La deadline du 2 août 2025 est passée. GPAI, documentation technique, gouvernance : checklist pragmatique pour mettre votre DSI en conformité immédiate.
Le couperet est tombé. Depuis le 2 août 2025, les obligations concernant les modèles d'IA à usage général (GPAI) et la gouvernance des systèmes d'IA en UE sont pleinement applicables.
Si vous pensiez que l'AI Act ne concernait que les GAFAM ou les systèmes "à haut risque" médicaux, vous faites erreur. La majorité des entreprises utilisant des systèmes RAG avancés ou du Fine-Tuning entrent dans des cases de régulation précises.
Chez Iskar.ai, nous avons passé l'été à auditer les architectures de nos clients. Voici les 3 points critiques où la plupart des DSI sont (encore) en défaut en ce mois de septembre.
1. La documentation technique des systèmes "GPAI"
Si vous avez intégré des modèles via API (OpenAI, Anthropic) ou hébergé du Mistral en local, vous êtes un "déployeur". Mais si vous avez fait du Fine-Tuning significatif sur des données propres, la frontière avec le "fournisseur" s'amincit.
Le point de vigilance : Avez-vous mis à jour votre registre des traitements IA ? Depuis août, vous devez être capables de fournir aux autorités compétentes (désignées cet été par les États membres) :
- La provenance des données d'entraînement/RAG.
- Les mesures de cybersécurité mises en place autour du modèle.
2. Transparence & Watermarking
L'article 50 est clair. Vos utilisateurs (employés ou clients) doivent savoir quand ils interagissent avec une IA.
- Chatbots RH : La mention "IA" doit être visible avant la première interaction.
- Génération de contenu : Si vous utilisez l'IA pour générer des rapports clients, un marquage (ou disclaimer) est obligatoire.
"L'excuse de 'c'est juste un outil interne' ne tient plus. Le droit des employés à la transparence est activé."
3. Copyright et Données d'Ingestion
C'est le sujet brûlant de la rentrée 2025. Avec les premiers recours collectifs lancés cet été contre des entreprises ayant "aspiré" des données web sans filtre, vous devez assainir vos bases de connaissances RAG.
- Vos PDFs internes contiennent-ils des ouvrages sous droits d'auteur achetés (normes ISO, rapports Gartner) ?
- Les ingérer dans un Vector Store sans licence spécifique est un risque juridique majeur aujourd'hui.
Conclusion : L'audit n'est pas une option
L'amende peut monter jusqu'à 3% du CA. Mais le vrai risque est réputationnel et opérationnel (arrêt forcé d'un service).
Nous ne sommes pas avocats, mais nous sommes des architectes IA "Compliance-by-Design". Nous construisons des systèmes qui tracent la donnée de A à Z.
Besoin d'un audit flash de vos systèmes IA ?
Sécurisez votre conformité AI Act maintenant.
