IA générative : on s'émerveille… mais qui se conforme ?

Depuis le 2 août 2025, l'AI Act est officiellement entré en application pour les IA génératives. Et pourtant, dans l'écosystème tech, l'anticipation reste insuffisante. L'euphorie continue : on teste, on code, on produit, on pitche. Mais pendant ce temps, la première régulation contraignante de l'histoire de l'intelligence artificielle s'applique déjà.Une tribune proposée par Arnaud Touati, avocat en droit du numérique, dans le cadre de notre opération "Tribunes d'été".

Temps de lecture : 3 minutes

L'IA générative a conquis le monde en quelques mois. Elle écrit, résume, code, conçoit. Des milliers de projets ont vu le jour depuis fin 2022. Selon McKinsey, 71 % des entreprises l'utilisent déjà en 2024. Mais combien d'entre elles ont intégré la conformité juridique dans leur roadmap produit ? Très peu. Et c'est là que le bât blesse.

L'AI Act n'est plus un texte abstrait. Depuis le 2 août, les éditeurs et intégrateurs d'IA générative doivent documenter leurs systèmes, informer les utilisateurs, respecter les droits d'auteur, garantir la transparence, et surtout prouver qu'ils maîtrisent les risques. Ce n'est pas une option. C'est un prérequis.
Et ça ne touche pas que les géants de la tech. Toutes les startups qui exploitent ou intègrent de l'IA générative sont concernées. Que ce soit pour répondre à un appel d'offres, négocier un contrat, lever des fonds ou rassurer un partenaire, elles devront justifier leur conformité. Les investisseurs ne s'y tromperont pas. Les clients non plus.

Des outils d'accompagnement existent, mais l'anticipation reste clé

Il faut reconnaître que la Commission européenne a publié en juillet 2025 un Code de bonnes pratiques et des lignes directrices pour accompagner les fournisseurs d'IA générative. Des outils de vérification de conformité sont également disponibles. Certaines entreprises européennes ont d'ailleurs exprimé leurs préoccupations, demandant des délais supplémentaires face à la complexité du texte.

Mais ces ressources, aussi utiles soient-elles, ne dispensent pas d'une préparation rigoureuse. Le problème, c'est que la plupart des acteurs n'ont pas anticipé. Et croire qu'on pourra rattraper ça au dernier moment est une illusion dangereuse. La conformité ne s'improvise pas. Elle nécessite une analyse du modèle utilisé, un audit des données d'entraînement, la mise en place de garde-fous, la documentation des limitations, la formation des utilisateurs, et parfois des révisions profondes des pratiques internes.

Et ce n'est pas tout. Une IA générative utilisée sur des données personnelles implique une articulation avec le RGPD. Cela signifie, pour certaines entreprises, la réalisation obligatoire d'analyses d'impact sur la vie privée, la révision des politiques de confidentialité, l'encadrement juridique du prompt engineering, et la mise à jour des registres de traitement. Là encore, rares sont celles qui s'en préoccupent suffisamment.

L'enjeu : passer du générique au sectoriel

Or ce que l'on observe déjà sur le terrain est clair : ce sont les premiers cas d'usage, souvent génériques, qui ont été déployés – génération de contenus, chatbots, automatisation de supports. Mais pour aller plus loin, dans des applications sectorielles plus complexes, il faudra prouver que l'on est capable d'encadrer la technologie. Et c'est là que beaucoup vont caler.

Le vrai risque, c'est le retour de bâton. Un outil impressionnant, mais non maîtrisé. Une promesse technologique qui tourne court, faute d'anticipation juridique. Un soufflé qui retombe. Pas parce que l'IA ne tient pas ses promesses, mais parce que l'entreprise a oublié que l'innovation sans cadre, c'est rarement durable.

L'AI Act : un tournant comme le RGPD

L'AI Act, comme le RGPD en 2018, sera un tournant. Ceux qui l'auront compris dès maintenant prendront de l'avance. Les autres passeront leur rentrée à éteindre des incendies. Anticiper la conformité, ce n'est pas cocher une case. C'est faire le choix d'un déploiement structuré, crédible, et pérenne.
Certes, le cadre réglementaire se précise progressivement et des ajustements peuvent encore intervenir. Mais les obligations fondamentales sont claires et les sanctions applicables. Le débat sur d'éventuels reports ne doit pas masquer l'essentiel : il faut s'y préparer maintenant. Il reste un peu de temps. Mais clairement, plus beaucoup.