PSL Avocat accompagne les déployeurs d'IA, les éditeurs SaaS et les plateformes dans la cartographie de leurs obligations, la documentation contractuelle, la négociation des contrats fournisseurs LLM et la gestion des risques. Pratique opérationnelle construite sur quinze ans de conseil in-house auprès d'organisations internationales (OCDE, ESA, ITER Organisation, ADP, CMA CGM). En français, anglais et espagnol.
Application progressive de l'AI Act
Le règlement AI Act entre en application par étapes depuis février 2025. L'accord politique du 7 mai 2026 sur le Digital Omnibus IA réaménage le calendrier des obligations applicables aux systèmes haut risque, sous réserve de l'adoption formelle par le Parlement européen et le Conseil et de la publication au Journal officiel de l'Union européenne. Tant que cette adoption n'est pas finalisée, le calendrier de référence reste celui du règlement (UE) 2024/1689.
Entrée en application des interdictions de l'article 5 du règlement (UE) 2024/1689 (pratiques d'IA prohibées) et de l'obligation d'alphabétisation à l'IA (article 4).
Entrée en application des obligations relatives aux modèles d'IA à usage général (chapitre V) pour les modèles mis sur le marché à compter de cette date. Période transitoire jusqu'au 2 août 2027 pour les modèles antérieurs (article 111 §3). Gouvernance européenne en place (Bureau de l'IA, Comité européen de l'intelligence artificielle).
Date d'entrée en application des obligations applicables aux systèmes d'IA à haut risque visés à l'annexe III du règlement (UE) 2024/1689, notamment biométrie, infrastructures critiques, éducation et formation professionnelle, emploi et gestion des ressources humaines, accès aux services privés essentiels et aux services et prestations publics essentiels, répression, migration, asile et contrôle aux frontières, administration de la justice et processus démocratiques, selon l'accord politique du 7 mai 2026 sur le règlement modifiant le règlement (UE) 2024/1689 (Digital Omnibus AI). Sous réserve d'adoption formelle par le Parlement européen et le Conseil de l'UE et de publication au Journal officiel de l'Union européenne.
Date d'entrée en application des obligations applicables aux systèmes d'IA intégrés à des produits soumis à la législation d'harmonisation de l'Union (article 6 §1 du règlement (UE) 2024/1689 et annexe I), notamment ascenseurs, jouets, machines, équipements radio, dispositifs médicaux, selon l'accord politique du 7 mai 2026 sur le Digital Omnibus AI. Sous réserve d'adoption formelle.
HR AI et ed-tech : les deux secteurs en première ligne
Les fournisseurs d'outils HR AI et les éditeurs ed-tech relèvent de deux domaines explicitement listés à l'annexe III du règlement AI Act (éducation et formation professionnelle, emploi et gestion des travailleurs). La classification haut risque y est probable pour la majorité des cas d'usage. Le déployeur porte des obligations distinctes du fournisseur, qui s'ajoutent au socle RGPD.
Plateformes d'apprentissage adaptatif, outils de notation automatisée, tuteurs IA, dispositifs de surveillance d'examen, orientation algorithmique des parcours.
Classification haut risque probable au titre de l'annexe III pour la majorité des cas d'usage scolaires et universitaires.
Information renforcée des élèves et des familles, notamment lorsque les utilisateurs finaux sont mineurs (articulation RGPD données mineurs et AI Act transparence).
Surveillance humaine effective sur toute décision affectant l'évaluation, l'orientation ou la sélection.
Contrats fournisseurs LLM revus pour répercuter les obligations déployeur en cascade.
Outils de sourcing, scoring de candidatures, analyse vidéo d'entretiens, gestion algorithmique de la performance, prédiction de turnover, optimisation des plannings.
Classification haut risque probable au titre de l'annexe III (recrutement, gestion des travailleurs).
Analyse d'impact sur les droits fondamentaux (article 27 AI Act) avant déploiement.
Information du candidat ou du salarié sur l'existence et la logique du traitement (RGPD article 14 et AI Act article 50 à compter du 2 août 2026).
Audit du biais et registre de tests, dans le sillage de l'arrêt Foundever de l'Audiencia Nacional du 4 juillet 2025, susceptible de pourvoi devant le Tribunal Supremo.
Information et consultation des représentants du personnel en France (article L. 2312-38 du code du travail) et en Espagne (article 64.4.d de l'Estatuto de los Trabajadores depuis la loi 12/2021).
Décisions de référence
Trois décisions qui structurent aujourd'hui la pratique pour les déployeurs d'IA en France, en Espagne et au niveau européen.
L'article 22 du RGPD s'applique aux scores algorithmiques produits par un tiers et utilisés pour fonder une décision individuelle automatisée, même quand l'utilisateur du score n'est pas celui qui le calcule. Lecture directe pour les déployeurs HR AI et ed-tech qui s'appuient sur des outils de scoring fournis par un tiers.
Lire la décisionPremière décision espagnole consacrant le droit des représentants du personnel à connaître les paramètres des algorithmes utilisés en relations de travail. Alignement entre droit français et droit espagnol sur la transparence des outils d'évaluation automatisée et de gestion algorithmique de carrière.
Lire la décisionPremière sanction RGPD majeure contre un fournisseur d'IA générative en Europe. La décision établit que l'entraînement d'un grand modèle de langage constitue un traitement de données personnelles à part entière, soumis à l'identification d'une base légale, à l'information des personnes concernées et à la gestion des incidents. Référence centrale pour tout déployeur LLM tiers.
Lire la décisionNIS2 : cybersécurité des entités essentielles et importantes
La directive (UE) 2022/2555, dite NIS2, élargit le périmètre des obligations de cybersécurité à un nombre significatif d'entreprises tech, notamment les fournisseurs de services managés, les services cloud, les marketplaces et les éditeurs SaaS dépassant les seuils PME. Les catégories d'entités essentielles et importantes sont définies aux annexes I et II de la directive. La date limite de transposition était fixée au 17 octobre 2024. À la date du 12 mai 2026, ni la France ni l'Espagne n'ont achevé leur transposition. En France, le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité poursuit son parcours parlementaire et la promulgation est attendue courant 2026. En Espagne, l'anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad est en cours de tramitación. La Commission européenne a adressé un avis motivé aux deux États membres le 7 mai 2025 pour défaut de notification. Les entreprises concernées sont néanmoins exposées au régime de la directive et à l'effet direct vertical pour ses dispositions inconditionnelles, ainsi qu'aux attentes des donneurs d'ordre européens qui appliquent déjà les standards NIS2 dans leurs cahiers des charges.
Êtes-vous en scope NIS2 ?
Trois questions binaires. Trois réponses positives indiquent une applicabilité probable et justifient une analyse approfondie.
Votre activité relève-t-elle d'un secteur listé aux annexes I ou II de la directive 2022/2555 (énergie, transport, banque, santé, infrastructure numérique, services managés ICT, fournisseurs cloud, marketplaces, moteurs de recherche, réseaux sociaux, fabrication, recherche, etc.) ?
Votre entreprise atteint-elle le seuil de moyenne ou grande entreprise (au moins 50 salariés ou 10 millions d'euros de chiffre d'affaires annuel) ? Certaines entités sont en scope quelle que soit leur taille.
Vos services sont-ils rendus à au moins un destinataire établi dans l'Union européenne ?
Règlements connexes
Questions fréquentes
Mon entreprise est établie hors UE mais vend à des clients européens. Le RGPD s'applique-t-il ?
Oui. L'article 3 §2 du RGPD prévoit une application extraterritoriale dès lors que vous offrez des biens ou des services à des personnes situées dans l'Union, ou que vous suivez leur comportement sur le territoire de l'Union. Le pays d'établissement de l'entreprise n'est pas le critère. La désignation d'un représentant dans l'Union (article 27) est généralement requise.
Comment savoir si mon système d'IA est concerné par l'AI Act ?
L'AI Act classe les systèmes selon quatre niveaux de risque : inacceptable (interdits par l'article 5), haut risque (annexes I et III), risque limité (obligations de transparence article 50), risque minimal. La classification dépend du cas d'usage et du contexte de déploiement, pas seulement de la technologie. Une cartographie des cas d'usage de votre organisation permet d'identifier rapidement ce qui s'applique.
Quelle est la sanction maximale prévue par l'AI Act ?
L'article 99 du règlement prévoit trois plafonds. Les pratiques interdites visées à l'article 5 exposent à une amende pouvant atteindre 35 millions d'euros ou 7% du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu. Le non-respect des autres obligations du règlement, notamment celles applicables aux systèmes haut risque, est sanctionné jusqu'à 15 millions d'euros ou 3% du chiffre d'affaires. La fourniture d'informations inexactes, incomplètes ou trompeuses aux autorités compétentes ou aux organismes notifiés expose à une amende pouvant atteindre 7,5 millions d'euros ou 1% du chiffre d'affaires. Pour les PME et les startups, le plafond retenu est le montant le plus bas entre la valeur fixe et le pourcentage.
Notre entreprise est déployeur d'un LLM tiers (OpenAI, Anthropic, Mistral). Quelles sont nos obligations ?
Le déployeur porte des obligations distinctes du fournisseur : utilisation conforme aux instructions du fournisseur (article 26 §1), surveillance humaine effective (article 26 §2), traçabilité des journaux générés, gestion des risques résiduels. Pour les systèmes à haut risque (recrutement, éducation, scoring de crédit, gestion de l'emploi), les obligations sont renforcées : analyse d'impact sur les droits fondamentaux (article 27), formation des opérateurs, information du salarié ou du candidat. Les obligations d'information des utilisateurs prévues à l'article 50 (transparence lorsqu'un système d'IA interagit avec une personne, marquage des contenus générés ou modifiés par IA) sont applicables à compter du 2 août 2026 et doivent être anticipées dès maintenant dans la documentation utilisateur et les politiques internes.
Nous avons déjà une politique de protection des données. Sommes-nous conformes ?
Pas nécessairement. La conformité RGPD ne se réduit pas à un document publié sur le site. Elle suppose une organisation interne réelle, un registre des traitements à jour, des contrats de sous-traitance conformes à l'article 28, une capacité de réponse aux demandes d'exercice des droits dans les délais légaux et une procédure documentée de gestion des violations. Un audit court permet de mesurer l'écart entre le formel et l'opérationnel.
Combien de temps prend une mise en conformité RGPD ?
Pour une PME ou une startup, un premier niveau de conformité opérationnelle est atteignable en quatre à huit semaines selon la complexité des traitements, le nombre de sous-traitants et la maturité documentaire existante. La conformité haut risque AI Act se prépare sur un horizon plus long, douze à dix-huit mois en moyenne pour les systèmes complexes.
DSA et DMA : mon entreprise est-elle une plateforme concernée ?
Le DSA s'applique à tout fournisseur de services intermédiaires en ligne actif dans l'Union européenne : services de simple transport, caching, hébergement, plateformes en ligne, très grandes plateformes (VLOP) et très grands moteurs de recherche (VLOSE). Les obligations sont graduées selon la catégorie et la taille. Le DMA cible exclusivement les contrôleurs d'accès désignés par la Commission et leurs services de plateforme essentiels. Une analyse rapide du modèle d'activité permet de qualifier ou d'écarter l'applicabilité.
Mis à jour le 12 mai 2026
Demander un premier échange
Décrivez votre besoin en quelques lignes. Réponse sous 24 heures ouvrées.