Plus encore que le RGPD, l'AI Act impose une maturité organisationnelle

Cédric Autret

Dès août 2025, de nouvelles obligations de l'AI Act entreront en application, notamment pour les modèles d'IA à usage général (GPAI).

Elles seront suivies en août 2026 par les règles concernant les systèmes à haut risque, et les modèles GPAI déjà sur le marché disposeront d’un délai jusqu’en août 2027 pour se conformer. Comme le RGPD en son temps, l’AI Act promet un cadre structurant, fondé sur la responsabilisation. Mais cette fois, la seule conformité ne suffira pas. Ce qui est en jeu, c’est la capacité des entreprises à piloter l’IA comme un actif stratégique, pas seulement comme un risque juridique.

Le précédent RGPD : conformité déclarative, impact limité

L’entrée en vigueur du RGPD, en 2018, avait déclenché un effort massif de mise en conformité : registres de traitement, consentements explicites, DPO nommés… Pourtant, six ans plus tard, le bilan reste contrasté. La culture de la protection des données s’est diffusée, mais les pratiques sont restées inégales, souvent limitées à un vernis réglementaire. Dans bien des cas, les directions métiers, les équipes IT ou les partenaires n’étaient pas réellement embarqués dans l’effort de transformation.

Avec l’AI Act, l’écueil est similaire dans le fait de se contenter de cocher les cases. Or, le texte ne se limite pas à des obligations techniques ou à des catégories juridiques. Il impose une dynamique d’anticipation et notamment d’identifier les systèmes à haut risque, de documenter leurs choix techniques, de surveiller leur comportement dans la durée, de démontrer la traçabilité des décisions et d’évaluer les biais. Autant de pratiques qui nécessitent une organisation transverse, structurée et continue. Ce que le RGPD suggérait, l’AI Act l’exige.

L’IA appelle une gouvernance opérationnelle

Gouverner l’IA, ce n’est pas rédiger une politique interne et désigner un responsable de plus. C’est organiser un pilotage collectif : faire dialoguer juristes, data scientists, DSI, métiers, RSSI autour de modèles concrets, d’usages ciblés, de risques identifiés. La gouvernance IA est d’abord une méthode de travail.

Cela suppose des processus (validation éthique, gestion de cycle de vie, remontées d’incidents), des outils (logs infalsifiables, matrices de risques, tableaux de bord d’explicabilité), des rôles définis (AI Ethics Officer, comité pluridisciplinaire), mais surtout un ancrage organisationnel. Une gouvernance IA qui ne mobilise que la conformité juridique ou la technique est, par nature, incomplète.

Là encore, l’expérience du RGPD est instructive. De nombreux DPO ont été placés hors des chaînes de décision ou privés de moyens concrets, ce qui a conduit à des pratiques formelles, rarement reliées à l’opérationnel. L’AI Act impose d’éviter cette erreur. Les usages de l’IA, par nature dynamiques et évolutifs, exigent un contrôle itératif, outillé, collaboratif.

Ne pas subir, structurer pour durer

À la différence du RGPD, qui s’intéressait à des données préexistantes, l’AI Act encadre des systèmes actifs, capables d’évoluer, d’apprendre, de produire des décisions. Cela change tout. L’approche “fixe” de la conformité ne fonctionne plus. Il faut bâtir une capacité organisationnelle à absorber l’incertitude, à surveiller les dérives, à documenter en continu les choix techniques et leurs impacts. Bref, à piloter des systèmes intelligents… intelligemment.

Cette exigence n’est pas un fardeau. C’est une opportunité stratégique pour les entreprises capables d’en faire un facteur de différenciation. Gouverner l’IA de façon transparente, robuste et traçable devient une preuve de sérieux, un gage de fiabilité contractuelle, un avantage dans les appels d’offres ou les partenariats internationaux. C’est aussi une manière de sécuriser l’innovation, en apportant un cadre d’expérimentation maîtrisé.

Le RGPD a donné le ton. L’AI Act change de registre : il ne s’agit plus seulement de protéger, mais d’organiser. Les entreprises qui l’ont compris travaillent déjà à structurer leur gouvernance IA, non pour répondre à une injonction, mais pour renforcer leur capacité à innover dans un cadre fiable, reconnu, pérenne.