AI Act : déployer des systèmes IA conformes en entreprise — le guide ingénieur
L'AI Act n'est pas qu'un sujet juridique. Traçabilité, documentation technique, observabilité, supervision humaine : voici ce que vos équipes doivent réellement implémenter pour déployer de l'IA conforme. Calendrier 2025-2027, obligations par niveau de risque, et architecture de conformité.
L'AI Act est traité partout comme un sujet de juristes. C'est une erreur. La conformité au règlement européen sur l'IA se joue à 80 % dans le code, l'architecture et l'observabilité de vos systèmes — pas dans une note juridique.
Documentation technique, traçabilité des décisions, supervision humaine, gestion des données d'entraînement, monitoring en production : ce sont des obligations d'ingénierie. Et c'est précisément là que la plupart des entreprises sont en retard.
Ce guide s'adresse aux CTO, DSI, architectes et responsables IA qui doivent déployer des systèmes d'intelligence artificielle et rester conformes. On laisse le détail juridique aux avocats : ici, on parle de ce qu'il faut concrètement construire.
⚠️ Cet article fournit un cadre technique, pas un conseil juridique. Pour la qualification réglementaire de vos systèmes, faites-vous accompagner par un juriste spécialisé.
Le calendrier réel (et le piège des dates qui bougent)
Le règlement UE 2024/1689 — l'AI Act — est entré en vigueur le 1er août 2024. Son application est progressive :
| Date | Ce qui s'applique |
|---|---|
| 2 février 2025 | Interdiction des pratiques à risque inacceptable : notation sociale, manipulation comportementale, identification biométrique temps réel dans l'espace public (sauf exceptions). |
| 2 août 2025 | Obligations pour les modèles à usage général (GPAI) : GPT, Claude, Mistral, Gemini. Transparence sur les données d'entraînement, respect du droit d'auteur, évaluation des risques systémiques. |
| 2 décembre 2027 | Obligations pour les systèmes à haut risque (annexe III : RH, crédit, santé, éducation, justice, biométrie) — reportées de la date initiale d'août 2026 selon l'accord politique provisoire du 7 mai 2026. |
Le piège : ce report d'août 2026 à décembre 2027 a donné à beaucoup d'entreprises un faux sentiment de répit. Or :
- Le report n'est pas encore formellement adopté au moment où nous écrivons — il reste provisoire.
- Les obligations GPAI sont déjà en vigueur depuis août 2025. Si vous intégrez Claude, GPT ou Mistral dans vos produits, vous êtes concerné aujourd'hui.
- Construire la traçabilité et l'observabilité après coup coûte 5 à 10× plus cher que de les intégrer dès la conception. Attendre 2027 pour s'y mettre, c'est se condamner à un chantier de mise en conformité dans l'urgence.
Les sanctions ne sont pas symboliques : jusqu'à 35 millions d'euros ou 7 % du chiffre d'affaires mondial pour les manquements les plus graves.
Les 4 niveaux de risque — et ce qu'ils impliquent techniquement
L'AI Act classe les systèmes en quatre catégories. Votre première tâche d'ingénierie : qualifier chacun de vos systèmes IA dans la bonne catégorie, car les obligations en découlent.
Risque inacceptable — interdit
Notation sociale, manipulation, biométrie de masse. Si votre cas d'usage tombe ici, il est tout simplement illégal. Action : ne pas construire.
Haut risque — le gros des obligations
Systèmes utilisés dans le recrutement, le scoring de crédit, la santé, l'éducation, la justice, l'accès aux services essentiels. C'est là que se concentrent les exigences lourdes (voir section suivante). Beaucoup d'entreprises sous-estiment qu'un simple outil de tri de CV ou de scoring de leads peut basculer en haut risque.
Risque limité — transparence
Chatbots, systèmes génératifs, deepfakes. Obligation principale : informer l'utilisateur qu'il interagit avec une IA, et marquer les contenus générés. Techniquement léger mais à ne pas oublier (bannière, watermarking, métadonnées).
Risque minimal — libre
La majorité des cas d'usage (filtres anti-spam, recommandation produit). Aucune obligation spécifique, mais les bonnes pratiques restent recommandées.
Ce qu'il faut réellement implémenter pour un système à haut risque
Voici la traduction technique des obligations de l'annexe III. C'est votre checklist d'architecture.
1. Système de gestion des risques (continu)
Pas un document figé : un processus. Identification, évaluation et mitigation des risques tout au long du cycle de vie. Concrètement : un registre des risques versionné, mis à jour à chaque évolution du modèle, avec les mesures de mitigation associées.
2. Gouvernance des données
Traçabilité complète des jeux de données : provenance, qualité, biais, représentativité. Vous devez pouvoir répondre à « avec quoi ce modèle a-t-il été entraîné/fine-tuné, et ces données sont-elles biaisées ? ». Implique : data lineage, versioning des datasets (DVC, LakeFS), documentation des sources, tests de biais.
3. Documentation technique
Une documentation détaillée du système : architecture, choix de conception, performances, limites. Doit être maintenue à jour et fournie aux autorités sur demande. Le bon réflexe : générer cette doc depuis le code et les pipelines, pas dans un Word qui pourrit.
4. Traçabilité & journalisation (logging)
Le système doit enregistrer automatiquement les événements (logs) pour permettre la traçabilité des décisions. Chaque inférence à enjeu doit être reconstituable : quelle entrée, quel modèle, quelle version, quelle sortie, quel raisonnement. C'est de l'observabilité au sens strict — voir notre guide LLMOps.
5. Supervision humaine (human oversight)
Un humain doit pouvoir comprendre, superviser et le cas échéant outrepasser la décision de l'IA. Techniquement : human-in-the-loop sur les actions à fort impact, interfaces de revue, mécanismes de override, escalade. Pour les agents IA, c'est un point d'architecture central — on en parle dans notre guide agentic workflow.
6. Exactitude, robustesse, cybersécurité
Niveaux appropriés de précision, résilience aux erreurs et aux attaques (prompt injection, data poisoning). Implique : évaluation continue, tests adversariaux, guardrails, monitoring de drift.
L'architecture de conformité : 5 briques techniques
La bonne nouvelle : si vous faites du MLOps/LLMOps sérieux, vous avez déjà 70 % de l'AI Act. La conformité n'est pas une couche en plus, c'est une conséquence d'une ingénierie IA mature.
┌─────────────────────────────────────────────────────┐
│ Système IA en production │
└───────────────────────┬─────────────────────────────┘
│
┌───────────────┼───────────────┐
▼ ▼ ▼
┌──────────┐ ┌──────────┐ ┌──────────────┐
│ Data │ │ Observ- │ │ Human-in- │
│ Lineage │ │ abilité │ │ the-loop │
│ (DVC) │ │(LangFuse)│ │ (override) │
└──────────┘ └──────────┘ └──────────────┘
│ │ │
▼ ▼ ▼
┌──────────┐ ┌──────────────────────────────┐
│ Éval & │ │ Registre de risques + │
│ tests │ │ doc technique auto-générée │
│ (RAGAS) │ │ │
└──────────┘ └──────────────────────────────┘Brique 1 — Data lineage. Versioning des datasets et traçabilité des sources (DVC, LakeFS). Répond aux obligations de gouvernance des données.
Brique 2 — Observabilité. Chaque inférence tracée : input, version de modèle, prompt, sortie, coût, latence. LangFuse ou LangSmith. Répond à la journalisation et à la traçabilité des décisions.
Brique 3 — Évaluation continue. Mesure de la qualité (faithfulness, answer relevancy, context recall pour le RAG) avec RAGAS/promptfoo, détection de drift. Répond à l'exactitude et à la robustesse.
Brique 4 — Human-in-the-loop. Points de contrôle humains sur les décisions à enjeu, mécanismes d'override. Répond à la supervision humaine.
Brique 5 — Documentation auto-générée. Doc technique produite depuis les pipelines et le code, registre de risques versionné. Répond à la documentation technique.
Les erreurs qu'on voit le plus souvent
1. « On verra ça en 2027. » Le report ne concerne que le haut risque, il est provisoire, et la dette technique de conformité se construit dès aujourd'hui. Les obligations GPAI sont déjà actives.
2. Traiter la conformité comme un projet juridique isolé. Sans les équipes techniques, vous produisez des documents déconnectés des systèmes réels. La conformité AI Act est un sujet d'ingénierie d'abord.
3. Sous-qualifier ses systèmes. « Notre outil de tri de candidatures n'est pas du haut risque » — si, probablement. Une mauvaise qualification expose aux sanctions maximales.
4. Vouloir tout documenter à la main. La doc et les logs doivent être générés par les pipelines. Sinon ils sont obsolètes le lendemain et inexploitables en audit.
5. Oublier les modèles tiers. Intégrer Claude ou GPT ne vous décharge pas : vous restez responsable du système que vous déployez par-dessus.
Pourquoi Origin 137 pour votre conformité AI Act
La conformité AI Act se construit dans vos systèmes, pas dans des slides. C'est exactement notre métier.
Origin 137 est une ESN IA française. Notre modèle : des [Forward Deployed Engineers](/forward-deployed-engineers) — des ingénieurs IA seniors embarqués en régie directement dans vos équipes. Ils ne livrent pas un audit PowerPoint : ils implémentent l'observabilité, la traçabilité, le human-in-the-loop et la gouvernance des données dans votre codebase.
Ce qu'on met en place concrètement :
- Stack d'observabilité IA (LangFuse) avec traçabilité complète des inférences
- Pipelines d'évaluation continue (RAGAS, promptfoo) et détection de drift
- Data lineage et versioning des datasets
- Architecture human-in-the-loop pour vos agents IA
- Documentation technique auto-générée et registre de risques
Le tout en transférant les compétences à vos équipes — pour que la conformité ne dépende pas d'un prestataire externe à vie.
Nous l'avons déjà déployé, notamment pour une ETI du secteur financier sur des problématiques de compliance.
Notre approche en 3 temps
- Cartographie & qualification : inventaire de vos systèmes IA, qualification par niveau de risque, identification des écarts. (Stratégie IA)
- Implémentation : mise en place des briques techniques de conformité dans vos systèmes existants. (MLOps / LLMOps)
- Industrialisation & transfert : automatisation de la doc/des logs, formation de vos équipes, autonomie.
Prochaines étapes
L'AI Act n'est pas une contrainte à subir en 2027 — c'est un standard d'ingénierie à intégrer maintenant, qui se confond largement avec les bonnes pratiques MLOps/LLMOps. Les entreprises qui s'y mettent tôt déploieront de l'IA plus fiable, plus observable et plus défendable.
- Inventoriez vos systèmes IA et qualifiez-les par niveau de risque
- Auditez votre stack d'observabilité actuelle : pouvez-vous reconstituer une décision IA prise il y a 3 mois ?
- Priorisez les systèmes à enjeu (RH, crédit, santé) pour l'implémentation des briques de conformité
Réservez un appel découverte de 30 minutes — on cartographie ensemble vos systèmes IA et on identifie les écarts de conformité technique, sans engagement.
*Cet article est rédigé par les ingénieurs d'Origin 137, ESN IA française spécialisée. Nos Forward Deployed Engineers implémentent la conformité technique (observabilité, traçabilité, gouvernance des données, human-in-the-loop) directement dans les systèmes IA de nos clients ETI et grands groupes.*
Liens utiles :
- Guide LLMOps — Observabilité et industrialisation des LLM
- Guide agentic workflow — Architecture des agents IA (et human-in-the-loop)
- Expertise MLOps — Pipelines, monitoring, gouvernance
- Stratégie IA — Cartographie et roadmap
- Cas ETI Finance — Compliance
Parlons de votre projet
Vous chiffrez un projet IA ?
Recevez une estimation adaptée à votre contexte — périmètre, stack, profils, budget. Appel de 30 min, gratuit, sans engagement.
Demander une estimationNEWSLETTER
Vous avez aimé cet article ?
Un email par mois avec nos meilleurs articles et retours de mission.
Appel de 30 min → Audit gratuit → Proposition sous 24 heures.