentes
- L'AI Act remplace-t-il le RGPD ?
- Non. Ils se complètent : le RGPD protège les données personnelles, l'AI Act encadre les systèmes d'IA. Une donnée personnelle envoyée à une IA relève des deux logiques.
- Mon entreprise est-elle « fournisseur » si elle utilise juste ChatGPT ?
- Généralement non : utiliser un assistant relève plutôt du rôle de déployeur. Les obligations diffèrent selon le rôle et le niveau de risque de l'usage — à vérifier au cas par cas.
- Que faire en priorité ?
- Cartographier vos usages, poser une politique claire, et minimiser les données transmises. L'anonymisation à la source est une mesure concrète et immédiate.
Sources et références
- Règlement sur l'intelligence artificielle (AI Act, texte intégral) — EUR-Lex
- Cadre réglementaire de l'UE sur l'IA — Commission européenne
- Intelligence artificielle : les recommandations de la CNIL — CNIL
Gardez vos données sensibles dans votre navigateur
ONYRI Sanitize détecte et masque vos données sensibles avant l'envoi à l'IA, puis restaure la réponse — du nom à la clé API.
Anonymiser mon prompt