IA Act : quels impacts pour les secteurs sensibles en Europe ?

La prise de conscience des risques d’une IA non régle­men­tée ne s’est pas fait attendre. Que ce soit pour la dis­cri­mi­na­tion sys­té­ma­tique des can­di­da­tures fémi­nines de l’ou­til de recru­te­ment d’Ama­zon¹, ou lorsque l’al­go­rithme d’a­na­lyse faciale de Hire­Vue a sabo­té les can­di­da­tures de per­sonnes neu­ro­di­ver­gentes², dans les deux cas, les cri­tiques sont deve­nues virales et jus­ti­fiées. Aujourd’­hui, l’Eu­rope montre la voie en matière de légis­la­tion sur l’IA tou­chant de nom­breux sec­teurs sen­sibles. La loi euro­péenne sur l’in­tel­li­gence arti­fi­cielle, l’IA Act, est le pre­mier cadre régle­men­taire com­plet au monde. Il pré­tend évi­ter de tels échecs tout en trans­for­mant le déploie­ment de l’IA dans les entre­prises, en par­ti­cu­lier dans les sec­teurs à haut risque.

À elles seules, les entre­prises fran­çaises ont inves­ti plus d’un mil­liard d’eu­ros dans les tech­no­lo­gies d’IA en 2023 et au total, 35 % des entre­prises fran­çaises déploient acti­ve­ment des sys­tèmes d’IA, selon Busi­ness France³. La ten­dance est évi­dente : le déploie­ment de l’IA au niveau indus­triel est en aug­men­ta­tion. Si les obli­ga­tions contrai­gnantes de la loi sur l’IA sont entrées en vigueur ce mois⁴, le choix fon­da­men­tal appar­tient aux entre­prises. D’un côté, soit elles consi­dèrent la confor­mi­té comme une charge régle­men­taire pesant sur les ser­vices juri­diques, de l’autre, soit elles la trans­forment en une capa­ci­té dis­tinc­tive qui les aide à pros­pé­rer dans le monde de l’IA.

« Les entre­prises qui intègrent les exi­gences légales dans leurs prin­cipes de concep­tion peuvent trans­for­mer la confor­mi­té en un avan­tage stra­té­gique », explique Jean de Bodi­nat, fon­da­teur de Rakam AI et ensei­gnant à l’É­cole poly­tech­nique (IP Paris). La régle­men­ta­tion éta­blit un sys­tème de clas­si­fi­ca­tion basé sur les risques. Ces sys­tèmes d’IA « à haut risque » dont les exi­gences sont les plus strictes, affectent la san­té, la sécu­ri­té et les droits fon­da­men­taux. Par­mi tous les cri­tères qui régissent ces sys­tèmes de clas­si­fi­ca­tion figurent : la ges­tion obli­ga­toire des risques, la gou­ver­nance des don­nées, la docu­men­ta­tion tech­nique, la super­vi­sion humaine et les sys­tèmes de ges­tion de la qua­li­té. Dans quatre sec­teurs les sys­tèmes d’IA « à haut risque » sont par­ti­cu­liè­re­ment concer­nés par la législation.

Dans les salles de classe fran­çaises et sur les pla­te­formes d’ap­pren­tis­sage en ligne, les outils d’é­va­lua­tion basés sur l’IA trans­forment non seule­ment l’é­du­ca­tion, mais sont éga­le­ment confron­tés à un far­deau régle­men­taire impor­tant. Les sys­tèmes d’IA édu­ca­tifs entrent dans la caté­go­rie « à haut risque » en rai­son de leur influence directe sur les résul­tats sco­laires. Par exemple, la pla­te­forme e‑LATE⁵ de Lin­gueo, spé­cia­li­sée dans les éva­lua­tions lin­guis­tiques per­son­na­li­sées en uti­li­sant la recon­nais­sance vocale et la nota­tion auto­ma­ti­sée. Leurs appre­nants reçoivent des com­men­taires ciblés tan­dis que les ensei­gnants gardent un œil sur le pro­ces­sus grâce à des tableaux de bord. Un sys­tème qui illustre com­ment les tech­no­lo­gies édu­ca­tives peuvent répondre aux exi­gences de la loi sur l’IA tout en appor­tant une valeur ajou­tée à l’enseignement.

Élèves et ensei­gnants doivent com­prendre com­ment les déci­sions auto­ma­ti­sées sont prises.

« Le défi ne réside pas seule­ment dans la pré­ci­sion tech­nique, mais aus­si dans l’é­qui­té et la trans­pa­rence », note Solène Gérar­din, avo­cate et spé­cia­liste de la loi sur l’IA qui conseille les entre­prises en matière de confor­mi­té. « Les élèves et les ensei­gnants doivent com­prendre com­ment les déci­sions auto­ma­ti­sées sont prises. » La pla­te­forme répond à cette exi­gence en sépa­rant la géné­ra­tion de conte­nu par l’IA des pro­ces­sus d’é­va­lua­tion, en met­tant en place des filtres de conte­nu robustes et en four­nis­sant des inter­faces claires pour la super­vi­sion des ensei­gnants. Plus impor­tant encore, elle conserve des jour­naux d’utilisation com­plets à des fins d’au­di­ta­bi­li­té, une exi­gence qui est en train de deve­nir la norme dans le domaine des tech­no­lo­gies éducatives.

Des exemples externes viennent ren­for­cer cette approche. Des pla­te­formes telles que Gra­des­cope et Knew­ton adoptent des solu­tions d’IA expli­cables qui aident les élèves et les ensei­gnants à com­prendre les déci­sions de nota­tion auto­ma­ti­sées. Leurs suc­cès démontrent que les exi­gences en matière de trans­pa­rence peuvent réel­le­ment amé­lio­rer les résul­tats sco­laires en ins­tau­rant la confiance entre les appre­nants, les ensei­gnants et les sys­tèmes d’IA.

C’est peut-être dans le domaine du recru­te­ment que l’im­pact de la loi sur l’IA est le plus visible, car ces sys­tèmes auto­ma­ti­sés d’é­va­lua­tion des can­di­da­tures trans­forment et par­fois faussent les pra­tiques d’embauche. Ces sys­tèmes, qui filtrent les CV et classent les can­di­dats à l’aide du trai­te­ment du lan­gage natu­rel, consti­tuent un exemple typique d’IA à haut risque au regard de la nou­velle régle­men­ta­tion. Les mises en garde sont bien docu­men­tées. Ama­zon a aban­don­né son outil de recru­te­ment basé sur l’IA après avoir décou­vert qu’il péna­li­sait les CV conte­nant des mots tels que « femmes ». Hire­Vue a été cri­ti­qué pour ses algo­rithmes d’a­na­lyse faciale qui désa­van­ta­geaient les can­di­dats neu­ro­di­ver­gents. À l’avenir, pour évi­ter de telles dis­cri­mi­na­tions, la loi sur l’IA exige la trans­pa­rence dans les déci­sions d’embauche auto­ma­ti­sées et accorde aux can­di­dats le droit de contes­ter les résul­tats basés sur l’IA.

D’ailleurs, l’opérateur Orange pro­pose un modèle plus pro­met­teur. Trai­tant plus de deux mil­lions de can­di­da­tures par an à l’aide de sys­tèmes d’IA déve­lop­pés avec Google Cloud, l’entreprise met en cor­res­pon­dance les can­di­dats avec les des­crip­tions de poste tout en signa­lant ces résul­tats pour vali­da­tion humaine. En inté­grant des algo­rithmes sen­sibles à l’é­qui­té et avec pro­cé­dures d’au­dit com­plètes, l’en­tre­prise a fait pro­gres­ser sa diver­si­té des genres dans les postes tech­niques. Cette approche montre com­ment des exi­gences régle­men­taires peuvent s’a­li­gner sur des objec­tifs com­mer­ciaux, car les équipes diver­si­fiées sont sou­vent plus per­for­mantes. De plus, cette pra­tique de recru­te­ment trans­pa­rente ren­force la répu­ta­tion de l’employeur⁶.

Mais la mise en œuvre tech­nique implique des sys­tèmes modu­laires qui séparent les couches de pré­trai­te­ment des don­nées, de nota­tion et de super­vi­sion. Cette archi­tec­ture, gui­dée par des cadres tels que SMACTR (Sys­tème, Méta­don­nées, Audi­ta­bi­li­té, Contexte, Tra­ça­bi­li­té, Res­pon­sa­bi­li­té), per­met d’i­den­ti­fier et de cor­ri­ger rapi­de­ment les pro­blèmes de biais. Les prin­ci­pales stra­té­gies de confor­mi­té com­prennent l’u­ti­li­sa­tion d’en­sembles de don­nées repré­sen­ta­tifs incluant au moins 20 % de groupes mino­ri­taires, l’en­re­gis­tre­ment et la jus­ti­fi­ca­tion de tous les résul­tats de clas­se­ment, la pos­si­bi­li­té pour les can­di­dats de se dés­ins­crire et la réa­li­sa­tion d’au­dits régu­liers sur les biais. Plu­tôt que de res­treindre les déci­sions d’embauche, ces exi­gences poussent les entre­prises vers des pra­tiques de recru­te­ment plus équi­tables et plus défen­dables⁷.

Dans le domaine de la san­té, les enjeux régle­men­taires atteignent leur paroxysme, car les sys­tèmes d’IA traitent des don­nées médi­cales sen­sibles et influencent les déci­sions rela­tives aux soins des patients. L’exemple des sys­tèmes de ges­tion pour les demandes de rem­bour­se­ment d’as­su­rance mala­die illustre bien ce défi, puisqu’ils relèvent à la fois de la clas­si­fi­ca­tion à haut risque de la loi sur l’IA et des pro­tec­tions strictes des don­nées médi­cales pré­vues par le RGPD⁸. L’agent de ges­tion des demandes de rem­bour­se­ment ali­men­té par l’IA de l’entreprise Lola Health montre com­ment les orga­nismes de san­té peuvent navi­guer dans ce pay­sage régle­men­taire com­plexe. L’agent conver­sa­tion­nel fonc­tionne au sein de la pla­te­forme numé­rique de Lola Health et assiste les membres et les pro­fes­sion­nels de l’as­su­rance pour les ques­tions de cou­ver­ture, les demandes de rem­bour­se­ment et les mises à jour de statut.

La confor­mi­té devient un cadre pour l’ex­cel­lence opé­ra­tion­nelle plu­tôt qu’un far­deau bureaucratique.

L’ar­chi­tec­ture du sys­tème reflète une approche glo­bale de la confor­mi­té. Elle per­met la récu­pé­ra­tion en temps réel de don­nées contrac­tuelles per­son­na­li­sées, tan­dis que l’au­then­ti­fi­ca­tion sécu­ri­sée pro­tège les infor­ma­tions sen­sibles. Plus impor­tant encore, le sys­tème conserve des redi­rec­tions vers des conseillers humains pour les demandes com­plexes, une exi­gence qui amé­liore réel­le­ment le ser­vice à la clientèle.

Cepen­dant, le trai­te­ment de grands volumes de don­nées de san­té aug­mente les risques de vio­la­tion, mais il crée éga­le­ment des oppor­tu­ni­tés pour un meilleur accom­pa­gne­ment des patients. L’agent four­nit une assis­tance per­son­na­li­sée 24 heures sur 24, 7 jours sur 7 et accé­lère le temps de réso­lu­tion des dos­siers. Indi­rec­te­ment, il réduit les coûts d’as­sis­tance tout en main­te­nant un niveau éle­vé de satis­fac­tion des clients grâce à des conseils clairs et à la garan­tie de la confidentialité.

Les stra­té­gies d’at­té­nua­tion des risques com­prennent une IA expli­cable pour la trans­pa­rence des déci­sions, des mesures de pro­tec­tion de la vie pri­vée solides avec un accès authen­ti­fié et un cryp­tage sécu­ri­sé, ain­si que des audits régu­liers des conseils four­nis par les chat­bots, afin d’a­mé­lio­rer la qua­li­té du ser­vice et de pré­ve­nir les biais. Ces mesures, impo­sées par la régle­men­ta­tion, amé­liorent à la fois les per­for­mances opé­ra­tion­nelles et la confiance des uti­li­sa­teurs. Les exa­mens pério­diques requis pour la confor­mi­té régle­men­taire pro­voquent des avan­tages inat­ten­dus en amé­lio­rant les réponses du sys­tème et en main­te­nant des normes de ser­vice éle­vées. La confor­mi­té devient un cadre pour l’ex­cel­lence opé­ra­tion­nelle plu­tôt qu’un far­deau bureaucratique.

Les sys­tèmes d’é­va­lua­tion pour obte­nir un cré­dit influencent direc­te­ment l’accessibilité des par­ti­cu­liers et illus­trent la néces­si­té d’une régle­men­ta­tion dans la finance. Ces sys­tèmes doivent répondre à des exi­gences en matière d’é­qui­té, de trans­pa­rence et de res­pon­sa­bi­li­té, tout en conser­vant leur via­bi­li­té com­mer­ciale. Les pla­te­formes modernes d’é­va­lua­tion du cré­dit uti­lisent l’ap­pren­tis­sage auto­ma­tique pour ana­ly­ser les don­nées des deman­deurs et pré­dire le risque de cré­dit, en tenant compte de variables telles que les reve­nus, les anté­cé­dents d’en­det­te­ment, la situa­tion pro­fes­sion­nelle et les his­to­riques de tran­sac­tions. Le défi consiste à s’as­su­rer que ces sys­tèmes ne repro­duisent ni n’am­pli­fient les pré­ju­gés sociaux.

Les grandes banques fran­çaises ont déve­lop­pé des approches de test d’é­qui­té à trois niveaux : un pré­trai­te­ment pour équi­li­brer les don­nées d’ap­pren­tis­sage, une sur­veillance en temps réel pour signa­ler les dis­pa­ri­tés démo­gra­phiques dans les appro­ba­tions, et un cali­brage post-déci­sion­nel pour cor­ri­ger les biais rési­duels tout en main­te­nant les per­for­mances pré­dic­tives. Les banques mettent éga­le­ment en place des pro­cé­dures de recours pour les clients et pro­cèdent régu­liè­re­ment à des audits indé­pen­dants. Les recherches menées par Chris­tophe Péri­gnon à HEC Paris ont contri­bué à l’é­la­bo­ra­tion de cadres sta­tis­tiques désor­mais uti­li­sés par les grandes banques pour iden­ti­fier et atté­nuer la dis­cri­mi­na­tion dans les modèles de cré­dit. Les banques qui uti­lisent ces sys­tèmes équi­tables ont réduit les écarts d’ap­pro­ba­tion entre les groupes démo­gra­phiques à moins de 3 %, tout en main­te­nant ou en amé­lio­rant la pré­ci­sion de la pré­dic­tion des risques.

Solène Gérar­din note qu’il est rare­ment facile de déter­mi­ner si un sys­tème d’IA pré­sente un « risque éle­vé ». Elle estime que la meilleure déci­sion à prendre face à cette ambi­guï­té est d’être proac­tif, en conce­vant dès le départ une IA conforme à la régle­men­ta­tion. Elle indique éga­le­ment que l’U­nion euro­péenne pré­voit de publier des lignes direc­trices détaillées, com­pre­nant des exemples concrets de cas limites, d’i­ci début 2026. Une fois ces lignes direc­trices dis­po­nibles, la confor­mi­té sera exi­gée dans tous les secteurs.

Le Code de bonnes pra­tiques en matière d’IA à usage géné­ral (GP-AI) a été publié le mois der­nier. Selon le site web offi­ciel de la loi euro­péenne sur l’IA, ces dis­po­si­tions sont entrées en vigueur en août 2025⁹. Il a été rédi­gé en col­la­bo­ra­tion avec près de 1 000 par­ties pre­nantes, sous la forme d’un docu­ment inclu­sif qui tra­duit les exi­gences géné­rales de la loi en conseils pra­tiques et concrets sur des prin­cipes tels que la trans­pa­rence, l’at­té­nua­tion des risques sys­té­miques et le res­pect des droits d’au­teur, entre autres. Ce code a été éla­bo­ré afin de pro­mou­voir les valeurs de confiance et de res­pon­sa­bi­li­té au sein de l’é­co­sys­tème euro­péen de l’IA. Il recoupe éga­le­ment les objec­tifs ESG (gou­ver­nance envi­ron­ne­men­tale et sociale) et de dura­bi­li­té, fai­sant de la confor­mi­té en matière d’IA plus qu’une simple obli­ga­tion légale pour les entre­prises. Il s’a­git d’une stra­té­gie défi­ni­tive visant à ren­for­cer la gou­ver­nance et à assu­rer la com­pé­ti­ti­vi­té à long terme.

Ces études de cas révèlent une ten­dance com­mune : les orga­ni­sa­tions qui consi­dèrent les obli­ga­tions de la loi sur l’IA comme des prin­cipes de concep­tion plu­tôt que comme des contraintes obtiennent un meilleur posi­tion­ne­ment sur le mar­ché et de meilleures per­for­mances opé­ra­tion­nelles. Une mise en confor­mi­té pré­coce offre des avan­tages concur­ren­tiels qui vont bien au-delà du simple res­pect de la loi. La trans­pa­rence des sys­tèmes d’IA ren­force la confiance des clients, en par­ti­cu­lier dans les sec­teurs sen­sibles où les déci­sions ont un impact signi­fi­ca­tif sur la vie des indi­vi­dus. Les pro­ces­sus d’ap­pro­vi­sion­ne­ment favo­risent de plus en plus les four­nis­seurs conformes, créant ain­si des oppor­tu­ni­tés com­mer­ciales pour les orga­ni­sa­tions pré­pa­rées. L’ac­cès aux inves­tis­seurs sou­cieux des cri­tères ESG s’a­mé­liore, car la confor­mi­té est syno­nyme de gou­ver­nance solide.

Le champ d’ap­pli­ca­tion de la loi devrait s’é­tendre à de nou­veaux sec­teurs, notam­ment les trans­ports, l’éner­gie et l’ad­mi­nis­tra­tion publique. Alors que les normes tech­niques sont encore en cours d’é­la­bo­ra­tion et que les méca­nismes d’ap­pli­ca­tion prennent forme, les orga­ni­sa­tions ont le choix : inves­tir tôt dans une infra­struc­ture de confor­mi­té ou se pré­ci­pi­ter pour répondre aux exi­gences à l’ap­proche des échéances. La loi euro­péenne sur l’IA trans­forme la confor­mi­té d’une charge régle­men­taire en un atout stra­té­gique. Pour les entre­prises qui naviguent dans cette tran­si­tion, le mes­sage est clair : l’a­ve­nir appar­tient à celles qui intègrent la confor­mi­té dans leur stra­té­gie concur­ren­tielle dès le départ.