Le règlement européen sur l'intelligence artificielle (AI Act, règlement UE 2024/1689) entre pleinement en application le 2 août 2026. C'est la première législation au monde qui encadre spécifiquement l'IA — et elle concerne directement votre chatbot d'entreprise.
Moins de 30 % des PME européennes ont commencé leur mise en conformité. Pourtant, les sanctions sont lourdes : jusqu'à 35 millions d'euros ou 7 % du chiffre d'affaires mondial. Cet article vous explique concrètement ce que l'AI Act impose à votre chatbot, comment évaluer votre niveau de risque et quelles actions mettre en place dès maintenant.
Sommaire
L'AI Act en 3 minutes : ce que dit le texte
L'AI Act est un règlement européen adopté le 13 juin 2024 par le Parlement européen. Comme le RGPD, il s'applique directement dans tous les États membres sans transposition nationale. Son objectif : encadrer le développement et l'utilisation de l'IA en fonction du niveau de risque qu'elle représente pour les droits fondamentaux.
Calendrier d'application
- Février 2025 : interdiction des pratiques IA inacceptables (manipulation subliminale, scoring social, reconnaissance faciale de masse)
- Août 2025 : obligations pour les modèles d'IA à usage général (GPT-4, Claude, Gemini) — concerne les fournisseurs de LLM, pas les utilisateurs
- Août 2026 : application complète — toutes les obligations, y compris pour les systèmes à haut risque et les obligations de transparence pour les chatbots
Ce qui vous concerne en tant que PME utilisant un chatbot : la date du 2 août 2026.
La classification par niveau de risque
L'AI Act classe les systèmes d'IA en quatre niveaux de risque. Le niveau détermine les obligations.
| Niveau | Définition | Exemples | Obligations |
|---|---|---|---|
| Inacceptable | Menace pour les droits fondamentaux | Scoring social, manipulation subliminale | Interdit |
| Haut risque | Impact sur la santé, la sécurité ou les droits | IA médicale, recrutement, justice, notation de crédit | Évaluation de conformité, documentation technique, supervision humaine, gestion des risques |
| Risque limité | Interaction directe avec des personnes | Chatbots, deepfakes, contenus générés par IA | Obligation de transparence |
| Risque minimal | Aucun impact notable | Filtres anti-spam, recommandations produit | Aucune obligation spécifique |
Votre chatbot de service client ou de génération de leads est classé "risque limité" (article 50 de l'AI Act). L'obligation principale : informer clairement l'utilisateur qu'il interagit avec une IA.
Ce que l'AI Act impose concrètement à votre chatbot
Pour un chatbot d'entreprise classé en risque limité, voici les obligations concrètes à respecter à partir d'août 2026.
1. Obligation de transparence (article 50)
L'utilisateur doit être informé qu'il interagit avec un système d'IA avant ou au début de la conversation. Concrètement : un message clair du type "Vous échangez avec un assistant alimenté par l'intelligence artificielle" ou un badge visible "IA" sur le widget de chat.
2. Information sur les capacités et limites
L'utilisateur doit comprendre ce que le chatbot peut et ne peut pas faire. Si le chatbot ne peut pas traiter certaines demandes (ex : conseil juridique personnalisé), il doit le signaler et orienter vers un humain.
3. Droit de contact humain
L'utilisateur doit pouvoir demander à parler à un humain à tout moment. Le chatbot ne doit pas être le seul canal de contact disponible.
4. Documentation technique
Vous devez pouvoir documenter le fonctionnement de votre chatbot : quel modèle d'IA est utilisé, quelles données alimentent les réponses, quelles sont les mesures de supervision.
Checklist de conformité AI Act pour votre chatbot
- Le widget affiche clairement qu'il s'agit d'une IA
- Un message d'introduction mentionne l'IA avant la première interaction
- L'utilisateur peut demander un contact humain
- Les limites du chatbot sont documentées
- Les conversations sont journalisées (logs)
- La base de connaissances est identifiée et documentée
- Une personne est responsable de la supervision du système
Chatbot d'entreprise : risque limité ou haut risque ?
La plupart des chatbots d'entreprise relèvent du risque limité. Mais attention : le contexte d'utilisation peut faire basculer en haut risque.
Votre chatbot est en risque limité si :
- Il répond à des questions sur vos produits ou services
- Il qualifie des leads et collecte des coordonnées
- Il oriente les visiteurs vers les bonnes ressources
- Il fournit des informations générales (horaires, tarifs, FAQ)
Votre chatbot pourrait être en haut risque si :
- Il fournit des conseils médicaux personnalisés influençant un traitement
- Il effectue un tri de candidatures pour le recrutement — voir notre article sur le chatbot IA et ressources humaines
- Il évalue la solvabilité d'un client (notation de crédit)
- Il donne des conseils juridiques personnalisés qui influencent une décision — voir secret professionnel et chatbot IA pour avocats
En cas de doute, adoptez le principe de précaution : documentez votre système comme s'il était à haut risque. Les obligations supplémentaires (évaluation d'impact, supervision renforcée) sont de bonnes pratiques dans tous les cas.
AI Act vs RGPD : quelles différences, quels cumuls ?
L'AI Act et le RGPD ne s'excluent pas : ils se cumulent. Votre chatbot doit respecter les deux.
| Critère | RGPD | AI Act |
|---|---|---|
| Objet | Protection des données personnelles | Encadrement des systèmes d'IA |
| En vigueur | Depuis mai 2018 | Pleinement applicable août 2026 |
| Concerne | Tout traitement de données personnelles | Tout système d'IA mis sur le marché ou utilisé dans l'UE |
| Sanctions max | 20 M€ ou 4 % du CA | 35 M€ ou 7 % du CA |
| Autorité | CNIL (France) | Bureau européen de l'IA + autorités nationales |
En pratique : si votre chatbot collecte des données personnelles (nom, email, téléphone via un formulaire de contact), vous devez respecter le RGPD et l'AI Act. La conformité RGPD ne suffit plus. Pour un guide complet sur le volet données : chatbot et RGPD : guide de conformité CNIL.
Comment Heeya vous aide à être conforme
Heeya intègre dès aujourd'hui les éléments qui vous permettent de respecter l'AI Act sans effort supplémentaire.
- Badge IA visible : le widget de chat affiche clairement qu'il s'agit d'un assistant IA, pas d'un humain.
- Journalisation des conversations : toutes les interactions sont enregistrées et consultables dans votre dashboard, ce qui satisfait l'obligation de traçabilité.
- Hébergement UE : les données sont hébergées dans l'Union européenne, conforme aux exigences de souveraineté des données.
- Supervision humaine : vous gardez le contrôle total — modification des instructions, relecture des conversations, désactivation à tout moment.
- Base de connaissances transparente : vous savez exactement quels documents alimentent les réponses du chatbot. Pas de boîte noire.
- Formulaire de contact : le chatbot peut toujours orienter vers un contact humain quand nécessaire.
Consultez nos tarifs ou créez un compte gratuit pour tester.
Les sanctions prévues
L'AI Act prévoit trois niveaux de sanctions selon la gravité de l'infraction :
- Pratiques interdites (risque inacceptable) : jusqu'à 35 millions d'euros ou 7 % du chiffre d'affaires mondial annuel
- Non-conformité des systèmes à haut risque : jusqu'à 15 millions d'euros ou 3 % du CA
- Non-respect des obligations de transparence (risque limité, dont les chatbots) : jusqu'à 7,5 millions d'euros ou 1 % du CA
Pour les PME de moins de 250 salariés, les amendes sont plafonnées au pourcentage du CA ou au montant forfaitaire, selon le plus élevé. Les sanctions sont donc proportionnées, mais elles existent. Le coût de la mise en conformité est négligeable comparé au risque.
FAQ
Mon chatbot de service client est-il concerné par l'AI Act ?
Oui. Tout chatbot utilisant l'IA (traitement du langage naturel, LLM, RAG) est un "système d'IA" au sens de l'AI Act. Un chatbot de service client est classé en risque limité : obligation de transparence principalement.
L'AI Act s'applique-t-il aux chatbots à scénarios (sans IA) ?
Non. Un chatbot à boutons/scénarios sans composante IA (pas de NLU, pas de LLM) n'est pas un "système d'IA" au sens du règlement. Mais dès que vous ajoutez une couche d'IA pour comprendre le langage naturel, vous entrez dans le périmètre.
Que dois-je faire avant août 2026 ?
Trois actions immédiates : (1) vérifier que votre chatbot affiche clairement qu'il s'agit d'une IA, (2) documenter son fonctionnement technique (modèle utilisé, source des données, mesures de supervision), (3) s'assurer qu'un contact humain est toujours accessible.
L'AI Act concerne-t-il aussi les chatbots internes (RH, IT) ?
Oui. Un chatbot interne utilisé pour le support RH ou le helpdesk IT est un système d'IA au sens du règlement. Les obligations de transparence s'appliquent aussi vis-à-vis de vos collaborateurs. Si le chatbot influence des décisions RH (pré-sélection, évaluation), il pourrait même relever du haut risque.
Que risque une PME qui ne se met pas en conformité ?
Pour un non-respect de l'obligation de transparence (le cas le plus courant pour les chatbots), l'amende peut atteindre 7,5 millions d'euros ou 1 % du CA. En pratique, les premières sanctions cibleront probablement les grandes entreprises, mais le risque juridique existe pour tous dès août 2026. Mieux vaut anticiper.
