Skip to content
Business et gouvernance

Agents IA et règlement européen sur l'IA : ce que les entreprises doivent savoir

Orange ITS — Équipe d’ingénierie IA 10 min de lecture

La plupart des commentaires sur le règlement européen sur l’IA se concentrent sur les fournisseurs de modèles fondamentaux et les grandes entreprises technologiques. Cette lecture a conduit de nombreux dirigeants de PME et responsables opérationnels à classer le sujet sous “pas notre problème” — puis à continuer de concevoir ou d’acheter des agents IA sans y accorder une seconde pensée.

C’est une erreur qu’il vaut mieux corriger avant qu’elle ne coûte cher.

Le règlement européen sur l’IA s’applique à toute organisation qui déploie un système d’IA dans l’UE ou dans des contextes qui affectent des personnes dans l’UE. Cela inclut une entreprise suisse utilisant un agent IA pour trier des candidatures, un commerce utilisant l’IA pour les interactions clients, ou une société logistique dont le système d’IA influence des décisions de routage affectant des salariés. Si vous déployez des agents IA — ou si vous envisagez de le faire — le règlement vous concerne déjà.

Cet article traduit le cadre de risque du règlement en un arbre décisionnel pratique : quels cas d’usage des agents sont concernés, ce que la conformité exige réellement en pratique, et à quel moment les obligations s’appliquent.

Pourquoi “agent IA” et “système d’IA” ne sont pas la même chose au regard du règlement

Le règlement européen sur l’IA emploie le terme système d’IA, défini au sens large comme un système basé sur des machines qui, à partir d’entrées, déduit comment générer des sorties telles que des contenus, des décisions, des recommandations ou des prévisions. Un agent IA — un système qui perçoit son environnement, prend des décisions et effectue des actions pour atteindre des objectifs — s’inscrit pleinement dans cette définition.

Ce qui importe pour la conformité, ce n’est pas l’étiquette que vous apposez sur le système. C’est ce que le système fait et qui il affecte. Un chatbot qui répond à des questions fréquentes occupe une position réglementaire différente d’un agent qui évalue des demandes de crédit, analyse des candidats ou surveille les performances des employés. Même architecture ; profils de conformité entièrement différents. Comprendre la différence commence par les quatre catégories de risque du règlement.

Les quatre niveaux de risque — et où se situent les agents IA

Risque inacceptable : interdiction totale

Il s’agit des systèmes que le règlement interdit entièrement : la notation sociale par les gouvernements, la surveillance biométrique en temps réel dans les espaces publics, les systèmes qui exploitent des vulnérabilités pour manipuler les comportements. Très peu de déploiements commerciaux d’agents s’approchent de ce niveau. Si le vôtre le fait, vous avez des problèmes bien plus sérieux que la conformité.

Risque élevé : obligations significatives

C’est là que le poids du règlement se fait le plus sentir — et là où de nombreuses entreprises sont surprises de découvrir que leurs agents se situent.

Les systèmes d’IA à risque élevé comprennent ceux utilisés dans :

  • L’emploi et les RH : recrutement, présélection, promotion, suivi des performances, affectation des tâches
  • L’éducation : décisions d’admission, évaluation des résultats d’apprentissage
  • L’accès aux services essentiels : scoring de crédit, évaluation du risque d’assurance, éligibilité aux prestations
  • Les infrastructures critiques : systèmes affectant les utilities, l’eau, les transports
  • Les forces de l’ordre et la justice : police prédictive, évaluation des preuves, aide à la détermination des peines
  • La migration : contrôle aux frontières, traitement des demandes d’asile

Si votre agent IA opère dans l’un de ces domaines — même comme outil d’appui, et non comme décideur final — il sera vraisemblablement qualifié à risque élevé.

Ce que la conformité à haut risque exige concrètement :

  1. Système de gestion des risques : processus documenté et continu d’identification et d’atténuation des risques tout au long du cycle de vie
  2. Gouvernance des données : jeux de données d’entraînement, de validation et de test respectant des normes de qualité et de représentativité
  3. Documentation technique : un registre du design, des capacités et des limites suffisant pour un examen réglementaire
  4. Transparence et supervision humaine : les utilisateurs doivent savoir qu’ils interagissent avec un système d’IA ; une supervision humaine significative doit être intégrée avant les décisions à fort enjeu
  5. Exactitude, robustesse et cybersécurité : performances constantes et protection contre les interférences adversariales
  6. Enregistrement : l’inscription dans la base de données IA de l’UE (Article 71) est requise avant le déploiement des systèmes à risque élevé de l’Annexe III. Selon le texte original, cela s’appliquait à partir d’août 2026 ; l’accord politique provisoire “Digital Omnibus” du 7 mai 2026 propose un report au 2 décembre 2027, dans l’attente de la publication formelle au Journal officiel

Risque limité : obligations de transparence

Ce niveau couvre les systèmes présentant des risques d’interaction plus circonscrits — principalement les chatbots et les IA qui génèrent des contenus synthétiques. L’obligation principale est la divulgation : les utilisateurs doivent savoir qu’ils interagissent avec un système d’IA et non avec un être humain. Un agent gérant des conversations de service client, des confirmations de réservation ou des demandes d’assistance entre dans cette catégorie s’il ne prend pas de décisions à fort enjeu sur des individus.

De nombreux agents IA orientés client développés par des PME se retrouvent dans ce niveau. La charge de conformité est faible, mais l’obligation de divulgation n’est pas facultative.

Risque minimal : aucune obligation spécifique

Filtres anti-spam, playlists recommandées par l’IA, outils basiques d’optimisation de contenu. Ces systèmes sont hors du champ des exigences de conformité substantielles, même si la responsabilité générale du produit et le droit de la protection des consommateurs continuent de s’appliquer.

Un arbre décisionnel pratique pour vos cas d’usage

Soumettez chacun de vos agents déployés ou planifiés à ces quatre questions :

1. L’agent prend-il des décisions concernant des personnes physiques ou y contribue-t-il de manière significative ? Si oui, continuez. Si non (par exemple, traitement interne de données, automatisation de système à système sans impact humain), le niveau de risque est probablement minimal.

2. Ces décisions concernent-elles l’emploi, le crédit, les services essentiels, l’éducation ou les forces de l’ordre ? Si oui, il s’agit presque certainement d’un système à risque élevé. Commencez dès maintenant les exigences de documentation et de supervision.

3. L’agent interagit-il directement avec des personnes de manière semblable à l’humain (texte, voix) ? Si oui et qu’il ne s’agit pas d’un risque élevé, vous êtes dans le niveau de risque limité. Vous devez prévoir une divulgation claire et immédiate indiquant aux utilisateurs qu’ils s’adressent à une IA.

4. L’agent est-il suffisamment autonome pour prendre des mesures conséquentes sans revue humaine ? Même si le cas d’usage ne relève pas d’une catégorie nommée à risque élevé, l’autonomie agentique — en particulier dans les workflows agentiques qui enchaînent plusieurs décisions — peut attirer l’attention des régulateurs. Plus les actions sont conséquentes et irréversibles, plus vous devriez traiter le système comme s’il était à risque élevé du point de vue de la gouvernance, indépendamment de la classification formelle.

Calendrier : quand les obligations s’appliquent-elles ?

Le règlement européen sur l’IA est entré en vigueur en août 2024 et se déploie par phases :

  • Pratiques interdites : interdites depuis février 2025
  • Modèles GPAI et obligations générales : depuis août 2025
  • Systèmes à risque élevé (Annexe I — secteurs réglementés) : selon le texte original, les exigences s’appliquent à partir d’août 2026 ; un accord politique provisoire du 7 mai 2026 (le “Digital Omnibus”) propose un report au 2 août 2028, dans l’attente de la publication formelle au Journal officiel
  • Systèmes à risque élevé (Annexe III — emploi, éducation, services) : selon le texte original, à partir d’août 2026 ; l’accord provisoire Digital Omnibus propose un report au 2 décembre 2027, dans l’attente de la publication formelle au Journal officiel — voir le calendrier de mise en œuvre de l’AI Act pour l’état actuel
  • Obligations de transparence (Article 50 — divulgation risque limité) : août 2026, inchangé — l’Omnibus ne reporte pas ces obligations
  • Application complète : août 2026 reste la date de référence opérationnelle pour les obligations de transparence et de gouvernance ; les obligations à risque élevé de l’Annexe III sont reportées au 2 décembre 2027 et celles de l’Annexe I pour les produits intégrés au 2 août 2028 selon l’accord provisoire, dans l’attente de l’adoption formelle

Jusqu’à la publication formelle du Digital Omnibus au Journal officiel, août 2026 reste la date légalement opposable pour les systèmes à risque élevé. En pratique, le report est largement attendu avant cette date.

Pour la plupart des PME déployant des agents IA, les obligations de transparence (août 2026) sont immédiates, tandis que les délais de conformité à risque élevé s’allongent désormais considérablement — mais cela ne réduit pas l’intérêt de commencer tôt les travaux de mise en conformité. La documentation, les processus de gestion des risques et les mécanismes de supervision prennent du temps à construire correctement.

Traitez la conformité comme une exigence à intégrer lors de la conception, et non comme un ajout tardif après le déploiement. Les organisations qui le font maintenant seront dans une position fondamentalement meilleure.

Ce que le règlement N’exige PAS (dissiper les idées reçues)

Il n’interdit pas l’IA dans les RH. Un agent IA qui présélectionne des candidats ou planifie des entretiens n’est pas interdit — il est réglementé. Avec la supervision, la documentation et la divulgation appropriées, l’automatisation RH reste tout à fait viable.

Il ne nécessite pas d’approbation européenne avant le déploiement. Il n’existe pas d’autorité d’autorisation préalable à la mise sur le marché, comme c’est le cas pour les médicaments. Le modèle se rapproche plutôt de la responsabilité du fait des produits : vous êtes responsable du système que vous mettez en service.

Il ne s’applique pas uniquement aux entreprises IA. Si vous êtes un fabricant suisse qui déploie un agent surveillant la production de ses salariés, vous êtes le “déployeur” au sens du règlement — et les obligations vous incombent, pas seulement à l’entreprise qui a développé le modèle sous-jacent.

Il n’exige pas une IA parfaite. Le règlement exige une diligence raisonnable démontrée : évaluation des risques documentée, tests, supervision humaine et divulgation précise. Une imperfection raisonnable dans un système bien gouverné est une position très différente d’un déploiement non documenté.

Ce que les entreprises suisses doivent particulièrement surveiller

La Suisse n’est pas membre de l’UE, mais le règlement sur l’IA s’applique aux organisations dont les systèmes d’IA ont des effets sur des personnes dans l’UE. Une entreprise suisse ayant des clients, des salariés ou des services à destination de l’UE doit prendre le règlement au sérieux.

La Suisse dispose également de ses propres obligations en matière de protection des données au titre de la nLPD (nouvelle Loi sur la protection des données / nDSG), qui interagit avec la manière dont les agents IA traitent les données personnelles. Les deux cadres sont complémentaires, mais non identiques — consultez Agents IA et protection des données suisse : la nLPD en pratique pour les détails.

Pour les entreprises opérant dans les deux contextes, construire une architecture de conformité unique satisfaisant les deux cadres est presque toujours plus efficace que de gérer deux chantiers parallèles.

La conformité à risque élevé est un problème d’ingénierie, pas seulement de politique

La plupart des exigences à risque élevé du règlement européen sur l’IA ne sont pas de simples exercices de cases à cocher. Elles nécessitent des décisions prises lors de la conception du système : comment les mécanismes de supervision sont intégrés, comment la qualité des données est surveillée, comment la journalisation soutient l’auditabilité. On ne peut pas greffer a posteriori une exigence significative de supervision humaine sur un agent conçu pour agir de manière autonome sur des décisions d’emploi — il faut reconcevoir l’agent.

C’est pourquoi la gouvernance des agents IA ne peut pas être une réflexion après coup. Les organisations qui gèrent cela correctement traitent les exigences de conformité comme des contraintes de conception dès le premier jour, au même titre que la sécurité et les performances.

Par où commencer si vous ne savez pas où vous en êtes

Si vous avez des agents IA en production — ou si vous travaillez dans cette direction — commencez par cartographier chaque système en fonction du niveau de risque qu’il occupe le plus probablement. Pour la plupart des PME, c’est un exercice d’une demi-journée avec le bon accompagnement, qui répond à trois questions :

  • Certains de nos agents actuels ou planifiés sont-ils à risque élevé ?
  • Que devons-nous documenter, et pour quand ?
  • Quels systèmes nécessitent des mécanismes de supervision humaine, et comment doivent-ils fonctionner ?

Si vous avez besoin d’aide pour cet exercice de classification, notre équipe Stratégie IA réalise des évaluations structurées précisément à cet effet. Vous pouvez également découvrir comment la conformité s’articule avec votre posture globale de sécurité des agents dans notre article sur les risques de sécurité des agents IA.

Vous souhaitez comprendre où se situent vos agents IA au regard du règlement européen ? Réservez un appel de cadrage de 30 minutes avec Orange ITS — nous cartographions vos cas d’usage selon les niveaux de risque et vous donnons une vision claire de ce qui est requis et quand.

Insights liés

Tester les agents IA : comment les evals garantissent une automatisation fiable

Lire l’article

Gouvernance des agents IA : guide pratique pour les PME

Lire l’article

Du pilot à la flotte : gérer les agents IA en production

Lire l’article
Insights

Passez de l’idée à l’action

Un appel de 30 minutes suffit pour savoir si un agent IA s’intègre à votre flux de travail — et ce qu’il rapporterait.

Réserver un appel découverte