EU AI Act et DSI : les changements à anticiper dès 2026

Pendant longtemps, les projets d’intelligence artificielle relevaient principalement de l’innovation ou des métiers. Aujourd’hui, la situation a changé.

L’IA s’intègre désormais dans les outils du quotidien : assistants de productivité, plateformes cloud, solutions RH, cybersécurité, CRM, service client ou encore analyse de données. Dans de nombreux cas, les collaborateurs utilisent déjà des fonctionnalités d’IA sans que la DSI en ait une visibilité complète.

Cette réalité crée plusieurs défis :

• Identifier les systèmes d’IA utilisés dans l’entreprise.
• Évaluer les risques associés à chaque usage.
• Vérifier la conformité des fournisseurs et des solutions déployées.
• Encadrer l’utilisation des données sensibles.
• Garantir une supervision humaine lorsque cela est nécessaire.

L’EU AI Act place ces responsabilités au cœur de la gouvernance numérique. Comme le RGPD a transformé la gestion des données personnelles, cette nouvelle réglementation pousse les organisations à structurer leur approche de l’intelligence artificielle.

Pour les DSI, l’enjeu n’est donc pas uniquement réglementaire. Une gouvernance IA efficace permet également de limiter les risques de sécurité, de mieux contrôler les coûts liés aux nouveaux outils et d’accélérer les projets d’innovation dans un cadre maîtrisé.

Contrairement au RGPD, qui s’applique principalement aux données personnelles, l’EU AI Act évalue les systèmes d’intelligence artificielle selon leur niveau de risque.

L’objectif est simple : plus un système d’IA peut avoir un impact sur les droits, la sécurité ou les décisions concernant des individus, plus les exigences réglementaires sont importantes.

L’EU AI Act distingue quatre niveaux de risque.

Risque inacceptable : les systèmes interdits

Certaines applications sont considérées comme incompatibles avec les valeurs européennes et sont interdites.

Par exemple :

• Les systèmes de manipulation comportementale.
• Certaines formes de notation sociale des individus.
• Certains dispositifs de surveillance biométrique en temps réel.

Pour la majorité des entreprises privées, cette catégorie reste relativement marginale.

Haut risque : la catégorie à surveiller de près

C’est ici que se concentrent les principales obligations.

Les systèmes utilisés dans les domaines suivants peuvent être considérés comme à haut risque :

• Recrutement et gestion des ressources humaines.
• Évaluation des candidats.
• Accès à certains services essentiels.
• Analyse de profils ou prise de décision automatisée.
• Infrastructures critiques.

Ces systèmes devront répondre à des exigences strictes en matière de documentation, de traçabilité, de supervision humaine et de gestion des risques.

Risque limité : transparence obligatoire

Cette catégorie concerne notamment les systèmes qui interagissent directement avec les utilisateurs.

Par exemple :

• Chatbots.
• Assistants virtuels.
• Certains outils d’IA générative.

Les utilisateurs doivent être informés lorsqu’ils interagissent avec une intelligence artificielle.

Risque minimal : la majorité des usages

De nombreux usages courants de l’IA restent peu contraints.

Par exemple :

• Filtres anti-spam.
• Recommandations de contenu.
• Outils d’aide à la productivité.

Même si ces systèmes ne sont pas soumis à des obligations lourdes, les entreprises ont tout intérêt à les intégrer dans leur stratégie globale de gouvernance IA.

Pour les DSI, la première étape consiste donc à cartographier les usages existants afin d’identifier rapidement les systèmes susceptibles d’entrer dans les catégories les plus réglementées.

Pour de nombreuses entreprises, le principal défi n’est pas l’arrivée de l’EU AI Act, mais le manque de visibilité sur les usages actuels de l’intelligence artificielle.

Entre les outils SaaS enrichis par l’IA, les assistants génératifs et les projets métiers, les systèmes d’IA se multiplient rapidement dans les organisations. La DSI doit désormais mettre en place un cadre permettant de maîtriser ces usages tout en accompagnant l’innovation.

Cartographier les systèmes d’IA de l’entreprise

Première priorité : identifier les solutions utilisant l’intelligence artificielle.

Cette cartographie doit inclure :

• Les outils d’IA générative.
• Les plateformes cloud intégrant des fonctionnalités d’IA.
• Les applications métiers.
• Les solutions développées en interne.
• Les services fournis par des partenaires ou des prestataires.

Sans inventaire précis, il devient difficile d’évaluer les risques ou de démontrer sa conformité.

Renforcer la gouvernance de l’IA

L’IA ne peut plus être considérée comme un simple sujet technologique.

La DSI doit définir un cadre clair concernant :

• Les usages autorisés.
• Les responsabilités de chaque acteur.
• Les processus de validation.
• Les critères d’évaluation des risques.
• Les règles de supervision humaine.

Une gouvernance structurée permet d’éviter la multiplication des initiatives non contrôlées et limite les risques liés au Shadow AI.

Évaluer les fournisseurs et les solutions utilisées

De nombreuses entreprises utilisent déjà des services intégrant de l’intelligence artificielle sans connaître précisément leur niveau de conformité.

Les DSI devront renforcer leurs processus d’évaluation des fournisseurs en vérifiant notamment :

• Les garanties de conformité.
• Les mécanismes de transparence.
• Les mesures de sécurité.
• La gestion des données utilisées par les modèles.
• Les engagements contractuels liés à l’IA.

Le choix d’un fournisseur ne reposera plus uniquement sur les fonctionnalités ou le coût.

Renforcer la protection des données

L’adoption massive de l’IA générative augmente les risques de fuite ou d’exposition des données sensibles.

Les entreprises doivent s’assurer que :

• Les données confidentielles sont protégées.
• Les accès sont contrôlés.
• Les échanges avec les outils d’IA sont encadrés.
• Les règles de conservation et de suppression sont respectées.

Cette dimension rapproche fortement les enjeux de l’EU AI Act de ceux déjà rencontrés avec le RGPD et la cybersécurité.

Préparer les audits et la documentation

La conformité ne repose pas uniquement sur les technologies utilisées, mais également sur la capacité à démontrer les mesures mises en œuvre.

Les organisations devront être en mesure de documenter :

• Les systèmes d’IA déployés.
• Les évaluations de risques réalisées.
• Les procédures de contrôle.
• Les mécanismes de supervision.
• Les décisions de gouvernance.

Cette exigence de traçabilité deviendra un élément central des futures démarches de conformité.

Sensibiliser les collaborateurs

Même avec les meilleures politiques de gouvernance, les utilisateurs restent un facteur clé.

Former les équipes permet de :

• Réduire les usages à risque.
• Limiter les fuites de données.
• Améliorer la qualité des résultats produits par l’IA.
• Favoriser une adoption responsable des nouveaux outils.

La conformité à l’EU AI Act passera autant par les pratiques humaines que par les solutions technologiques.

Même si certaines obligations s’appliqueront progressivement, attendre la dernière minute serait une erreur. Les entreprises qui anticipent dès aujourd’hui seront mieux préparées pour maîtriser leurs risques, sécuriser leurs projets IA et éviter les démarches de conformité dans l’urgence.

Voici les cinq actions prioritaires que toute DSI devrait engager dès maintenant.

1. Réaliser un inventaire complet des usages de l’IA

Vous ne pouvez pas gouverner ce que vous ne connaissez pas.

La première étape consiste à identifier tous les systèmes d’intelligence artificielle utilisés dans l’entreprise, qu’ils soient déployés par la DSI ou directement adoptés par les métiers.

L’objectif est d’obtenir une vision claire des :

• Outils d’IA générative.
• Solutions SaaS intégrant des fonctionnalités IA.
• Développements internes.
• Services cloud enrichis par l’IA.
• Cas d’usage métiers.

Cette cartographie constitue la base de toute démarche de conformité.

2. Identifier les cas d’usage à risque

Tous les systèmes d’IA ne présentent pas le même niveau de risque.

Une fois l’inventaire réalisé, il est essentiel d’évaluer :

• Les données utilisées.
• Les décisions influencées par l’IA.
• L’impact potentiel sur les utilisateurs.
• Les risques réglementaires et opérationnels.

Cette analyse permettra de prioriser les actions et de concentrer les efforts sur les systèmes les plus sensibles.

3. Définir une politique de gouvernance IA

De nombreuses entreprises disposent déjà de politiques de cybersécurité ou de protection des données. L’intelligence artificielle doit désormais bénéficier d’un cadre similaire.

Cette politique peut notamment préciser :

• Les usages autorisés et interdits.
• Les responsabilités des équipes.
• Les règles de traitement des données.
• Les procédures de validation des nouveaux projets IA.
• Les exigences applicables aux fournisseurs.

Un cadre clair réduit les risques tout en favorisant une adoption cohérente de l’IA à l’échelle de l’entreprise.

4. Renforcer la sensibilisation et la formation

L’IA évolue plus rapidement que les politiques internes.

Les collaborateurs doivent comprendre :

• Les opportunités offertes par l’IA.
• Les risques liés aux données sensibles.
• Les bonnes pratiques d’utilisation.
• Les obligations réglementaires applicables.

Une organisation formée est souvent plus efficace qu’une organisation simplement équipée d’outils de contrôle.

5. Mettre en place un dispositif de pilotage continu

La conformité à l’EU AI Act ne sera pas un projet ponctuel.

Les usages de l’IA, les fournisseurs et les exigences réglementaires continueront d’évoluer.

La DSI doit mettre en place un processus permettant de :

• Suivre l’évolution des systèmes IA.
• Contrôler les nouveaux usages.
• Réévaluer les risques régulièrement.
• Maintenir la documentation à jour.
• Préparer les audits futurs.

L’objectif n’est pas uniquement d’être conforme aujourd’hui, mais de rester conforme dans la durée.

À première vue, l’EU AI Act peut sembler être une nouvelle contrainte réglementaire venant s’ajouter à un paysage déjà marqué par le RGPD, la cybersécurité, la gouvernance des données et les exigences de conformité sectorielles.

Pourtant, les organisations les plus avancées ne considèrent pas cette réglementation comme une simple obligation. Elles y voient une opportunité de reprendre le contrôle sur leurs usages de l’intelligence artificielle.

Une gouvernance IA bien structurée permet de :

• Réduire les risques liés aux outils non maîtrisés.
• Renforcer la protection des données sensibles.
• Améliorer la transparence des processus automatisés.
• Sécuriser les projets d’innovation.
• Renforcer la confiance des collaborateurs, des clients et des partenaires.

Pour les DSI, l’enjeu est donc double : garantir la conformité tout en créant les conditions d’une adoption durable et responsable de l’intelligence artificielle.

Les entreprises qui agissent dès aujourd’hui disposeront d’un avantage significatif. Elles seront mieux préparées aux futures exigences réglementaires, mais également plus capables d’exploiter le potentiel de l’IA dans un cadre sécurisé, maîtrisé et aligné avec leurs objectifs métiers.

L’EU AI Act ne marque pas la fin de l’innovation. Il pose les bases d’une innovation plus fiable, plus transparente et plus durable.

En résumé

La question n’est plus de savoir si votre entreprise utilise l’intelligence artificielle, mais si elle est prête à la gouverner.

Pour les DSI, le moment est venu de cartographier les usages, d’évaluer les risques, de structurer la gouvernance et d’anticiper les futures obligations. Plus cette démarche sera engagée tôt, plus la transition vers une IA conforme et maîtrisée sera simple.

L’EU AI Act est avant tout un signal : l’intelligence artificielle entre dans une nouvelle phase de maturité. Les organisations qui s’y préparent dès maintenant seront les mieux placées pour en tirer pleinement parti demain.