Le règlement IA de l'UE et l'IA générative : ce que les utilisateurs de ChatGPT et de chatbots doivent savoir
Publié 18 juillet 2026 · 6 min de lecture
Presque toutes les PME européennes utilisent désormais l'IA générative : ChatGPT pour la rédaction, Copilot dans la suite bureautique, un chatbot sur le site web. La bonne nouvelle, c'est qu'utiliser l'outil d'IA d'un tiers ne fait pas de vous son fournisseur, et le règlement IA de l'UE considère l'essentiel de ces usages comme à faible risque. Voici ce que vous devez réellement faire, en termes simples.
Vous êtes (généralement) un déployeur, pas un fournisseur
Le règlement répartit les obligations selon le rôle. Un fournisseur développe un système d'IA et le met sur le marché sous son propre nom, comme OpenAI, Microsoft, Anthropic ou Google (article 3(3)). Un déployeur utilise simplement un système d'IA dans le cadre de son activité (article 3(4)). Si vous utilisez ChatGPT, Copilot ou un chatbot tiers, vous êtes un déployeur, et les lourdes obligations de conception et de marquage incombent en amont au fournisseur, pas à vous.
Les règles de transparence (article 50)
L'article 50 constitue une couche légère de transparence qui s'applique à certains systèmes d'IA quel que soit leur niveau de risque. Il fixe quatre obligations, et il précise soigneusement à qui incombe chacune d'elles :
- Information sur les chatbots (50(1)), une obligation du fournisseur. Les systèmes d'IA qui interagissent avec des personnes doivent leur indiquer qu'elles ont affaire à une IA, sauf si cela est évident. Le fournisseur l'intègre dès la conception, si bien qu'un déployeur utilisant un outil conforme en hérite.
- Marquage des contenus générés par l'IA (50(2)), une obligation du fournisseur. Les systèmes qui génèrent des contenus audio, image, vidéo ou texte synthétiques doivent marquer le résultat de manière à ce qu'il soit lisible par machine et détectable comme artificiel. Là encore, c'est le fournisseur qui l'intègre.
- Reconnaissance des émotions et catégorisation biométrique (50(3)), une obligation du déployeur. Si vous exploitez un système qui lit les émotions ou catégorise les personnes de manière biométrique, vous devez en informer les personnes concernées et respecter le RGPD.
- Hypertrucages (deepfakes) et textes d'intérêt public (50(4)), une obligation du déployeur. Si vous publiez une image, un contenu audio ou une vidéo relevant de l'hypertrucage (deepfake), ou un texte généré par l'IA portant sur une question d'intérêt public, vous devez indiquer qu'il a été créé par une IA, sous réserve d'exceptions pour les services répressifs, les œuvres manifestement artistiques ou satiriques, et les textes ayant fait l'objet d'un véritable contrôle éditorial humain.
Dans tous les cas, l'information doit être claire et fournie au plus tard lors de la première interaction ou exposition (article 50(5)).
Alors, qu'est-ce qu'une PME type doit réellement faire ?
Si vous utilisez l'IA générative en interne ou exploitez un chatbot client reposant sur un outil conforme, votre propre exposition à l'article 50 est faible : il s'agit surtout de veiller à ce que les informations relatives aux émotions, à la biométrie ou à l'hypertrucage (deepfake) soient en place si vous menez ces activités. La seule obligation qui vous lie déjà aujourd'hui est la maîtrise de l'IA : depuis le 2 février 2025, l'article 4 impose aux fournisseurs comme aux déployeurs de garantir au personnel qui utilise l'IA un niveau de compréhension suffisant. Consultez notre guide sur la maîtrise de l'IA.
Deux façons dont un usage ordinaire se transforme en obligation plus lourde
La position « je ne fais que l'utiliser » n'est pas un refuge permanent :
- Vous renommez ou modifiez substantiellement un système. En vertu de l'article 25, un déployeur qui appose son propre nom sur un système à haut risque, en change la finalité ou le modifie substantiellement devient un fournisseur et hérite des obligations du fournisseur.
- Votre usage relève d'un cas d'utilisation à haut risque. L'article 50 ne rend pas à lui seul un système à haut risque. Mais si vous utilisez l'IA générative pour une activité figurant à l'annexe III, comme le recrutement, la gestion des travailleurs, l'évaluation du crédit ou de l'assurance, l'éducation ou les services essentiels, il est à haut risque au titre de l'article 6, avec des obligations bien plus lourdes. La classification dépend des faits : testez votre cas d'utilisation réel.
Vous développez à partir d'un modèle ? Vous êtes peut-être fournisseur d'un modèle d'IA à usage général (GPAI)
Si vous allez au-delà de la simple utilisation d'un modèle et commencez à l'affiner ou le modifier de manière substantielle, vous pouvez devenir fournisseur d'un modèle d'IA à usage général (GPAI), même si vos obligations se limitent alors à votre modification (considérant 109). Les lignes directrices de la Commission de juillet 2025 ne vous considèrent comme un fournisseur de GPAI distinct que lorsque la puissance de calcul consacrée à vos modifications dépasse environ un tiers de la puissance de calcul d'entraînement du modèle d'origine ; un affinage léger vous maintient donc dans le rôle de déployeur. Consultez notre guide des obligations GPAI pour savoir ce qui change si vous franchissez cette limite.
Échéances
La maîtrise de l'IA s'applique dès à présent (2 février 2025). Les obligations de transparence de l'article 50 s'appliquent à partir du 2 août 2026. Le marquage lisible par machine des contenus synthétiques pour les systèmes déjà présents sur le marché a été reporté au 2 décembre 2026 par le Digital Omnibus (adopté, en attente de publication au Journal officiel). Notre guide des échéances en présente le tableau complet.
Faites le point sur votre situation
Vous ne savez pas si votre usage de l'IA générative est à faible risque ou relève d'un cas d'utilisation à haut risque ? Le EU AI Act Snapshot gratuit tranche la question en deux minutes, sans inscription, et notre checklist de conformité en 9 étapes transforme le résultat en plan d'action. Les offres démarrent à EUR 0.