AI Act : pourquoi les DSI ne doivent plus parier sur un report

Thierry Derouet - ITForBusiness - 07/05
Le report des obligations de l’AI Act n’est pas acquis. Les sanctions sont prévues, même si le dispositif français de contrôle reste encore en

Le report des obligations de l’AI Act n’est pas acquis. Les sanctions sont prévues, même si le dispositif français de contrôle reste encore en construction. Pour les DSI, l’urgence n’est donc pas d’attendre Bruxelles, mais de reprendre la main : retrouver les usages d’IA déjà présents dans le SI, qualifier les risques, documenter les contrôles et organiser la preuve.

Il y a des étés où les DSI aimeraient que Bruxelles regarde ailleurs. Celui qui arrive ne s’annonce pas vraiment comme une parenthèse. À peine les équipes ont-elles commencé à digérer la réforme de la facture électronique, avec ses impacts sur les ERP, les flux achats, la comptabilité, les plateformes partenaires et les référentiels fournisseurs, qu’un autre chantier vient frapper à la porte : l’AI Act.

Ce n’est d’ailleurs pas le premier texte à venir se glisser dans l’agenda des directions numériques. IT for Business l’a déjà documenté : la conformité du SI devient un empilement continu – RGPD, NIS2, DORA, CRA, CSRD, facture électronique, AI Act – au point que la question n’est plus seulement de respecter les textes, mais de construire une organisation capable d’absorber leur rythme. À ce titre, l’AI Act arrive dans une pile réglementaire déjà haute, où chaque nouvelle obligation demande à la DSI de traduire le droit en architecture, en processus et en preuves.

La tentation était grande, ces derniers mois, de compter sur un répit. Le Digital Omnibus, paquet européen de simplification numérique, devait alléger et repousser certaines obligations liées aux systèmes d’IA à haut risque. Mais le 28 avril dernier, les négociations entre le Conseil et le Parlement européen ont échoué. Le report n’est pas mort. Il n’est simplement pas voté. Et pour une DSI, cette nuance change tout.

Car un calendrier politique n’est pas un plan projet. Tant qu’un report n’est pas adopté, le 2 août 2026 reste la date à piloter. Autrement dit : les entreprises qui attendaient un délai doivent désormais considérer qu’elles n’en ont plus.

L’AI Act n’est pas un dossier juridique de plus

Le piège serait de ranger l’AI Act à côté des textes que l’entreprise confie au juridique, au DPO ou à la conformité. Ce serait rassurant. Ce serait aussi faux.

Le RGPD avait appris aux organisations à se demander où étaient les données personnelles, qui les traitait, pourquoi, pendant combien de temps et sur quelle base légale. L’AI Act impose une question plus dérangeante : où l’IA agit-elle déjà dans l’entreprise ?

Pas seulement où elle est déclarée. Pas seulement où elle a été présentée au Comex avec une jolie feuille de route “IA générative”. Mais où elle trie, résume, recommande, classe, priorise, évalue, détecte, automatise ou influence une...
[Courte citation de 8% de l'article original]

Loading...