L'IA Act : le cadre réglementaire européen
L'IA Act (Artificial Intelligence Act) est le premier cadre juridique mondial dédié à l'intelligence artificielle. Adopté par l'Union Européenne en 2024, il encadre la manière dont l'IA peut être développée et utilisée en Europe — et il vous concerne directement en tant qu'utilisateur professionnel.
L'explosion de l'IA dans tous les secteurs (RH, santé, finance, éducation, marketing) a créé des risques concrets : discriminations automatisées, décisions opaques, manipulation sociale. Par exemple, un algorithme de recrutement qui écarte systématiquement les CV féminins, ou un chatbot qui donne des conseils médicaux erronés.
L'IA Act vise à garantir la sécurité et la transparence tout en soutenant l'innovation.
La classification par niveaux de risque
L'IA Act classe tous les systèmes d'IA en 4 niveaux de risque, avec des obligations croissantes :
- Système de "crédit social" (noter les citoyens)
- Manipulation subliminale du comportement
- Reconnaissance faciale en temps réel dans les lieux publics
- Exploitation des vulnérabilités (âge, handicap)
- Recrutement automatisé
- Accès à l'éducation et services publics
- Santé, justice, sécurité, transports
⚡ Applicable à partir d'août 2026
- Chatbots (ChatGPT, Gemini)
- Générateurs d'images (MidJourney, Firefly)
- Synthèse vocale (ElevenLabs)
⚡ Applicable depuis août 2025
- IA dans les jeux vidéo
- Filtres anti-spam
- Correcteurs orthographiques
Cas pratique — Où se situent ChatGPT et Gemini ?
Contexte : Votre entreprise utilise ChatGPT et Gemini au quotidien. Où se situent-ils dans la classification ?
Réponse : ChatGPT, Gemini et Claude sont classés comme des IA à usage général (GPAI) avec un risque limité. Obligations :
- ✅ Transparence : indiquer quand un contenu est généré par IA (ex : "Ce texte a été rédigé avec l'aide de ChatGPT")
- ✅ Documentation : OpenAI et Google doivent documenter les limites de leurs modèles
- ✅ Réduction des biais : efforts pour limiter les hallucinations et les biais
Attention : si vous utilisez ChatGPT pour du recrutement automatisé ou de la prise de décision sur des personnes, vous passez en risque élevé avec des obligations bien plus strictes !
Les sanctions : ce que vous risquez
| Type d'infraction | Sanction maximale | Exemple |
|---|---|---|
| Utilisation d'un système interdit | 35 M€ ou 7% du CA mondial | Déployer un système de scoring social sur les clients |
| Non-respect des obligations risque élevé | 15 M€ ou 3% du CA mondial | Utiliser une IA de recrutement sans analyse de risques |
| Non-respect de la transparence | 7,5 M€ ou 1% du CA mondial | Ne pas signaler qu'un chatbot client est une IA |
Le calendrier d'application
À retenir
- L'IA Act est le premier cadre juridique mondial sur l'IA (UE, 2024)
- Il classe les IA en 4 niveaux de risque : inacceptable, élevé, limité, minimal
- ChatGPT et Gemini sont des GPAI à risque limité — obligation de transparence
- Si vous utilisez l'IA pour des décisions sur des personnes (RH, crédit...), c'est du risque élevé
- Les sanctions vont jusqu'à 35 M€ ou 7% du CA mondial
- Les obligations GPAI sont déjà en vigueur depuis août 2025
Le RGPD appliqué à l'IA
Le RGPD (Règlement Général sur la Protection des Données) est en vigueur depuis 2018 et s'applique à toute utilisation de données personnelles — y compris via l'IA. Quand vous utilisez ChatGPT ou Gemini avec des données d'entreprise, le RGPD s'applique pleinement.
Les 7 principes fondamentaux du RGPD
Les droits des personnes face à l'IA
Toute personne dont les données sont traitées a des droits. Avec l'IA, ces droits prennent une dimension nouvelle :
| Droit | Ce que ça signifie | Exemple avec l'IA |
|---|---|---|
| Droit d'information | Savoir comment ses données sont utilisées | Un client doit savoir si un chatbot IA répond à sa place d'un humain |
| Droit d'accès | Obtenir une copie de ses données | Un utilisateur peut demander si ses conversations ont servi à entraîner ChatGPT |
| Droit de rectification | Corriger des données inexactes | Si l'IA a des informations fausses sur un employé, il peut demander la correction |
| Droit à l'effacement | "Droit à l'oubli" | Demander la suppression de ses données des systèmes d'entraînement IA |
| Droit d'opposition | Refuser un traitement | Un candidat peut refuser que son CV soit analysé par une IA de recrutement |
Cas pratique — RGPD et ChatGPT/Gemini en entreprise
Contexte : Le service RH veut utiliser ChatGPT pour analyser les entretiens annuels et identifier les tendances de satisfaction des employés.
❌ Ce qui est INTERDIT :
- Copier-coller les entretiens annuels avec noms, postes et commentaires dans ChatGPT gratuit
- Prendre des décisions automatisées (promotion, licenciement) basées uniquement sur l'analyse IA
- Ne pas informer les employés que leurs entretiens sont analysés par une IA
✅ Ce qui est CONFORME :
- Anonymiser les entretiens (Employé A, B, C...) avant de les soumettre à l'IA
- Utiliser ChatGPT Team/Enterprise (données non utilisées pour l'entraînement)
- Informer les employés dans la politique de confidentialité
- L'IA produit une synthèse, un humain prend la décision finale
Cas pratique — Le transfert de données hors UE
ChatGPT (OpenAI) et Gemini (Google) traitent vos données sur des serveurs situés principalement aux États-Unis. Selon le RGPD, le transfert de données personnelles hors UE est soumis à des conditions strictes.
En pratique :
- Les versions Enterprise de ces outils proposent des garanties de conformité (clauses contractuelles types, chiffrement)
- Les versions gratuites n'offrent pas ces garanties — évitez d'y mettre des données personnelles de citoyens européens
- La CNIL recommande de privilégier les solutions hébergées en Europe quand c'est possible pour les données sensibles
Les sanctions RGPD : des amendes record
À retenir
- Le RGPD s'applique pleinement à l'utilisation de l'IA en entreprise
- Les 7 principes (licéité, finalité, minimisation...) guident toute utilisation de données avec l'IA
- Les personnes ont des droits : information, accès, effacement, opposition
- Le transfert de données vers les USA (ChatGPT, Gemini) est un point de vigilance majeur
- Anonymisez toujours les données avant de les soumettre à une IA
- Les sanctions vont jusqu'à 20 M€ ou 4% du CA mondial
Bonnes pratiques & veille réglementaire
Connaître l'IA Act et le RGPD, c'est bien. Les appliquer au quotidien et rester à jour, c'est mieux. Cette leçon vous donne les outils concrets pour une utilisation conforme et responsable de l'IA dans votre entreprise.
Les 5 règles d'or de l'utilisation de l'IA en entreprise
L'IA ne prend jamais la décision finale. Un humain doit toujours valider les résultats, surtout quand ils concernent des personnes (recrutement, évaluation, service client). C'est le principe de "human in the loop" (l'humain dans la boucle) — et c'est une obligation légale pour les IA à risque élevé.
Cas pratique — Créer une charte IA d'entreprise
Toute entreprise utilisant l'IA devrait disposer d'une charte interne. Voici les points essentiels à couvrir :
📋 Charte d'utilisation de l'IA — [Nom de l'entreprise]
1. Outils autorisés
- ChatGPT Team (version entreprise, données protégées)
- Google Gemini Advanced (via Google Workspace)
- Adobe Firefly (contenus visuels sous licence)
2. Données INTERDITES dans les prompts
- 🚫 Noms, emails, téléphones de clients/employés
- 🚫 Données financières confidentielles (CA détaillé, marges)
- 🚫 Mots de passe, clés API, tokens
- 🚫 Données médicales ou relatives au handicap
3. Procédure obligatoire
- ✅ Anonymiser toute donnée avant utilisation
- ✅ Relire et vérifier tout contenu généré
- ✅ Mentionner "Rédigé avec l'aide de l'IA" sur les contenus publiés
4. Responsable : [Nom du DPO ou référent IA]
5. Sanctions : Le non-respect expose à des sanctions disciplinaires et l'entreprise à des amendes RGPD/IA Act.
Cas pratique — Utiliser ChatGPT pour rédiger la charte
Rédige une charte d'utilisation de l'IA générative pour une [type d'entreprise] de [nombre] personnes dans le secteur [secteur].
La charte doit couvrir :
1. Les outils autorisés (ChatGPT Team, Gemini Advanced)
2. Les données interdites dans les prompts (liste détaillée)
3. La procédure d'anonymisation obligatoire
4. Les règles de vérification des contenus générés
5. L'obligation de transparence (mentionner l'utilisation de l'IA)
6. Le rôle du référent IA / DPO
7. Les sanctions en cas de non-respect
Format : document structuré, professionnel, max 2 pages. Langage clair et accessible à tous les collaborateurs.
🔒 Configurer la sécurité de vos outils IA — Guide pas à pas
Avant même de rédiger une charte, la première action concrète est de sécuriser les paramètres de vos outils. Voici exactement quoi faire sur ChatGPT et Gemini :
🟢 ChatGPT — Paramètres de confidentialité
Étape 1 : Désactiver l'entraînement sur vos données
- Ouvrez chat.openai.com et connectez-vous
- Cliquez sur votre photo de profil (en bas à gauche)
- Allez dans Settings (Paramètres)
- Cliquez sur Data Controls (Contrôle des données)
- Désactivez "Improve the model for everyone" ❌
⚠️ Quand ce réglage est désactivé, vos conversations ne sont plus utilisées pour entraîner les modèles d'OpenAI. C'est la première chose à faire en contexte professionnel.
Étape 2 : Utiliser les conversations temporaires
- Avant de démarrer une conversation sensible, activez le mode "Temporary Chat" (icône en haut de la fenêtre de chat)
- Ces conversations ne sont pas sauvegardées dans votre historique et ne sont pas utilisées pour l'entraînement
Étape 3 : Supprimer l'historique sensible
- Dans Settings → Data Controls, vous pouvez supprimer tout votre historique
- Pour supprimer une conversation spécifique : survolez-la dans la barre latérale et cliquez sur l'icône 🗑️
- Pour une suppression complète, utilisez le portail privacy.openai.com
Sur ChatGPT Free et Plus (20$/mois), vous devez manuellement désactiver l'entraînement. Sur ChatGPT Team (25$/utilisateur/mois) et Enterprise, vos données ne sont jamais utilisées pour l'entraînement par défaut. En entreprise, privilégiez toujours les versions Team ou Enterprise.
🔵 Google Gemini — Paramètres de confidentialité
Étape 1 : Désactiver la sauvegarde d'activité Gemini
- Allez sur myactivity.google.com/product/gemini
- Cliquez sur "Gemini Apps Activity"
- Désactivez le bouton "Gemini Apps Activity" ❌
⚠️ Quand ce réglage est désactivé, vos conversations ne sont plus sauvegardées ni utilisées pour améliorer les produits Google.
Étape 2 : Supprimer l'historique existant
- Sur la même page myactivity.google.com/product/gemini
- Cliquez sur "Supprimer" puis choisissez la période (dernière heure, dernier jour, toujours)
Étape 3 : Configurer la suppression automatique
- Dans les paramètres d'activité Gemini, cliquez sur "Suppression automatique"
- Choisissez 3 mois, 18 mois ou 36 mois de rétention maximum
- En contexte professionnel, sélectionnez 3 mois pour minimiser l'exposition
Même quand l'activité est désactivée, Google conserve vos conversations pendant 72 heures maximum pour des raisons de sécurité et de débogage. Durant cette période, des réviseurs humains peuvent y avoir accès. Ne saisissez donc jamais de données sensibles, même avec l'activité désactivée. Avec un compte Google Workspace (entreprise), vos données bénéficient de protections contractuelles supplémentaires.
📊 Récapitulatif — Paramètres à vérifier
| Paramètre | ChatGPT | Google Gemini |
|---|---|---|
| Désactiver l'entraînement | Settings → Data Controls → "Improve the model" → ❌ | myactivity.google.com → Gemini Activity → ❌ |
| Conversations temporaires | ✅ "Temporary Chat" (bouton en haut) | ❌ Pas d'équivalent direct |
| Supprimer l'historique | Settings → Data Controls → Delete All | myactivity.google.com → Supprimer |
| Suppression automatique | ❌ Pas disponible (suppression manuelle) | ✅ 3 / 18 / 36 mois configurable |
| Rétention après suppression | Jusqu'à 30 jours (politique OpenAI) | Jusqu'à 72 heures (+ possible revue humaine) |
| Version entreprise sécurisée | ChatGPT Team / Enterprise (données jamais utilisées) | Google Workspace avec Gemini (protections contractuelles) |
Mettre en place une veille réglementaire
La réglementation IA évolue rapidement. Voici comment rester à jour :
Cas pratique — Audit de vos usages IA
Mon entreprise (PME de 40 personnes, secteur immobilier) utilise :
- ChatGPT Plus pour rédiger des annonces immobilières et répondre aux emails clients
- Gemini pour analyser des documents juridiques (baux, compromis)
- MidJourney pour créer des visuels d'illustration
Réalise un audit rapide en identifiant :
1. Les risques potentiels (RGPD et IA Act) pour chaque usage
2. Les actions correctives prioritaires
3. Les bonnes pratiques déjà en place (si applicable)
Format : tableau avec colonnes (Usage | Risque identifié | Niveau | Action corrective)
Checklist de conformité IA
| ✅ Vérification | IA Act | RGPD |
|---|---|---|
| Les contenus générés par IA sont signalés | ✅ Obligatoire | — |
| Les données personnelles sont anonymisées avant usage IA | — | ✅ Obligatoire |
| Un humain valide les décisions basées sur l'IA | ✅ Risque élevé | ✅ Obligatoire |
| Les outils IA utilisés sont documentés (registre) | ✅ Obligatoire | ✅ Obligatoire |
| Les employés sont formés aux bonnes pratiques IA | ✅ Recommandé | ✅ Recommandé |
| Une charte IA interne est en place | ✅ Recommandé | ✅ Recommandé |
| Un DPO ou référent IA est désigné | ✅ Risque élevé | ✅ Obligatoire (+250 employés) |
| Une veille réglementaire est en place | ✅ Recommandé | ✅ Recommandé |
À retenir
- Les 5 règles d'or : déclarer, anonymiser, vérifier, documenter, supervision humaine
- Toute entreprise devrait avoir une charte IA interne
- L'IA elle-même peut vous aider à créer votre charte et auditer vos pratiques
- La CNIL et l'AI Office européen sont vos sources de référence
- La veille réglementaire est indispensable — la réglementation évolue vite
- Utilisez la checklist de conformité pour vérifier vos pratiques