Aller au contenu principal
Diagnostic gratuit

Glossaire

25 définitions clés du Règlement

Obligations

24 articles détaillés avec échéances

Échéancier

Dates clés de 2025 à 2028

Diagnostic

Identifiez vos obligations en 3 minutes

Conformité PME

Vérifiez vos obligations AI Act en 30 secondes

Souveraineté européenne

Hébergement 100% en France

Assistant IA

IA contextuelle avec mémoire inter-sections

Génération documentaire

Texte conforme Annexe IV généré par IA

Diagnostic

Classification automatique de votre système

Versioning

Traçabilité des évolutions de vos projets

Multi-clients

Gestion multi-clients pour agences

Export PDF

PDF professionnels prêts pour l'audit

TarifsBlogConnexion
chatgpt ai actia générative obligationscopilot ai act

ChatGPT en entreprise : êtes-vous concerné par l'AI Act ?

26 mars 20268 min0
ChatGPT en entreprise : êtes-vous concerné par l'AI Act ?

En bref

  • Vous êtes déployeur : toute entreprise qui utilise un outil d'IA générative dans un cadre professionnel est un "déployeur" au sens de l'AI Act, avec des obligations spécifiques dès août 2026
  • Article 50 - la règle universelle : si vous déployez un chatbot IA vers vos clients ou salariés, vous devez les informer qu'ils interagissent avec une IA. Aucune exception pour la taille de l'entreprise.
  • Les deepfakes vous concernent : toute vidéo, image ou audio généré par IA représentant une personne réelle doit être clairement signalé comme tel
  • ChatGPT lui-même est un modèle GPAI : OpenAI est soumis aux obligations des Articles 51-56 depuis août 2025. Mais votre responsabilité en tant qu'utilisateur professionnel existe indépendamment
  • Risque haut risque possible : si vous utilisez un outil IA génératif pour des décisions RH, de scoring ou d'accès à des services essentiels, vous pouvez basculer en haut risque (Annexe III)
  • Pas d'exception PME pour l'Article 50 : les obligations de transparence s'appliquent à toutes les tailles d'entreprise, dès le premier chatbot déployé

ChatGPT, Copilot, Gemini, Claude, Mistral - ces outils sont devenus des réflexes professionnels pour des millions de salariés européens. Rédaction d'emails, synthèse de documents, génération de contenu marketing, assistance client automatisée... L'IA générative s'est glissée dans les workflows d'entreprise à une vitesse que la réglementation peine à suivre. Mais l'AI Act (Règlement UE 2024/1689) est là, et il vous concerne probablement plus directement que vous ne le pensez.

La confusion la plus fréquente : "Je n'ai pas développé ChatGPT, donc je ne suis pas fournisseur, donc l'AI Act ne me touche pas vraiment." C'est faux. Le règlement distingue deux rôles principaux, et l'un d'eux - le déployeur - concerne précisément les entreprises qui utilisent ces outils.

Fournisseur vs déployeur : où vous situez-vous ?

L'Article 3 de l'AI Act définit deux catégories distinctes :

  • Le fournisseur (provider) : l'entité qui développe et commercialise le système d'IA. OpenAI pour ChatGPT, Microsoft pour Copilot, Google pour Gemini. Ce sont eux qui portent les obligations les plus lourdes - documentation technique, marquage CE, enregistrement dans la base EU.
  • Le déployeur (deployer) : l'entité qui utilise un système d'IA dans le cadre d'une activité professionnelle. C'est vous, dès lors que vous intégrez ChatGPT dans vos processus, que vous déployez un chatbot Copilot sur votre site, ou que vous automatisez des tâches avec un LLM.

En tant que déployeur, vous n'avez pas à rédiger une documentation technique de 80 pages. Mais vous avez des obligations réelles, concrètes, et opposables à partir d'août 2026.

L'Article 50 : la règle qui touche tout le monde

C'est la disposition la moins connue et pourtant la plus universelle de l'AI Act. L'Article 50 impose des obligations de transparence à tous les systèmes d'IA qui interagissent avec des humains ou génèrent du contenu - indépendamment du niveau de risque, indépendamment de la taille de l'entreprise.

Obligation 1 - Informer les utilisateurs qu'ils parlent à une IA

Si vous déployez un chatbot alimenté par ChatGPT, Copilot ou n'importe quel autre LLM sur votre site web, votre application ou en interne pour vos salariés, vous devez informer clairement les personnes qu'elles interagissent avec un système d'IA (Article 50§1).

Cette obligation s'applique dès que l'interaction n'est pas évidente par nature. Un chatbot de service client doit se présenter comme une IA. Un assistant RH automatisé doit être identifié comme tel. La formulation "répondu par notre équipe" quand c'est en réalité GPT-4 est une violation directe.

Exceptions légitimes : les interactions dans un contexte professionnel où le caractère IA est manifeste et connu de tous les participants, et les usages de création artistique ou fictionnelle où un personnage IA est explicitement scénarisé.

Obligation 2 - Signaler les deepfakes et contenus manipulés

Toute vidéo, image ou contenu audio généré ou manipulé par IA pour ressembler à une personne réelle existante doit être clairement identifié comme un contenu synthétique (Article 50§4). Cela s'applique à :

  • Les vidéos marketing utilisant des avatars IA ressemblant à des personnes réelles
  • Les voix synthétiques imitant des voix existantes
  • Les photos générées représentant des individus identifiables
  • Les vidéos deepfake à des fins de communication d'entreprise

Obligation 3 - Le watermarking machine-readable (à partir de novembre 2026)

L'Article 50§2 impose que les contenus générés par IA soient marqués dans un format lisible par machine. Cette obligation incombe principalement aux fournisseurs de modèles génératifs - OpenAI, Mistral, Google. Mais en tant que déployeur, vous devrez vous assurer que les outils que vous utilisez implémentent bien ces mécanismes. La date retenue par le Parlement européen dans le cadre du Digital Omnibus est le 2 novembre 2026 pour les systèmes déjà sur le marché.

Quand ChatGPT devient haut risque dans votre organisation

Par défaut, un usage standard de ChatGPT pour rédiger des emails ou résumer des documents relève du risque limité - seul l'Article 50 s'applique. Mais attention : le niveau de risque dépend de l'usage, pas de l'outil.

Votre utilisation de ChatGPT ou d'un LLM peut basculer en haut risque (Annexe III) si vous l'utilisez pour :

  • Trier des candidatures ou évaluer des salariés : tout système influençant des décisions d'embauche, de promotion ou de licenciement est à haut risque (Annexe III, section 4)
  • Évaluer la solvabilité ou le risque crédit : tout scoring financier automatisé relève de l'Annexe III, section 5
  • Orienter des décisions d'accès à des services publics : si votre IA influence des décisions de droits sociaux, allocations ou accès à des services essentiels
  • Générer des profils de risque sur des individus : dans un contexte d'assurance, de sécurité ou de gestion des risques impliquant des personnes physiques

Dans ces cas, les obligations de déployeur de l'Article 26 s'ajoutent : supervision humaine documentée, conservation des logs, information des personnes concernées.

La règle pratique : ce n'est pas l'outil qui détermine le niveau de risque, c'est ce que vous faites avec. ChatGPT pour rédiger une newsletter, c'est risque limité. ChatGPT intégré dans un outil de notation des performances des salariés, c'est haut risque.

ChatGPT et les obligations GPAI - ce que vous devez savoir

OpenAI, Google, Anthropic, Mistral et les autres fournisseurs de modèles de langage sont soumis aux obligations des Articles 51 à 56 de l'AI Act depuis le 2 août 2025. En tant qu'utilisateur professionnel, cela a des implications pratiques :

  • Ces fournisseurs doivent publier un résumé des données d'entraînement de leurs modèles (Article 53) - vous pouvez exiger de les consulter
  • Ils doivent maintenir une documentation technique disponible pour les autorités de surveillance
  • Ils doivent implémenter des politiques de respect du droit d'auteur pour les données d'entraînement
  • Si un modèle présente un risque systémique (plus de 10^25 FLOPs d'entraînement), des obligations renforcées s'appliquent - GPT-4 et Gemini Ultra sont probablement dans cette catégorie

Ces obligations ne vous exemptent pas de vos propres responsabilités de déployeur. Elles s'additionnent.

Ce que vous devez faire concrètement avant août 2026

  1. Inventorier tous vos usages IA génératifs : ChatGPT, Copilot, Gemini, Claude, outils intégrés dans votre CRM ou votre RH... Listez tout, avec le cas d'usage exact pour chaque outil.
  2. Classifier chaque usage par niveau de risque : usage éditorial standard = risque limité (Article 50 seulement). Usage influençant des décisions sur des personnes = vérifier l'Annexe III.
  3. Auditer vos interfaces client : avez-vous un chatbot IA en production ? Indique-t-il clairement à l'utilisateur qu'il parle à une IA ? Si non, c'est une violation à corriger maintenant.
  4. Mettre à jour vos mentions légales et CGU : la transparence s'applique aussi dans les documents contractuels. Si vous utilisez de l'IA pour traiter des données de clients ou produire des contenus qui leur sont adressés, il faut le mentionner.
  5. Vérifier vos contrats SaaS : l'outil que vous utilisez est-il lui-même conforme à l'AI Act ? Posez la question à votre fournisseur. Sa réponse conditionne votre propre exposition.

Le diagnostic gratuit AiActo vous guide à travers cette classification en moins de 3 minutes - et vous indique précisément si vos usages IA génératifs vous exposent à l'Article 50 uniquement, ou à des obligations de haut risque supplémentaires.

Questions fréquentes

Mon entreprise utilise ChatGPT uniquement en interne - suis-je quand même concerné ?

Oui, si cet usage interne affecte des salariés. L'Article 50 impose d'informer les personnes qui interagissent avec une IA, y compris vos propres employés. Et si ChatGPT est utilisé pour évaluer des performances ou orienter des décisions RH, vous basculez en haut risque avec les obligations de l'Article 26.

OpenAI est américain - est-ce que l'AI Act s'applique à eux ?

Oui. L'AI Act s'applique à tout système d'IA dont les résultats sont utilisés dans l'Union européenne, quel que soit le pays d'établissement du fournisseur. OpenAI doit se conformer aux obligations GPAI pour l'usage européen de ChatGPT. C'est d'ailleurs pourquoi des obligations de documentation et de transparence s'appliquent à eux depuis août 2025.

Quelle différence entre ChatGPT gratuit et ChatGPT Enterprise ?

Du point de vue de l'AI Act, c'est votre usage qui compte, pas la version. ChatGPT Enterprise offre des garanties contractuelles supplémentaires sur la confidentialité des données - ce qui est pertinent pour le RGPD - mais vos obligations AI Act en tant que déployeur sont les mêmes quelle que soit la version utilisée.

Un contenu généré par IA doit-il systématiquement être signalé ?

Pas systématiquement. L'obligation de divulgation concerne principalement les deepfakes et contenus manipulés (Article 50§4), et les interactions directes avec des chatbots IA (Article 50§1). Un texte marketing rédigé avec l'aide de ChatGPT et relu par un humain n'est pas automatiquement soumis à une obligation de mention. En revanche, si ce texte est généré et publié sans supervision humaine réelle, la question se pose.

Qu'est-ce que je risque si je ne mets pas en conformité mon chatbot avant août 2026 ?

Les violations de l'Article 50 sont passibles d'amendes pouvant aller jusqu'à 7,5 millions d'euros ou 1 % du chiffre d'affaires mondial annuel. Ces sanctions s'appliquent aux fournisseurs comme aux déployeurs. Les autorités nationales - en France, la DGCCRF et la CNIL selon les cas - disposeront de pouvoirs de contrôle et de sanction à partir d'août 2026.

L'IA générative est entrée dans les entreprises par la petite porte - un abonnement ChatGPT ici, une extension Copilot là. L'AI Act oblige maintenant à regarder en face ce que ces usages impliquent réglementairement. La bonne nouvelle : les obligations pour un usage standard sont gérables. Une mention claire sur votre chatbot, une mise à jour de vos CGU, un inventaire de vos outils. Ce n'est pas insurmontable - à condition de s'y mettre avant l'échéance. Consultez l'échéancier AI Act pour planifier vos prochaines étapes.

Partager cet article