AI Act 2026 : ce que votre entreprise doit faire MAINTENANT pour ses chatbots
L'AI Act européen n'est plus un projet. C'est la loi.
Et la plupart des entreprises qui déploient des chatbots IA ne sont pas en conformité. Pas par mauvaise volonté — mais parce que personne ne leur a dit concrètement ce qu'elles devaient faire.
Cet article corrige ça.
Les dates à retenir
Août 2024 : le règlement IA européen est entré en vigueur.
Février 2025 : les pratiques interdites (manipulation, scoring social, exploitation de vulnérabilités) deviennent sanctionnables.
Août 2025 : les obligations de transparence s'appliquent à tous les systèmes d'IA, y compris les chatbots.
Août 2026 : les obligations complètes pour les systèmes à haut risque entrent en application.
Si votre entreprise déploie un chatbot IA qui interagit avec des clients, des employés ou des citoyens, vous êtes concerné dès maintenant.
Les sanctions
Ce n'est pas symbolique.
Jusqu'à 35 millions d'euros ou 7% du chiffre d'affaires mondial (le montant le plus élevé) pour les pratiques interdites.
Jusqu'à 15 millions d'euros ou 3% du CA pour le non-respect des obligations.
Pour une entreprise qui fait 500 millions de CA, c'est 35 millions d'euros d'exposition. Pour un grand groupe, on parle de centaines de millions.
Et contrairement au RGPD où les premières années ont été "tolérantes", l'AI Act arrive dans un contexte où les régulateurs ont déjà l'expérience et les outils pour sanctionner vite.
Ce que ça change pour votre chatbot
Concrètement, voici les obligations qui s'appliquent à tout chatbot IA déployé en Europe :
1. Obligation de transparence
Les utilisateurs doivent savoir qu'ils interagissent avec une IA. Pas un astérisque en bas de page — une information claire et visible AVANT l'interaction.
2. Supervision humaine
Un processus de contrôle humain doit être en place. Quelqu'un dans votre organisation doit pouvoir intervenir, corriger, ou arrêter le chatbot si nécessaire. Et ce processus doit être documenté.
3. Gestion des risques
Vous devez avoir identifié et documenté les risques de votre chatbot : fuite de données, génération de contenu trompeur, discrimination, manipulation. Si vous n'avez pas de document de gestion des risques spécifique à votre chatbot IA, vous n'êtes pas en conformité.
4. Qualité des données
Les données qui alimentent votre chatbot (base de connaissances, documents sources) doivent être pertinentes, à jour, et ne pas contenir d'informations qui ne devraient pas être accessibles au public.
5. Journalisation (logging)
Vous devez conserver des traces des interactions, suffisantes pour reconstituer ce qui s'est passé en cas d'incident. Combien d'entreprises ont un logging sérieux sur leur chatbot ? Très peu.
6. Cybersécurité
Le chatbot doit être protégé contre les attaques — y compris les prompt injections, les extractions de données, et les manipulations. C'est écrit noir sur blanc dans le règlement.
Ce que la plupart des entreprises font (et pourquoi ça ne suffit pas)
"On a un system prompt qui dit à l'IA de ne pas révéler d'informations."
Ce n'est pas une mesure de sécurité. C'est une suggestion que n'importe quel attaquant contourne en 30 secondes.
"Notre fournisseur nous a dit que c'était sécurisé."
Votre fournisseur vend un produit. Il n'a aucune obligation de tester la résistance de votre chatbot aux attaques. Et en cas de fuite, c'est vous — le déployeur — qui êtes responsable, pas lui.
"On attend de voir comment ça évolue."
Les obligations de transparence et de cybersécurité s'appliquent DÉJÀ. "Attendre" n'est pas une stratégie de conformité.
Les 5 actions à lancer cette semaine
1. Auditez votre chatbot. Pas un audit technique réseau — un audit de sécurité spécifique aux LLM. Testez les prompt injections, les extractions de données, les contournements multilingues. Si vous n'avez jamais fait ça, vous avez des failles.
2. Documentez vos risques. Créez un document de gestion des risques spécifique à votre chatbot IA. Listez les scénarios d'attaque, les impacts, les mesures en place.
3. Vérifiez vos données sources. Quels documents alimentent votre chatbot ? Contiennent-ils des informations qui ne devraient pas être accessibles ? Des stratégies commerciales, des données clients, des documents internes ?
4. Mettez en place un logging. Chaque interaction doit être tracée. Pas pour espionner les utilisateurs — pour pouvoir reconstituer une attaque quand elle se produira.
5. Désignez un responsable. Quelqu'un dans votre organisation doit être le référent IA — celui qui sait ce que fait le chatbot, comment il est configuré, et qui peut intervenir en cas de problème.
Le coût de l'inaction
35 millions d'euros d'amende, c'est le scénario réglementaire.
Mais le vrai coût est ailleurs : la fuite de données clients, la stratégie commerciale accessible à la concurrence, la perte de confiance, les recours juridiques.
L'AI Act ne crée pas de nouveaux risques. Il rend les entreprises responsables de risques qui existent déjà.
Audit de conformité AI Act — Gratuit 30 min
J'identifie vos lacunes et vous donne les actions prioritaires. Un rapport clair, pas un document de 50 pages.
Contactez-moi