IA Act : quels impacts pour les secteurs sensibles en Europe ?

La prise de con­science des risques d’une IA non régle­men­tée ne s’est pas fait atten­dre. Que ce soit pour la dis­crim­i­na­tion sys­té­ma­tique des can­di­da­tures féminines de l’outil de recrute­ment d’Ama­zon¹, ou lorsque l’al­go­rithme d’analyse faciale de Hire­Vue a saboté les can­di­da­tures de per­son­nes neu­ro­di­ver­gentes², dans les deux cas, les cri­tiques sont dev­enues virales et jus­ti­fiées. Aujour­d’hui, l’Eu­rope mon­tre la voie en matière de lég­is­la­tion sur l’IA touchant de nom­breux secteurs sen­si­bles. La loi européenne sur l’in­tel­li­gence arti­fi­cielle, l’IA Act, est le pre­mier cadre régle­men­taire com­plet au monde. Il pré­tend éviter de tels échecs tout en trans­for­mant le déploiement de l’IA dans les entre­pris­es, en par­ti­c­uli­er dans les secteurs à haut risque.

À elles seules, les entre­pris­es français­es ont investi plus d’un mil­liard d’eu­ros dans les tech­nolo­gies d’IA en 2023 et au total, 35 % des entre­pris­es français­es déploient active­ment des sys­tèmes d’IA, selon Busi­ness France³. La ten­dance est évi­dente : le déploiement de l’IA au niveau indus­triel est en aug­men­ta­tion. Si les oblig­a­tions con­traig­nantes de la loi sur l’IA sont entrées en vigueur ce mois⁴, le choix fon­da­men­tal appar­tient aux entre­pris­es. D’un côté, soit elles con­sid­èrent la con­for­mité comme une charge régle­men­taire pesant sur les ser­vices juridiques, de l’autre, soit elles la trans­for­ment en une capac­ité dis­tinc­tive qui les aide à prospér­er dans le monde de l’IA.

« Les entre­pris­es qui intè­grent les exi­gences légales dans leurs principes de con­cep­tion peu­vent trans­former la con­for­mité en un avan­tage stratégique », explique Jean de Bod­i­nat, fon­da­teur de Rakam AI et enseignant à l’É­cole poly­tech­nique (IP Paris). La régle­men­ta­tion établit un sys­tème de clas­si­fi­ca­tion basé sur les risques. Ces sys­tèmes d’IA « à haut risque » dont les exi­gences sont les plus strictes, affectent la san­té, la sécu­rité et les droits fon­da­men­taux. Par­mi tous les critères qui régis­sent ces sys­tèmes de clas­si­fi­ca­tion fig­urent : la ges­tion oblig­a­toire des risques, la gou­ver­nance des don­nées, la doc­u­men­ta­tion tech­nique, la super­vi­sion humaine et les sys­tèmes de ges­tion de la qual­ité. Dans qua­tre secteurs les sys­tèmes d’IA « à haut risque » sont par­ti­c­ulière­ment con­cernés par la législation.

Dans les salles de classe français­es et sur les plate­formes d’ap­pren­tis­sage en ligne, les out­ils d’é­val­u­a­tion basés sur l’IA trans­for­ment non seule­ment l’é­d­u­ca­tion, mais sont égale­ment con­fron­tés à un fardeau régle­men­taire impor­tant. Les sys­tèmes d’IA édu­cat­ifs entrent dans la caté­gorie « à haut risque » en rai­son de leur influ­ence directe sur les résul­tats sco­laires. Par exem­ple, la plate­forme e‑LATE⁵ de Lingueo, spé­cial­isée dans les éval­u­a­tions lin­guis­tiques per­son­nal­isées en util­isant la recon­nais­sance vocale et la nota­tion automa­tisée. Leurs apprenants reçoivent des com­men­taires ciblés tan­dis que les enseignants gar­dent un œil sur le proces­sus grâce à des tableaux de bord. Un sys­tème qui illus­tre com­ment les tech­nolo­gies éduca­tives peu­vent répon­dre aux exi­gences de la loi sur l’IA tout en appor­tant une valeur ajoutée à l’enseignement.

Élèves et enseignants doivent com­pren­dre com­ment les déci­sions automa­tisées sont prises.

« Le défi ne réside pas seule­ment dans la pré­ci­sion tech­nique, mais aus­si dans l’équité et la trans­parence », note Solène Gérardin, avo­cate et spé­cial­iste de la loi sur l’IA qui con­seille les entre­pris­es en matière de con­for­mité. « Les élèves et les enseignants doivent com­pren­dre com­ment les déci­sions automa­tisées sont pris­es. » La plate­forme répond à cette exi­gence en séparant la généra­tion de con­tenu par l’IA des proces­sus d’é­val­u­a­tion, en met­tant en place des fil­tres de con­tenu robustes et en four­nissant des inter­faces claires pour la super­vi­sion des enseignants. Plus impor­tant encore, elle con­serve des jour­naux d’utilisation com­plets à des fins d’au­ditabil­ité, une exi­gence qui est en train de devenir la norme dans le domaine des tech­nolo­gies éducatives.

Des exem­ples externes vien­nent ren­forcer cette approche. Des plate­formes telles que Grade­scope et Knew­ton adoptent des solu­tions d’IA explic­a­bles qui aident les élèves et les enseignants à com­pren­dre les déci­sions de nota­tion automa­tisées. Leurs suc­cès démon­trent que les exi­gences en matière de trans­parence peu­vent réelle­ment amélior­er les résul­tats sco­laires en instau­rant la con­fi­ance entre les apprenants, les enseignants et les sys­tèmes d’IA.

C’est peut-être dans le domaine du recrute­ment que l’im­pact de la loi sur l’IA est le plus vis­i­ble, car ces sys­tèmes automa­tisés d’é­val­u­a­tion des can­di­da­tures trans­for­ment et par­fois faussent les pra­tiques d’embauche. Ces sys­tèmes, qui fil­trent les CV et classent les can­di­dats à l’aide du traite­ment du lan­gage naturel, con­stituent un exem­ple typ­ique d’IA à haut risque au regard de la nou­velle régle­men­ta­tion. Les mis­es en garde sont bien doc­u­men­tées. Ama­zon a aban­don­né son out­il de recrute­ment basé sur l’IA après avoir décou­vert qu’il pénal­i­sait les CV con­tenant des mots tels que « femmes ». Hire­Vue a été cri­tiqué pour ses algo­rithmes d’analyse faciale qui désa­van­tageaient les can­di­dats neu­ro­di­ver­gents. À l’avenir, pour éviter de telles dis­crim­i­na­tions, la loi sur l’IA exige la trans­parence dans les déci­sions d’embauche automa­tisées et accorde aux can­di­dats le droit de con­tester les résul­tats basés sur l’IA.

D’ailleurs, l’opérateur Orange pro­pose un mod­èle plus promet­teur. Trai­tant plus de deux mil­lions de can­di­da­tures par an à l’aide de sys­tèmes d’IA dévelop­pés avec Google Cloud, l’entreprise met en cor­re­spon­dance les can­di­dats avec les descrip­tions de poste tout en sig­nalant ces résul­tats pour val­i­da­tion humaine. En inté­grant des algo­rithmes sen­si­bles à l’équité et avec procé­dures d’au­dit com­plètes, l’en­tre­prise a fait pro­gress­er sa diver­sité des gen­res dans les postes tech­niques. Cette approche mon­tre com­ment des exi­gences régle­men­taires peu­vent s’align­er sur des objec­tifs com­mer­ci­aux, car les équipes diver­si­fiées sont sou­vent plus per­for­mantes. De plus, cette pra­tique de recrute­ment trans­par­ente ren­force la répu­ta­tion de l’employeur⁶.

Mais la mise en œuvre tech­nique implique des sys­tèmes mod­u­laires qui sépar­ent les couch­es de pré­traite­ment des don­nées, de nota­tion et de super­vi­sion. Cette archi­tec­ture, guidée par des cadres tels que SMACTR (Sys­tème, Méta­don­nées, Auditabil­ité, Con­texte, Traça­bil­ité, Respon­s­abil­ité), per­met d’i­den­ti­fi­er et de cor­riger rapi­de­ment les prob­lèmes de biais. Les prin­ci­pales straté­gies de con­for­mité com­pren­nent l’u­til­i­sa­tion d’ensem­bles de don­nées représen­tat­ifs inclu­ant au moins 20 % de groupes minori­taires, l’en­reg­istrement et la jus­ti­fi­ca­tion de tous les résul­tats de classe­ment, la pos­si­bil­ité pour les can­di­dats de se désin­scrire et la réal­i­sa­tion d’au­dits réguliers sur les biais. Plutôt que de restrein­dre les déci­sions d’embauche, ces exi­gences poussent les entre­pris­es vers des pra­tiques de recrute­ment plus équita­bles et plus défend­ables⁷.

Dans le domaine de la san­té, les enjeux régle­men­taires atteignent leur parox­ysme, car les sys­tèmes d’IA trait­ent des don­nées médi­cales sen­si­bles et influ­en­cent les déci­sions rel­a­tives aux soins des patients. L’exemple des sys­tèmes de ges­tion pour les deman­des de rem­bourse­ment d’as­sur­ance mal­adie illus­tre bien ce défi, puisqu’ils relèvent à la fois de la clas­si­fi­ca­tion à haut risque de la loi sur l’IA et des pro­tec­tions strictes des don­nées médi­cales prévues par le RGPD⁸. L’a­gent de ges­tion des deman­des de rem­bourse­ment ali­men­té par l’IA de l’entreprise Lola Health mon­tre com­ment les organ­ismes de san­té peu­vent nav­iguer dans ce paysage régle­men­taire com­plexe. L’a­gent con­ver­sa­tion­nel fonc­tionne au sein de la plate­forme numérique de Lola Health et assiste les mem­bres et les pro­fes­sion­nels de l’as­sur­ance pour les ques­tions de cou­ver­ture, les deman­des de rem­bourse­ment et les mis­es à jour de statut.

La con­for­mité devient un cadre pour l’ex­cel­lence opéra­tionnelle plutôt qu’un fardeau bureaucratique.

L’ar­chi­tec­ture du sys­tème reflète une approche glob­ale de la con­for­mité. Elle per­met la récupéra­tion en temps réel de don­nées con­tractuelles per­son­nal­isées, tan­dis que l’au­then­tifi­ca­tion sécurisée pro­tège les infor­ma­tions sen­si­bles. Plus impor­tant encore, le sys­tème con­serve des redi­rec­tions vers des con­seillers humains pour les deman­des com­plex­es, une exi­gence qui améliore réelle­ment le ser­vice à la clientèle.

Cepen­dant, le traite­ment de grands vol­umes de don­nées de san­té aug­mente les risques de vio­la­tion, mais il crée égale­ment des oppor­tu­nités pour un meilleur accom­pa­g­ne­ment des patients. L’a­gent four­nit une assis­tance per­son­nal­isée 24 heures sur 24, 7 jours sur 7 et accélère le temps de réso­lu­tion des dossiers. Indi­recte­ment, il réduit les coûts d’as­sis­tance tout en main­tenant un niveau élevé de sat­is­fac­tion des clients grâce à des con­seils clairs et à la garantie de la confidentialité.

Les straté­gies d’at­ténu­a­tion des risques com­pren­nent une IA explic­a­ble pour la trans­parence des déci­sions, des mesures de pro­tec­tion de la vie privée solides avec un accès authen­tifié et un cryptage sécurisé, ain­si que des audits réguliers des con­seils four­nis par les chat­bots, afin d’amélior­er la qual­ité du ser­vice et de prévenir les biais. Ces mesures, imposées par la régle­men­ta­tion, améliorent à la fois les per­for­mances opéra­tionnelles et la con­fi­ance des util­isa­teurs. Les exa­m­ens péri­odiques req­uis pour la con­for­mité régle­men­taire provo­quent des avan­tages inat­ten­dus en amélio­rant les répons­es du sys­tème et en main­tenant des normes de ser­vice élevées. La con­for­mité devient un cadre pour l’ex­cel­lence opéra­tionnelle plutôt qu’un fardeau bureaucratique.

Les sys­tèmes d’é­val­u­a­tion pour obtenir un crédit influ­en­cent directe­ment l’accessibilité des par­ti­c­uliers et illus­trent la néces­sité d’une régle­men­ta­tion dans la finance. Ces sys­tèmes doivent répon­dre à des exi­gences en matière d’équité, de trans­parence et de respon­s­abil­ité, tout en con­ser­vant leur via­bil­ité com­mer­ciale. Les plate­formes mod­ernes d’é­val­u­a­tion du crédit utilisent l’ap­pren­tis­sage automa­tique pour analyser les don­nées des deman­deurs et prédire le risque de crédit, en ten­ant compte de vari­ables telles que les revenus, les antécé­dents d’en­det­te­ment, la sit­u­a­tion pro­fes­sion­nelle et les his­toriques de trans­ac­tions. Le défi con­siste à s’as­sur­er que ces sys­tèmes ne repro­duisent ni n’am­pli­fient les préjugés sociaux.

Les grandes ban­ques français­es ont dévelop­pé des approches de test d’équité à trois niveaux : un pré­traite­ment pour équili­br­er les don­nées d’ap­pren­tis­sage, une sur­veil­lance en temps réel pour sig­naler les dis­par­ités démo­graphiques dans les appro­ba­tions, et un cal­i­brage post-déci­sion­nel pour cor­riger les biais résidu­els tout en main­tenant les per­for­mances pré­dic­tives. Les ban­ques met­tent égale­ment en place des procé­dures de recours pour les clients et procè­dent régulière­ment à des audits indépen­dants. Les recherch­es menées par Christophe Pérignon à HEC Paris ont con­tribué à l’élab­o­ra­tion de cadres sta­tis­tiques désor­mais util­isés par les grandes ban­ques pour iden­ti­fi­er et atténuer la dis­crim­i­na­tion dans les mod­èles de crédit. Les ban­ques qui utilisent ces sys­tèmes équita­bles ont réduit les écarts d’ap­pro­ba­tion entre les groupes démo­graphiques à moins de 3 %, tout en main­tenant ou en amélio­rant la pré­ci­sion de la pré­dic­tion des risques.

Solène Gérardin note qu’il est rarement facile de déter­min­er si un sys­tème d’IA présente un « risque élevé ». Elle estime que la meilleure déci­sion à pren­dre face à cette ambiguïté est d’être proac­t­if, en con­ce­vant dès le départ une IA con­forme à la régle­men­ta­tion. Elle indique égale­ment que l’U­nion européenne prévoit de pub­li­er des lignes direc­tri­ces détail­lées, com­prenant des exem­ples con­crets de cas lim­ites, d’i­ci début 2026. Une fois ces lignes direc­tri­ces disponibles, la con­for­mité sera exigée dans tous les secteurs.

Le Code de bonnes pra­tiques en matière d’IA à usage général (GP-AI) a été pub­lié le mois dernier. Selon le site web offi­ciel de la loi européenne sur l’IA, ces dis­po­si­tions sont entrées en vigueur en août 2025⁹. Il a été rédigé en col­lab­o­ra­tion avec près de 1 000 par­ties prenantes, sous la forme d’un doc­u­ment inclusif qui traduit les exi­gences générales de la loi en con­seils pra­tiques et con­crets sur des principes tels que la trans­parence, l’at­ténu­a­tion des risques sys­témiques et le respect des droits d’au­teur, entre autres. Ce code a été élaboré afin de pro­mou­voir les valeurs de con­fi­ance et de respon­s­abil­ité au sein de l’é­cosys­tème européen de l’IA. Il recoupe égale­ment les objec­tifs ESG (gou­ver­nance envi­ron­nemen­tale et sociale) et de dura­bil­ité, faisant de la con­for­mité en matière d’IA plus qu’une sim­ple oblig­a­tion légale pour les entre­pris­es. Il s’ag­it d’une stratégie défini­tive visant à ren­forcer la gou­ver­nance et à assur­er la com­péti­tiv­ité à long terme.

Ces études de cas révè­lent une ten­dance com­mune : les organ­i­sa­tions qui con­sid­èrent les oblig­a­tions de la loi sur l’IA comme des principes de con­cep­tion plutôt que comme des con­traintes obti­en­nent un meilleur posi­tion­nement sur le marché et de meilleures per­for­mances opéra­tionnelles. Une mise en con­for­mité pré­coce offre des avan­tages con­cur­ren­tiels qui vont bien au-delà du sim­ple respect de la loi. La trans­parence des sys­tèmes d’IA ren­force la con­fi­ance des clients, en par­ti­c­uli­er dans les secteurs sen­si­bles où les déci­sions ont un impact sig­ni­fi­catif sur la vie des indi­vidus. Les proces­sus d’ap­pro­vi­sion­nement favorisent de plus en plus les four­nisseurs con­formes, créant ain­si des oppor­tu­nités com­mer­ciales pour les organ­i­sa­tions pré­parées. L’ac­cès aux investis­seurs soucieux des critères ESG s’améliore, car la con­for­mité est syn­onyme de gou­ver­nance solide.

Le champ d’ap­pli­ca­tion de la loi devrait s’é­ten­dre à de nou­veaux secteurs, notam­ment les trans­ports, l’én­ergie et l’ad­min­is­tra­tion publique. Alors que les normes tech­niques sont encore en cours d’élab­o­ra­tion et que les mécan­ismes d’ap­pli­ca­tion pren­nent forme, les organ­i­sa­tions ont le choix : inve­stir tôt dans une infra­struc­ture de con­for­mité ou se pré­cip­iter pour répon­dre aux exi­gences à l’ap­proche des échéances. La loi européenne sur l’IA trans­forme la con­for­mité d’une charge régle­men­taire en un atout stratégique. Pour les entre­pris­es qui nav­iguent dans cette tran­si­tion, le mes­sage est clair : l’avenir appar­tient à celles qui intè­grent la con­for­mité dans leur stratégie con­cur­ren­tielle dès le départ.