Août 2026. Aujourd'hui.
Les sanctions de l'EU AI Act entrent en application ce mois-ci. Jusqu'à 7 % du chiffre d'affaires mondial pour les manquements les plus graves. Le règlement UE 2024/1689 a été publié il y a deux ans. La majorité des entreprises françaises n'ont rien anticipé.
Pendant que les équipes communication écrivaient des chartes sur « l'IA responsable », pendant que les comités d'éthique s'écharpaient sur la philosophie des biais algorithmiques, le législateur européen, lui, a tranché. Le texte est sorti. Les sanctions tombent. Le débat moral n'a plus lieu. Il y a désormais un cahier des charges légal, et il s'applique.
Cet article est une mise au point. L'expression « IA responsable » telle qu'elle est utilisée dans 90 % des conférences B2B est devenue une incantation creuse. Pire : elle détourne l'attention des contraintes réelles. Ce qui est réel, ce sont des règlements, des sanctions, des audits. Ce qui est réel, ce sont des obligations opérationnelles que vous gérez exactement comme vous gérez votre conformité RGPD depuis 2018.
Le problème avec « IA responsable »
L'expression part d'une bonne intention. Personne ne dit le contraire. Les comités qui ont rédigé les premières chartes IA en 2023 voulaient encadrer un sujet flou, anticiper des dérives, donner du sens. Bonne intention, mauvais cadrage.
Mauvais cadrage parce qu'« IA responsable » est une formule de moralisation. Elle suggère qu'il existerait un débat ouvert, un arbitrage d'entreprise, une marge de discussion philosophique. Elle invite chaque organisation à définir « ses » principes. Elle laisse croire que la conformité serait un choix.
Pendant ce temps, le législateur a fait son travail. Le RGPD encadre depuis 2018 le traitement des données personnelles que vos modèles consomment. L'EU AI Act classifie les systèmes IA par niveau de risque et impose des obligations différenciées : interdiction pour les pratiques inacceptables, audit et documentation pour les systèmes à haut risque, transparence pour les IA génératives. La directive NIS2, transposée en France en octobre 2024, impose des obligations de cybersécurité à toutes les entités essentielles et importantes — vos systèmes IA en font partie. DORA s'applique au secteur financier depuis janvier 2025. MDR et IVDR encadrent les dispositifs médicaux. Les obligations sectorielles s'empilent.
Ce n'est plus une charte. C'est un cahier des charges. Et il a une date d'entrée en vigueur.
Ce qui est réel : le millefeuille réglementaire
Posons les bases. Pour une ETI française qui déploie de l'IA en 2026, le périmètre légal applicable se décompose ainsi.
RGPD. Vos modèles entraînés sur des données personnelles, vos prompts qui en contiennent, vos sorties qui en restituent — tout cela tombe sous le règlement 2016/679. Base légale, minimisation, conservation, droit d'accès, droit à l'effacement. La CNIL a publié en 2024 ses recommandations spécifiques IA. Sanction théorique : 4 % du CA mondial. Ce n'est pas hypothétique.
EU AI Act. Règlement UE 2024/1689. Publié en juillet 2024. Pratiques interdites applicables depuis février 2025. Sanctions opérationnelles depuis août 2026. Obligations pour les systèmes à haut risque (RH, crédit, santé, justice, infrastructures critiques, éducation, services publics) déployées progressivement. Sanction maximale : 7 % du CA mondial ou 35 millions d'euros, le plus élevé des deux.
NIS2. Directive UE 2022/2555. Transposée en France par la loi du 24 octobre 2024. Vos systèmes IA, dès qu'ils traitent des données critiques ou interagissent avec des services essentiels, entrent dans le périmètre. Gouvernance, gestion des incidents, supervision de la chaîne d'approvisionnement, notification sous 24h en cas d'incident significatif.
Sectoriel. DORA pour la finance (résilience opérationnelle numérique, applicable depuis janvier 2025). MDR et IVDR pour la santé (dispositifs médicaux et diagnostic in vitro). Code de la commande publique pour les marchés publics intégrant de l'IA. Réglementations métier dans le transport, l'énergie, la défense.
Vous n'avez pas le choix de « si ». Vous avez le choix de « quand » : maintenant, en avance de phase, sans pression — ou plus tard, en urgence, sous contrôle d'un régulateur.
Le coût de l'inaction
Trois coûts à intégrer dans la décision.
Le premier est le coût de sanction directe. 7 % du CA mondial pour les manquements graves à l'EU AI Act. Pour une ETI qui fait 80 millions d'euros, on parle de 5,6 millions d'euros. Pour un groupe milliardaire, on parle de centaines de millions. Ce n'est plus une amende symbolique, c'est un risque P&L.
Le deuxième est le coût de retrait produit. Un système IA non conforme à l'EU AI Act peut être interdit de mise sur le marché européen. Si votre roadmap produit dépend d'un modèle entraîné sans documentation conforme, hébergé hors UE sans transferts sécurisés, sans audit trail, vous prenez un risque de devoir tout refaire — sous pression — pour ne pas perdre votre licence d'opérer.
Le troisième est le coût de réputation et de contentieux. Une décision algorithmique discriminatoire qui passe en justice, c'est désormais une procédure qui se nourrit du règlement européen comme arme. Les avocats ont leurs outils. Les associations de consommateurs aussi.
Comment The Shift traite la conformité en natif
Notre conviction de cabinet est simple : la conformité IA n'est pas un sujet qu'on traite à la fin, en couche de vernis juridique. C'est une contrainte d'architecture qu'on intègre dès le premier sprint.
Concrètement, sur tous nos déploiements, nous appliquons quatre principes opérationnels.
Hébergement Europe par défaut. Nos produits — Jarvis, Donna — tournent sur infrastructures européennes. Pas par dogme souverainiste. Par calcul de risque réglementaire : pas de transferts internationaux à documenter, pas de clauses contractuelles types à renégocier tous les six mois, pas d'incertitude post-Schrems. Le sujet est tranché à l'architecture.
Traçabilité des prompts et audit trail. Chaque interaction avec un modèle est journalisée : qui a demandé quoi, quand, quel modèle a répondu, quelle donnée d'entrée a été utilisée. C'est une exigence EU AI Act pour les systèmes à haut risque. Nous le faisons par défaut, même pour les usages classés en risque limité. Parce que le coût marginal de la traçabilité est faible et que la valeur défensive est élevée.
Documentation modèle vivante. Pour les systèmes qui le justifient, nous maintenons une fiche modèle conforme aux exigences de l'annexe IV du règlement : description du système, finalité, jeux d'entraînement, métriques d'évaluation, limites connues, procédures de supervision humaine. Pas un document de conformité mort dans un drive, un livrable opérationnel mis à jour à chaque release.
Formation Qualiopi. Notre catalogue de formation IA est certifié Qualiopi. Ce n'est pas un argument marketing. C'est un signal : nos processus pédagogiques sont audités, nos contenus sont tracés, nos évaluations sont documentées. Quand vos collaborateurs sortent d'une de nos formations, vous avez les preuves d'audit que la montée en compétence a eu lieu.
La preuve par MFA et Expert-Flow.ai
Deux cas d'école illustrent cette approche.
MFA opère dans un secteur du matériel professionnel régulé, avec un service après-vente où chaque réponse client engage une responsabilité contractuelle et parfois sécuritaire. Quand nous avons déployé un agent SAV IA, la question n'était pas « est-ce moralement responsable ». La question était : comment garantir que chaque réponse de l'agent est traçable, conforme à la documentation produit officielle, et auditable si un litige émerge. Réponse : architecture RAG sur base documentaire interne, validation humaine sur les réponses à enjeu, journal complet des interactions. La conformité n'est pas une couche, c'est le design.
Expert-Flow.ai intervient sur des dossiers en lien avec l'écosystème judiciaire — secret professionnel, données ultra-sensibles, exigences déontologiques fortes. Le RGPD ne suffit pas : il y a le secret professionnel de l'avocat, les règles du Conseil National des Barreaux, les obligations de confidentialité des magistrats. Nous avons conçu le produit en partant des contraintes réglementaires les plus exigeantes et en faisant descendre ce niveau d'exigence comme standard. Résultat : un produit utilisable dans un secteur où la moindre fuite tue la confiance.
Dans les deux cas, la conformité n'a pas freiné le produit. Elle l'a rendu déployable.
Pourquoi la conformité est un avantage compétitif
Reprenons les chiffres McKinsey de novembre 2025. 88 % d'adoption IA dans les entreprises. 94 % sans valeur significative. 6 % de high performers qui capturent tout. Pourquoi ce gouffre ?
Parce que la majorité des projets IA se vautrent au moment du passage à l'échelle. Le POC marchait. La mise en production révèle que les données utilisées violent le RGPD, que le modèle hébergé chez un fournisseur US ne survit pas à une analyse de transferts internationaux, que l'absence d'audit trail empêche de répondre à une demande CNIL, que le système relève de la classe « haut risque » de l'EU AI Act et qu'aucune documentation n'a été produite. Le projet s'enlise. Il finit en démo Vinci.
Celui qui a traité la conformité en amont, à l'architecture, ne rencontre pas ce mur. Son POC peut devenir production. Sa production peut devenir scale. Son scale peut devenir industrialisation.
La conformité n'est pas un coût. C'est ce qui permet à votre projet IA d'exister au-delà du POC. Dans un marché où 94 % des projets meurent au passage à l'échelle, celui qui a intégré la contrainte légale dès le départ prend une avance structurelle.
Cessez de débattre. Commencez à exécuter.
Cessez de réunir des comités d'éthique IA qui produisent des chartes que personne ne lit. Cessez de débattre du « bon usage » de l'IA en interne pendant que vos concurrents documentent leurs systèmes pour l'audit. Cessez de confondre la posture morale et la conformité opérationnelle. Cessez de croire que « faire preuve de bon sens » suffira face à un régulateur.
Cessez de penser conformité. Commencez à l'exécuter.
Listez vos systèmes IA. Classifiez-les selon les catégories de risque de l'EU AI Act. Documentez les jeux de données et les finalités au sens RGPD. Cartographiez vos sous-traitants et vos transferts hors UE. Mettez en place un audit trail. Formez vos équipes. Faites-le maintenant, pas en septembre 2027 quand la CNIL ou l'autorité nationale compétente vous adressera une demande.
Chez The Shift AI, nous accompagnons les directions générales d'ETI sur le double volet stratégie IA et conformité réglementaire. Nos cas d'école — MFA, Expert-Flow.ai et les autres — démontrent qu'on peut être ambitieux et conforme, rapide et auditable, performant et défendable.
Dans cinq ans, votre entreprise sera AI Driven. Ou elle ne sera plus. Et celle qui sera AI Driven sera conforme. Pas par moralisation. Par survie opérationnelle.
Réservez un audit conformité IA gratuit de 45 minutes pour cartographier vos systèmes face aux exigences EU AI Act, RGPD et NIS2.
