L’IA Act entre dans sa phase opérationnelle : les premières sanctions tombent
Depuis le début de l’année 2025, l’Union européenne a progressivement mis en application son règlement sur l’intelligence artificielle, plus connu sous le nom d’AI Act. Adopté définitivement en 2024, ce texte historique représente le premier cadre légal complet au monde encadrant le développement et l’usage des systèmes d’IA. Mais c’est à partir de l’été 2025 que les choses sérieuses ont réellement commencé : les autorités nationales compétentes, désignées dans chaque État membre, ont entamé leurs premières opérations de contrôle. Et sans grande surprise, les premières sanctions ne se sont pas fait attendre. L’Europe envoie un signal clair : le temps de la tolérance bienveillante est terminé.
Comment fonctionnent concrètement les contrôles ?
L’AI Act repose sur une logique de classification par niveau de risque. Les systèmes d’IA dits « à haut risque » — ceux utilisés dans des domaines comme la santé, la justice, les ressources humaines ou encore le contrôle aux frontières — sont soumis aux obligations les plus strictes. Ces obligations incluent notamment la tenue d’une documentation technique précise, la mise en place de mécanismes de supervision humaine, et l’enregistrement dans une base de données européenne dédiée. Les autorités de surveillance, en France représentées principalement par la CNIL et l’Autorité de sûreté nucléaire et de radioprotection selon les secteurs, ont reçu mandat pour effectuer des audits, demander des documents, et procéder à des inspections sur site. Les entreprises qui déploient ou développent des systèmes d’IA ont donc eu des mois pour se préparer — mais toutes ne l’ont visiblement pas fait avec le même sérieux.
Les premières sanctions : qui est visé, et pourquoi ?
Les premières procédures formelles ont concerné des acteurs variés, et pas uniquement les géants de la tech américains comme on aurait pu le supposer. Plusieurs entreprises européennes, dont des startups françaises actives dans le domaine des ressources humaines automatisées et de la reconnaissance d’émotions, ont été placées en situation de mise en demeure. La reconnaissance d’émotions en milieu professionnel est en effet l’une des pratiques explicitement encadrées — voire interdites dans certains contextes — par le règlement. Des outils d’aide au recrutement utilisant l’analyse vidéo pour évaluer les candidats ont ainsi été pointés du doigt par les autorités allemandes et néerlandaises, avec des procédures qui pourraient servir de jurisprudence pour l’ensemble du continent. En France, si aucune sanction pécuniaire n’a encore été officiellement prononcée à la date de cet article, plusieurs dossiers sont ouverts et des mises en conformité obligatoires ont été notifiées à des prestataires du secteur public ayant intégré des outils d’IA dans leurs processus décisionnels.
La France face à ses responsabilités de régulateur
La position française est particulièrement scrutée, et ce pour plusieurs raisons. D’une part, la France abrite l’un des écosystèmes de startups IA les plus dynamiques d’Europe, avec des acteurs comme Mistral AI, mais aussi des dizaines d’entreprises de taille intermédiaire très actives dans des secteurs sensibles. D’autre part, Paris s’est positionné comme un champion de la souveraineté numérique européenne, et il serait paradoxal de se montrer laxiste dans l’application d’un règlement que la France a largement soutenu au Parlement européen. La CNIL a d’ailleurs publié en septembre 2025 une série de lignes directrices pratiques destinées aux entreprises françaises, accompagnées d’un outil d’autoévaluation en ligne pour permettre aux organisations de situer leurs systèmes d’IA dans la grille de risque du règlement. Cette démarche pédagogique est saluée par les acteurs du secteur, même si certains experts estiment que les moyens humains alloués au contrôle restent insuffisants au regard de l’ampleur de la tâche.
Ce que cela change pour les entreprises et les développeurs
Pour les entreprises françaises qui développent ou utilisent des outils d’IA, l’entrée dans la phase de contrôle actif de l’AI Act représente un tournant concret. Fini le temps où la conformité était un sujet réservé aux juristes spécialisés : aujourd’hui, les équipes techniques, les product managers et les directions générales doivent s’approprier le sujet. Les obligations de transparence algorithmique, de gestion des données d’entraînement, et de traçabilité des décisions automatisées impliquent des changements profonds dans les pratiques de développement. Plusieurs cabinets de conseil français ont d’ailleurs vu leur activité « conformité IA » exploser ces derniers mois, et des certifications spécifiques commencent à émerger sur le marché. Du côté des développeurs et des data scientists, la pression monte pour intégrer ces contraintes dès la phase de conception — ce qu’on appelle dans le jargon le principe de compliance by design. Un parallèle évident avec ce que le RGPD a provoqué en matière de protection des données personnelles, mais avec des implications techniques encore plus profondes.
Un règlement ambitieux face à des défis considérables
Si l’AI Act est salué comme une avancée majeure sur la scène internationale — les États-Unis et plusieurs pays asiatiques observent le modèle européen avec attention —, sa mise en œuvre soulève encore de nombreuses questions. La rapidité d’évolution des technologies d’IA, notamment avec l’essor fulgurant des modèles de langage de grande taille (LLM) et des systèmes d’IA générative, met à l’épreuve la capacité du cadre réglementaire à rester pertinent. Les dispositions spécifiques aux modèles d’IA à usage général, qui concernent directement des acteurs comme Mistral AI ou les filiales européennes d’OpenAI et Google, sont encore en cours de précision par le Bureau européen de l’IA, l’organe centralisé créé pour coordonner l’application du règlement à l’échelle du continent. Ce que l’on peut dire avec certitude à ce stade, c’est que l’ère de l’IA sans garde-fous en Europe appartient désormais au passé. Pour les acteurs français, l’enjeu est double : se conformer sans perdre en compétitivité, et démontrer qu’innovation et responsabilité ne sont pas incompatibles.