[{"data":1,"prerenderedAt":-1},["ShallowReactive",2],{"kb-article-digital-omnibus-ue-ai-act-comment-les-amendements-redefinissent-la-mise-en-uvre-de-la-regulation-ia-fr":3,"ArticleBody_RSQyZQ0nNjVWKlhEur36hlXDh4MtA0YZ2FdLfQTuKIU":183},{"article":4,"relatedArticles":153,"locale":54},{"id":5,"title":6,"slug":7,"content":8,"htmlContent":9,"excerpt":10,"category":11,"tags":12,"metaDescription":10,"wordCount":13,"readingTime":14,"publishedAt":15,"sources":16,"sourceCoverage":46,"transparency":48,"seo":51,"language":54,"featuredImage":55,"featuredImageCredit":56,"isFreeGeneration":60,"trendSlug":61,"trendSnapshot":61,"niche":62,"geoTakeaways":65,"geoFaq":74,"entities":84},"6a1e8f86c327eb21067153e8","Digital Omnibus UE & AI Act : comment les amendements redéfinissent la mise en œuvre de la régulation IA","digital-omnibus-ue-ai-act-comment-les-amendements-redefinissent-la-mise-en-uvre-de-la-regulation-ia","Les amendements du Digital Omnibus interviennent sur un AI Act déjà dense, avec un calendrier d’application initialement étalé jusqu’en 2027 pour les systèmes à haut risque [3][7].  \nPour les équipes d’ingénierie et de conformité, ce n’est pas un « sursis » mais un changement de tempo : une zone d’ombre réglementaire s’ouvre, alors que des obligations majeures sont déjà actives, notamment l’interdiction des pratiques d’IA inacceptables depuis le 2 février 2025 [1][5][7].  \n\nLes choix d’architecture (LLM, RAG, fine‑tuning, agents, scoring, IA locale ou cloud) deviennent aussi des choix de gouvernance, de traçabilité et de gestion du risque réglementaire, au même niveau que la latence, la sécurité ou le coût d’inférence [2][3].  \nL’enjeu : construire des systèmes IA robustes, documentés et auditables au‑delà de 2027, dans un contexte de transformation digitale profonde des chaînes de production et de la supply chain [3][7].  \n\n---\n\n## 1. Rappel express de l’AI Act et rôle du Digital Omnibus dans la régulation IA\n\n### 1.1 Ce que cadre l’AI Act\n\nL’AI Act (règlement UE 2024\u002F1689) est le premier cadre juridique global dédié à l’IA, fondé sur une approche par niveaux de risque avec obligations graduées pour fournisseurs et déployeurs [1][3]. Il encadre :\n\n- Développement, mise sur le marché, utilisation des systèmes IA.  \n- Cas d’usage ayant un impact potentiel sur santé, sécurité, droits fondamentaux [1][3].\n\nObjectifs principaux :\n\n- Harmoniser le marché intérieur avec des règles communes.  \n- Réduire les risques pour santé, sécurité, démocratie, droits fondamentaux, en particulier manipulation et certaines surveillances [3].\n\nC’est d’abord un règlement de conformité technique et organisationnelle (gouvernance, gestion des risques, transparence, documentation) plus qu’un texte « pro‑innovation » [2][3].  \nLes modèles (généralistes ou spécialisés) sont vus comme des sources potentielles de biais à maîtriser sur tout leur cycle de vie.\n\n### 1.2 Calendrier initial et points durs\n\n- Entrée en vigueur : 1er août 2024.  \n- Application progressive jusqu’au 2 août 2027 [1][3].  \n- Interdiction des pratiques d’IA inacceptables : depuis le 2 février 2025 [1][5].  \n- Obligations complètes pour les systèmes à haut risque : initialement prévues au 2 août 2026, avant Omnibus [5][7].\n\n> ⚠️ Attention  \n> Sanctions possibles : jusqu’à 35 M€ ou 7 % du CA mondial, notamment pour les systèmes à haut risque [5].\n\n### 1.3 Le rôle spécifique du Digital Omnibus\n\nLe Digital Omnibus est un paquet d’ajustements proposé par la Commission européenne pour :\n\n- Recalibrer le calendrier des dispositions les plus contraignantes de l’AI Act.  \n- Cibler surtout les systèmes à haut risque [7].\n\nPour les équipes techniques, le couple AI Act + Omnibus transforme en enjeux de conformité :\n\n- Choix des modèles de base (propriétaire, open source, interne).  \n- Stratégies LLM (RAG, fine‑tuning, modèles spécialisés).  \n- Conception d’agents outillés et de chaînes de décision automatisées [2][4].\n\nEn synthèse : l’AI Act fixe le cadre, le Digital Omnibus reprogramme la montée en charge et les jalons temporels.  \n\n---\n\n## 2. Ce que changent les amendements du Digital Omnibus : calendrier, zones grises et risques\n\n### 2.1 Report des obligations haut risque\n\nLes ajustements Omnibus visent à :\n\n- Reporter l’entrée en vigueur des obligations les plus lourdes pour les systèmes à haut risque, prévues pour août 2026, vers une échéance probable fin 2027 ou 2028 [7].  \n- Tenir compte du retard de la Commission sur le cadre détaillé de classification des systèmes à haut risque, initialement attendu en février [7].  \n\nLes travaux de normalisation (CEN‑CENELEC) n’aboutiront pas à tous les standards avant plusieurs années.\n\n> 📊 Chiffre clé  \n> Glissement estimé : 16 à 24 mois pour l’entrée en vigueur complète des obligations haut risque [7].\n\n### 2.2 Une zone d’ombre réglementaire\n\nL’eurodéputé Sergey Lagodinsky évoque une « zone d’ombre juridique » : le cadre ne pouvant être rétroactif, certains acteurs pourraient :\n\n- Déployer rapidement des systèmes à haut risque non conformes avant pleine application.  \n- Espérer échapper ensuite aux contraintes [7].\n\nRisques :\n\n- Concurrence déloyale envers ceux qui investissent dès maintenant dans la conformité.  \n- Sous‑investissement dans la gouvernance des systèmes IA critiques.\n\nPourtant :\n\n- Les interdictions de pratiques inacceptables s’appliquent déjà.  \n- Les sanctions maximales existent déjà [1][5][7].\n\n### 2.3 Re‑prioriser plutôt que geler la conformité\n\nPour responsables IA, RSSI, DPO, le message est : re‑prioriser, ne pas suspendre.\n\n- Actions immédiates :  \n  - audit des pratiques d’IA inacceptables,  \n  - gouvernance IA minimale,  \n  - documentation de base des systèmes existants [1][5].  \n- Travaux de fond :  \n  - gestion des risques pour les systèmes susceptibles d’être haut risque,  \n  - registres, fiches techniques, procédures d’évaluation [2][3][7].\n\n> 💼 Anecdote terrain  \n> Dans une ETI industrielle, un moteur de scoring RH peu documenté a été bloqué par le DPO, rappelant que l’emploi relève très probablement du haut risque et que la mise en conformité tardive serait coûteuse [3][5][7].\n\nMini‑conclusion : le report réorganise le calendrier, il ne suspend pas le risque juridique.  \n\n---\n\n## 3. Clarification de la notion de systèmes à haut risque et cas des LLM en production\n\n### 3.1 Les quatre niveaux de risque\n\nL’AI Act distingue quatre niveaux : inacceptable (interdit), haut, obligations de transparence, risque minimal [1][3].  \nLes systèmes à haut risque concernent notamment :\n\n- Emploi, santé, éducation.  \n- Accès aux services essentiels.  \n- Biométrie et sécurité [1][3].\n\nExigences renforcées :\n\n- Gestion systématique des risques.  \n- Documentation technique détaillée.  \n- Gouvernance et qualité des données.  \n- Transparence envers les utilisateurs [1][3].\n\n### 3.2 LLM : ce n’est pas le modèle, c’est l’usage\n\nLes guides AI Act appliqués aux LLM rappellent :\n\n- La classification dépend du cas d’usage, du contexte et de l’impact sur les droits, pas du modèle nu [4].  \n\nUn même LLM :\n\n- Reste à risque limité comme chatbot interne de support documentaire.  \n- Devient haut risque s’il intervient dans : recrutement, crédit, tri de dossiers de santé, etc. [3][4].\n\n> 💡 Point clé  \n> La frontière haut risque se situe dans la chaîne de décision ayant un effet juridique ou équivalent, pas dans la catégorie de modèle (LLM généraliste ou spécialisé) [1][3][4].\n\n### 3.3 Architectures LLM modernes : un casse‑tête de classification\n\nLes architectures modernes (RAG, orchestrateurs, agents multi‑outils) combinent :\n\n- Plusieurs modèles, règles métiers, connecteurs SI, API externes [4].  \n\nSans cadre clair de la Commission sur ce qu’est un « système à haut risque », on ne sait pas toujours si le système à déclarer est :\n\n- Le LLM nu.  \n- Le pipeline RAG complet.  \n- Ou l’ensemble de la chaîne décisionnelle incluant les règles métiers [4][7].\n\nD’où l’importance de documenter dès maintenant :\n\n- Flux de données.  \n- Points de décision automatique.  \n- Rôle exact des modèles dans les pipelines [4][5][7].\n\n### 3.4 Articulation AI Act \u002F RGPD pour les LLM\n\nLa CNIL souligne la complémentarité :\n\n- AI Act : risques du système IA.  \n- RGPD : protection des données personnelles [1][2].\n\nPour des LLM traitant des données sensibles (RH, santé, incidents sécurité), il faut :\n\n- Analyser les risques IA (biais, opacité, robustesse).  \n- Réaliser les AIPD appropriées [1][5].\n\n> ⚡ En pratique  \n> Un assistant LLM qui trie automatiquement des tickets clients de résiliation ou contentieux doit être vu comme :  \n> - système décisionnel potentiellement haut risque,  \n> - traitement massif de données personnelles [1][3][4].\n\nMini‑conclusion : les LLM ne sont plus de simples « APIs texte » ; ils redéfinissent la notion de système à haut risque.  \n\n---\n\n## 4. Gouvernance et cartographie des systèmes IA : ce que les amendements changent (ou pas)\n\n### 4.1 Gouvernance IA structurée\n\nLes guides recommandent de :\n\n- Désigner un pilote IA\u002FRIA.  \n- Créer une équipe transverse (juridique, DPO, sécurité, data, ingénierie).  \n- Formaliser une feuille de route IA avec responsabilités claires (RACI) [2][5].\n\nLa checklist AI Act opérationnelle repose sur six étapes, dont :\n\n- Inventaire systématique des systèmes IA.  \n- Analyse de leurs cas d’usage selon le niveau de risque [5].\n\nLes reports Omnibus ne remettent pas ces fondamentaux en cause, qu’on s’appuie sur des ressources internes ou des guides comme celui de l’AFG (Janvier 2025).\n\n> 💡 Encadré gouvernance  \n> Démarche recommandée :  \n> - Étape 1 : gouvernance et pilotage IA.  \n> - Étape 2 : cartographie des systèmes IA.  \n> - Étape 3 : qualification des rôles (fournisseur, déployeur).  \n> - Étape 4 : plan d’actions RIA\u002FRGPD.  \n> - Étape 5 : gestion intégrée des risques.  \n> - Étape 6 : preuves de conformité et auditabilité [5].\n\n### 4.2 Surveillance du marché : un pouvoir déjà actif\n\nLes articles 74 à 84 de l’AI Act définissent :\n\n- La surveillance du marché.  \n- Les pouvoirs des autorités de protection des droits fondamentaux.  \n- Les procédures nationales en cas de systèmes IA risqués [6].\n\nConséquences :\n\n- Des contrôles peuvent intervenir avant la pleine application haut risque.  \n- Un système jugé dangereux peut faire l’objet de mesures nationales, même s’il semble conforme sur le papier [3][6].\n\nPour un système RAG juridique ou un moteur de scoring salarié, ignorer ces mécanismes est un risque opérationnel. CNIL, France Digitale, Hub France IA publient des recommandations pour anticiper ces contrôles.\n\n### 4.3 Traçabilité by design pour les équipes d’ingénierie\n\nPour les équipes ML\u002Fproduit, il devient rationnel d’intégrer dès la conception :\n\n- Logs détaillés (prompts, contexte RAG, réponses).  \n- Fiches de modèle (version, données d’entraînement, limitations).  \n- Protocoles d’évaluation (taux d’erreur, biais connus, métriques de retrieval).  \n- Procédures de rollback et désactivation rapide [2][5][6].\n\nCes artefacts permettent :\n\n- De répondre aux autorités en cas de procédure (article 79).  \n- D’objectiver les décisions internes (poursuite, restriction, arrêt d’un système) [6].\n\n> ⚠️ Risque stratégique  \n> Repousser cartographie et documentation expose à un « mur réglementaire » vers 2027, avec des systèmes déjà profondément intégrés et coûteux à refondre [5][7].\n\nMini‑conclusion : l’Omnibus offre un temps pour consolider la gouvernance IA, pas pour l’ignorer.  \n\n---\n\n## 5. Impacts sur les architectures IA : RAG, fine-tuning, agents et systèmes à usage général\n\n### 5.1 Systèmes à usage général et chaînes critiques\n\nLes systèmes à usage général (dont les grands modèles de langage) peuvent être soumis à une surveillance renforcée lorsqu’ils sont intégrés dans des chaînes décisionnelles critiques [3][4].  \nÀ documenter :\n\n- Usages exacts : RAG, classification, scoring, génération de rapports.  \n- Outils\u002Fbases : vector DB, moteurs de recherche, outils d’agent [2][4].\n\nUne simple « fiche modèle » ne suffit plus : le pipeline complet (cloud, IA locale, orchestrateurs) doit être compréhensible.\n\n### 5.2 RAG et agents : risques spécifiques dans la zone grise\n\nDans la fenêtre Omnibus, certains pourraient déployer des systèmes quasi haut risque sans garde‑fous [7].  \nPoints de vigilance RAG\u002Fagents :\n\n- Récupération de documents défaillante (index incomplet, absence de reranking).  \n- Manque de garde‑fous (validation humaine, limites claires de décision).  \n- Accès trop large aux outils (actions irréversibles par l’agent) [4][7].\n\n> 💼 Exemple concret  \n> Un agent LLM connecté à un CRM et à un outil de relance automatique, sans supervision, peut refuser des remises de dettes ou proposer des échéanciers défavorables, impactant directement des personnes vulnérables : la qualification haut risque devient crédible [3][4].\n\n### 5.3 Documentation technique adaptée à l’AI Act\n\nLes guides de conformité insistent sur :\n\n- Gestion des risques.  \n- Transparence.  \n- Robustesse des systèmes IA [2][4][5].\n\nPour un pipeline LLM\u002FRAG, la documentation devrait au minimum couvrir :\n\n- Schéma d’architecture :  \n  - sources de données,  \n  - vector DB,  \n  - recherche\u002Freranking,  \n  - orchestrateur, agents.  \n- Régime de données : types, conservation, minimisation [1][5].  \n- Évaluation : scénarios de test, seuils de performance, monitoring continu [2][4].\n\nDes acteurs européens (Mistral AI, Dust) et associations (France Digitale) travaillent déjà à intégrer transparence et auditabilité dans leurs offres.\n\n### 5.4 Auditabilité et instrumentation\n\nPour anticiper les futures obligations haut risque, il faut intégrer dès maintenant :\n\n- Journalisation des prompts, réponses, décisions automatiques.  \n- Tableaux de bord de métriques (hallucinations, erreurs de routing RAG).  \n- Revues régulières du comportement des agents dans les scénarios critiques [3][5].\n\n> ⚡ Alignement avec les bonnes pratiques  \n> La CNIL et les checklists AI Act mettent l’accent sur :  \n> - minimisation des données,  \n> - sécurité des modèles,  \n> - documentation vivante,  \n> - traçabilité,  \n> - « IA Compliance by Design » [1][2][5].\n\nMini‑conclusion : le délai Omnibus doit servir à rendre les architectures intrinsèquement auditables et documentables.  \n\n---\n\n## 6. Feuille de route de conformité IA 2024–2028 à l’ère du Digital Omnibus\n\n### 6.1 2024–2025 : socle minimal et pratiques inacceptables\n\nPriorités à court terme :\n\n- Arrêter ou adapter les pratiques d’IA inacceptables (notation sociale, exploitation de vulnérabilités, certaines reconnaissances biométriques, etc.) [1][5].  \n- Mettre en place la gouvernance IA (pilote, comité, feuille de route).  \n- Cartographier tous les systèmes IA internes\u002Fexternes via une grille de risque AI Act [5].\n\n> 💡 Étape structurante  \n> Aligner cette cartographie avec le registre des traitements RGPD existant permet de :  \n> - limiter l’effort,  \n> - unifier la vision des risques [1][2][5].\n\n### 6.2 2025–2026 : classification et ciblage des systèmes critiques\n\nEfforts à concentrer sur :\n\n- Classification par niveau de risque, en particulier pour :  \n  - LLM impliqués dans des décisions à effet juridique ou équivalent (emploi, crédit, santé).  \n  - Systèmes de scoring\u002Frecommandation fortement intégrés aux processus métier.  \n  - Cas d’usage sensibles en production\u002Fsupply chain (maintenance, sécurité, allocation de ressources).  \n- Renforcement de la documentation et des procédures d’évaluation de ces systèmes critiques, pour anticiper l’entrée en vigueur complète des obligations haut risque autour de 2027 [3][5][7].\n\nLe rôle de la Commission, du Parlement et des organismes de normalisation (CEN‑CENELEC) reste crucial pour clarifier les attentes, tandis que des voix industrielles appellent à concilier innovation, compétitivité et conformité.\n\n---\n\nEn résumé, les amendements du Digital Omnibus ne suspendent pas la régulation de l’IA : ils déplacent le curseur temporel et ouvrent une fenêtre où les choix d’architecture, de gouvernance et de documentation conditionneront la capacité des organisations à rester dans les clous, sans subir un « mur réglementaire » à l’horizon 2027–2028.","\u003Cp>Les amendements du Digital Omnibus interviennent sur un AI Act déjà dense, avec un calendrier d’application initialement étalé jusqu’en 2027 pour les systèmes à haut risque \u003Ca href=\"#source-3\" class=\"citation-link\" title=\"View source [3]\">[3]\u003C\u002Fa>\u003Ca href=\"#source-7\" class=\"citation-link\" title=\"View source [7]\">[7]\u003C\u002Fa>.\u003Cbr>\nPour les équipes d’ingénierie et de conformité, ce n’est pas un « sursis » mais un changement de tempo : une zone d’ombre réglementaire s’ouvre, alors que des obligations majeures sont déjà actives, notamment l’interdiction des pratiques d’IA inacceptables depuis le 2 février 2025 \u003Ca href=\"#source-1\" class=\"citation-link\" title=\"View source [1]\">[1]\u003C\u002Fa>\u003Ca href=\"#source-5\" class=\"citation-link\" title=\"View source [5]\">[5]\u003C\u002Fa>\u003Ca href=\"#source-7\" class=\"citation-link\" title=\"View source [7]\">[7]\u003C\u002Fa>.\u003C\u002Fp>\n\u003Cp>Les choix d’architecture (LLM, RAG, fine‑tuning, agents, scoring, IA locale ou cloud) deviennent aussi des choix de gouvernance, de traçabilité et de gestion du risque réglementaire, au même niveau que la latence, la sécurité ou le coût d’inférence \u003Ca href=\"#source-2\" class=\"citation-link\" title=\"View source [2]\">[2]\u003C\u002Fa>\u003Ca href=\"#source-3\" class=\"citation-link\" title=\"View source [3]\">[3]\u003C\u002Fa>.\u003Cbr>\nL’enjeu : construire des systèmes IA robustes, documentés et auditables au‑delà de 2027, dans un contexte de transformation digitale profonde des chaînes de production et de la supply chain \u003Ca href=\"#source-3\" class=\"citation-link\" title=\"View source [3]\">[3]\u003C\u002Fa>\u003Ca href=\"#source-7\" class=\"citation-link\" title=\"View source [7]\">[7]\u003C\u002Fa>.\u003C\u002Fp>\n\u003Chr>\n\u003Ch2>1. Rappel express de l’AI Act et rôle du Digital Omnibus dans la régulation IA\u003C\u002Fh2>\n\u003Ch3>1.1 Ce que cadre l’AI Act\u003C\u002Fh3>\n\u003Cp>L’AI Act (règlement UE 2024\u002F1689) est le premier cadre juridique global dédié à l’IA, fondé sur une approche par niveaux de risque avec obligations graduées pour fournisseurs et déployeurs \u003Ca href=\"#source-1\" class=\"citation-link\" title=\"View source [1]\">[1]\u003C\u002Fa>\u003Ca href=\"#source-3\" class=\"citation-link\" title=\"View source [3]\">[3]\u003C\u002Fa>. Il encadre :\u003C\u002Fp>\n\u003Cul>\n\u003Cli>Développement, mise sur le marché, utilisation des systèmes IA.\u003C\u002Fli>\n\u003Cli>Cas d’usage ayant un impact potentiel sur santé, sécurité, droits fondamentaux \u003Ca href=\"#source-1\" class=\"citation-link\" title=\"View source [1]\">[1]\u003C\u002Fa>\u003Ca href=\"#source-3\" class=\"citation-link\" title=\"View source [3]\">[3]\u003C\u002Fa>.\u003C\u002Fli>\n\u003C\u002Ful>\n\u003Cp>Objectifs principaux :\u003C\u002Fp>\n\u003Cul>\n\u003Cli>Harmoniser le marché intérieur avec des règles communes.\u003C\u002Fli>\n\u003Cli>Réduire les risques pour santé, sécurité, démocratie, droits fondamentaux, en particulier manipulation et certaines surveillances \u003Ca href=\"#source-3\" class=\"citation-link\" title=\"View source [3]\">[3]\u003C\u002Fa>.\u003C\u002Fli>\n\u003C\u002Ful>\n\u003Cp>C’est d’abord un règlement de conformité technique et organisationnelle (gouvernance, gestion des risques, transparence, documentation) plus qu’un texte « pro‑innovation » \u003Ca href=\"#source-2\" class=\"citation-link\" title=\"View source [2]\">[2]\u003C\u002Fa>\u003Ca href=\"#source-3\" class=\"citation-link\" title=\"View source [3]\">[3]\u003C\u002Fa>.\u003Cbr>\nLes modèles (généralistes ou spécialisés) sont vus comme des sources potentielles de biais à maîtriser sur tout leur cycle de vie.\u003C\u002Fp>\n\u003Ch3>1.2 Calendrier initial et points durs\u003C\u002Fh3>\n\u003Cul>\n\u003Cli>Entrée en vigueur : 1er août 2024.\u003C\u002Fli>\n\u003Cli>Application progressive jusqu’au 2 août 2027 \u003Ca href=\"#source-1\" class=\"citation-link\" title=\"View source [1]\">[1]\u003C\u002Fa>\u003Ca href=\"#source-3\" class=\"citation-link\" title=\"View source [3]\">[3]\u003C\u002Fa>.\u003C\u002Fli>\n\u003Cli>Interdiction des pratiques d’IA inacceptables : depuis le 2 février 2025 \u003Ca href=\"#source-1\" class=\"citation-link\" title=\"View source [1]\">[1]\u003C\u002Fa>\u003Ca href=\"#source-5\" class=\"citation-link\" title=\"View source [5]\">[5]\u003C\u002Fa>.\u003C\u002Fli>\n\u003Cli>Obligations complètes pour les systèmes à haut risque : initialement prévues au 2 août 2026, avant Omnibus \u003Ca href=\"#source-5\" class=\"citation-link\" title=\"View source [5]\">[5]\u003C\u002Fa>\u003Ca href=\"#source-7\" class=\"citation-link\" title=\"View source [7]\">[7]\u003C\u002Fa>.\u003C\u002Fli>\n\u003C\u002Ful>\n\u003Cblockquote>\n\u003Cp>⚠️ Attention\u003Cbr>\nSanctions possibles : jusqu’à 35 M€ ou 7 % du CA mondial, notamment pour les systèmes à haut risque \u003Ca href=\"#source-5\" class=\"citation-link\" title=\"View source [5]\">[5]\u003C\u002Fa>.\u003C\u002Fp>\n\u003C\u002Fblockquote>\n\u003Ch3>1.3 Le rôle spécifique du Digital Omnibus\u003C\u002Fh3>\n\u003Cp>Le Digital Omnibus est un paquet d’ajustements proposé par la Commission européenne pour :\u003C\u002Fp>\n\u003Cul>\n\u003Cli>Recalibrer le calendrier des dispositions les plus contraignantes de l’AI Act.\u003C\u002Fli>\n\u003Cli>Cibler surtout les systèmes à haut risque \u003Ca href=\"#source-7\" class=\"citation-link\" title=\"View source [7]\">[7]\u003C\u002Fa>.\u003C\u002Fli>\n\u003C\u002Ful>\n\u003Cp>Pour les équipes techniques, le couple AI Act + Omnibus transforme en enjeux de conformité :\u003C\u002Fp>\n\u003Cul>\n\u003Cli>Choix des modèles de base (propriétaire, open source, interne).\u003C\u002Fli>\n\u003Cli>Stratégies LLM (RAG, fine‑tuning, modèles spécialisés).\u003C\u002Fli>\n\u003Cli>Conception d’agents outillés et de chaînes de décision automatisées \u003Ca href=\"#source-2\" class=\"citation-link\" title=\"View source [2]\">[2]\u003C\u002Fa>\u003Ca href=\"#source-4\" class=\"citation-link\" title=\"View source [4]\">[4]\u003C\u002Fa>.\u003C\u002Fli>\n\u003C\u002Ful>\n\u003Cp>En synthèse : l’AI Act fixe le cadre, le Digital Omnibus reprogramme la montée en charge et les jalons temporels.\u003C\u002Fp>\n\u003Chr>\n\u003Ch2>2. Ce que changent les amendements du Digital Omnibus : calendrier, zones grises et risques\u003C\u002Fh2>\n\u003Ch3>2.1 Report des obligations haut risque\u003C\u002Fh3>\n\u003Cp>Les ajustements Omnibus visent à :\u003C\u002Fp>\n\u003Cul>\n\u003Cli>Reporter l’entrée en vigueur des obligations les plus lourdes pour les systèmes à haut risque, prévues pour août 2026, vers une échéance probable fin 2027 ou 2028 \u003Ca href=\"#source-7\" class=\"citation-link\" title=\"View source [7]\">[7]\u003C\u002Fa>.\u003C\u002Fli>\n\u003Cli>Tenir compte du retard de la Commission sur le cadre détaillé de classification des systèmes à haut risque, initialement attendu en février \u003Ca href=\"#source-7\" class=\"citation-link\" title=\"View source [7]\">[7]\u003C\u002Fa>.\u003C\u002Fli>\n\u003C\u002Ful>\n\u003Cp>Les travaux de normalisation (CEN‑CENELEC) n’aboutiront pas à tous les standards avant plusieurs années.\u003C\u002Fp>\n\u003Cblockquote>\n\u003Cp>📊 Chiffre clé\u003Cbr>\nGlissement estimé : 16 à 24 mois pour l’entrée en vigueur complète des obligations haut risque \u003Ca href=\"#source-7\" class=\"citation-link\" title=\"View source [7]\">[7]\u003C\u002Fa>.\u003C\u002Fp>\n\u003C\u002Fblockquote>\n\u003Ch3>2.2 Une zone d’ombre réglementaire\u003C\u002Fh3>\n\u003Cp>L’eurodéputé Sergey Lagodinsky évoque une « zone d’ombre juridique » : le cadre ne pouvant être rétroactif, certains acteurs pourraient :\u003C\u002Fp>\n\u003Cul>\n\u003Cli>Déployer rapidement des systèmes à haut risque non conformes avant pleine application.\u003C\u002Fli>\n\u003Cli>Espérer échapper ensuite aux contraintes \u003Ca href=\"#source-7\" class=\"citation-link\" title=\"View source [7]\">[7]\u003C\u002Fa>.\u003C\u002Fli>\n\u003C\u002Ful>\n\u003Cp>Risques :\u003C\u002Fp>\n\u003Cul>\n\u003Cli>Concurrence déloyale envers ceux qui investissent dès maintenant dans la conformité.\u003C\u002Fli>\n\u003Cli>Sous‑investissement dans la gouvernance des systèmes IA critiques.\u003C\u002Fli>\n\u003C\u002Ful>\n\u003Cp>Pourtant :\u003C\u002Fp>\n\u003Cul>\n\u003Cli>Les interdictions de pratiques inacceptables s’appliquent déjà.\u003C\u002Fli>\n\u003Cli>Les sanctions maximales existent déjà \u003Ca href=\"#source-1\" class=\"citation-link\" title=\"View source [1]\">[1]\u003C\u002Fa>\u003Ca href=\"#source-5\" class=\"citation-link\" title=\"View source [5]\">[5]\u003C\u002Fa>\u003Ca href=\"#source-7\" class=\"citation-link\" title=\"View source [7]\">[7]\u003C\u002Fa>.\u003C\u002Fli>\n\u003C\u002Ful>\n\u003Ch3>2.3 Re‑prioriser plutôt que geler la conformité\u003C\u002Fh3>\n\u003Cp>Pour responsables IA, RSSI, DPO, le message est : re‑prioriser, ne pas suspendre.\u003C\u002Fp>\n\u003Cul>\n\u003Cli>Actions immédiates :\n\u003Cul>\n\u003Cli>audit des pratiques d’IA inacceptables,\u003C\u002Fli>\n\u003Cli>gouvernance IA minimale,\u003C\u002Fli>\n\u003Cli>documentation de base des systèmes existants \u003Ca href=\"#source-1\" class=\"citation-link\" title=\"View source [1]\">[1]\u003C\u002Fa>\u003Ca href=\"#source-5\" class=\"citation-link\" title=\"View source [5]\">[5]\u003C\u002Fa>.\u003C\u002Fli>\n\u003C\u002Ful>\n\u003C\u002Fli>\n\u003Cli>Travaux de fond :\n\u003Cul>\n\u003Cli>gestion des risques pour les systèmes susceptibles d’être haut risque,\u003C\u002Fli>\n\u003Cli>registres, fiches techniques, procédures d’évaluation \u003Ca href=\"#source-2\" class=\"citation-link\" title=\"View source [2]\">[2]\u003C\u002Fa>\u003Ca href=\"#source-3\" class=\"citation-link\" title=\"View source [3]\">[3]\u003C\u002Fa>\u003Ca href=\"#source-7\" class=\"citation-link\" title=\"View source [7]\">[7]\u003C\u002Fa>.\u003C\u002Fli>\n\u003C\u002Ful>\n\u003C\u002Fli>\n\u003C\u002Ful>\n\u003Cblockquote>\n\u003Cp>💼 Anecdote terrain\u003Cbr>\nDans une ETI industrielle, un moteur de scoring RH peu documenté a été bloqué par le DPO, rappelant que l’emploi relève très probablement du haut risque et que la mise en conformité tardive serait coûteuse \u003Ca href=\"#source-3\" class=\"citation-link\" title=\"View source [3]\">[3]\u003C\u002Fa>\u003Ca href=\"#source-5\" class=\"citation-link\" title=\"View source [5]\">[5]\u003C\u002Fa>\u003Ca href=\"#source-7\" class=\"citation-link\" title=\"View source [7]\">[7]\u003C\u002Fa>.\u003C\u002Fp>\n\u003C\u002Fblockquote>\n\u003Cp>Mini‑conclusion : le report réorganise le calendrier, il ne suspend pas le risque juridique.\u003C\u002Fp>\n\u003Chr>\n\u003Ch2>3. Clarification de la notion de systèmes à haut risque et cas des LLM en production\u003C\u002Fh2>\n\u003Ch3>3.1 Les quatre niveaux de risque\u003C\u002Fh3>\n\u003Cp>L’AI Act distingue quatre niveaux : inacceptable (interdit), haut, obligations de transparence, risque minimal \u003Ca href=\"#source-1\" class=\"citation-link\" title=\"View source [1]\">[1]\u003C\u002Fa>\u003Ca href=\"#source-3\" class=\"citation-link\" title=\"View source [3]\">[3]\u003C\u002Fa>.\u003Cbr>\nLes systèmes à haut risque concernent notamment :\u003C\u002Fp>\n\u003Cul>\n\u003Cli>Emploi, santé, éducation.\u003C\u002Fli>\n\u003Cli>Accès aux services essentiels.\u003C\u002Fli>\n\u003Cli>Biométrie et sécurité \u003Ca href=\"#source-1\" class=\"citation-link\" title=\"View source [1]\">[1]\u003C\u002Fa>\u003Ca href=\"#source-3\" class=\"citation-link\" title=\"View source [3]\">[3]\u003C\u002Fa>.\u003C\u002Fli>\n\u003C\u002Ful>\n\u003Cp>Exigences renforcées :\u003C\u002Fp>\n\u003Cul>\n\u003Cli>Gestion systématique des risques.\u003C\u002Fli>\n\u003Cli>Documentation technique détaillée.\u003C\u002Fli>\n\u003Cli>Gouvernance et qualité des données.\u003C\u002Fli>\n\u003Cli>Transparence envers les utilisateurs \u003Ca href=\"#source-1\" class=\"citation-link\" title=\"View source [1]\">[1]\u003C\u002Fa>\u003Ca href=\"#source-3\" class=\"citation-link\" title=\"View source [3]\">[3]\u003C\u002Fa>.\u003C\u002Fli>\n\u003C\u002Ful>\n\u003Ch3>3.2 LLM : ce n’est pas le modèle, c’est l’usage\u003C\u002Fh3>\n\u003Cp>Les guides AI Act appliqués aux LLM rappellent :\u003C\u002Fp>\n\u003Cul>\n\u003Cli>La classification dépend du cas d’usage, du contexte et de l’impact sur les droits, pas du modèle nu \u003Ca href=\"#source-4\" class=\"citation-link\" title=\"View source [4]\">[4]\u003C\u002Fa>.\u003C\u002Fli>\n\u003C\u002Ful>\n\u003Cp>Un même LLM :\u003C\u002Fp>\n\u003Cul>\n\u003Cli>Reste à risque limité comme chatbot interne de support documentaire.\u003C\u002Fli>\n\u003Cli>Devient haut risque s’il intervient dans : recrutement, crédit, tri de dossiers de santé, etc. \u003Ca href=\"#source-3\" class=\"citation-link\" title=\"View source [3]\">[3]\u003C\u002Fa>\u003Ca href=\"#source-4\" class=\"citation-link\" title=\"View source [4]\">[4]\u003C\u002Fa>.\u003C\u002Fli>\n\u003C\u002Ful>\n\u003Cblockquote>\n\u003Cp>💡 Point clé\u003Cbr>\nLa frontière haut risque se situe dans la chaîne de décision ayant un effet juridique ou équivalent, pas dans la catégorie de modèle (LLM généraliste ou spécialisé) \u003Ca href=\"#source-1\" class=\"citation-link\" title=\"View source [1]\">[1]\u003C\u002Fa>\u003Ca href=\"#source-3\" class=\"citation-link\" title=\"View source [3]\">[3]\u003C\u002Fa>\u003Ca href=\"#source-4\" class=\"citation-link\" title=\"View source [4]\">[4]\u003C\u002Fa>.\u003C\u002Fp>\n\u003C\u002Fblockquote>\n\u003Ch3>3.3 Architectures LLM modernes : un casse‑tête de classification\u003C\u002Fh3>\n\u003Cp>Les architectures modernes (RAG, orchestrateurs, agents multi‑outils) combinent :\u003C\u002Fp>\n\u003Cul>\n\u003Cli>Plusieurs modèles, règles métiers, connecteurs SI, API externes \u003Ca href=\"#source-4\" class=\"citation-link\" title=\"View source [4]\">[4]\u003C\u002Fa>.\u003C\u002Fli>\n\u003C\u002Ful>\n\u003Cp>Sans cadre clair de la Commission sur ce qu’est un « système à haut risque », on ne sait pas toujours si le système à déclarer est :\u003C\u002Fp>\n\u003Cul>\n\u003Cli>Le LLM nu.\u003C\u002Fli>\n\u003Cli>Le pipeline RAG complet.\u003C\u002Fli>\n\u003Cli>Ou l’ensemble de la chaîne décisionnelle incluant les règles métiers \u003Ca href=\"#source-4\" class=\"citation-link\" title=\"View source [4]\">[4]\u003C\u002Fa>\u003Ca href=\"#source-7\" class=\"citation-link\" title=\"View source [7]\">[7]\u003C\u002Fa>.\u003C\u002Fli>\n\u003C\u002Ful>\n\u003Cp>D’où l’importance de documenter dès maintenant :\u003C\u002Fp>\n\u003Cul>\n\u003Cli>Flux de données.\u003C\u002Fli>\n\u003Cli>Points de décision automatique.\u003C\u002Fli>\n\u003Cli>Rôle exact des modèles dans les pipelines \u003Ca href=\"#source-4\" class=\"citation-link\" title=\"View source [4]\">[4]\u003C\u002Fa>\u003Ca href=\"#source-5\" class=\"citation-link\" title=\"View source [5]\">[5]\u003C\u002Fa>\u003Ca href=\"#source-7\" class=\"citation-link\" title=\"View source [7]\">[7]\u003C\u002Fa>.\u003C\u002Fli>\n\u003C\u002Ful>\n\u003Ch3>3.4 Articulation AI Act \u002F RGPD pour les LLM\u003C\u002Fh3>\n\u003Cp>La CNIL souligne la complémentarité :\u003C\u002Fp>\n\u003Cul>\n\u003Cli>AI Act : risques du système IA.\u003C\u002Fli>\n\u003Cli>RGPD : protection des données personnelles \u003Ca href=\"#source-1\" class=\"citation-link\" title=\"View source [1]\">[1]\u003C\u002Fa>\u003Ca href=\"#source-2\" class=\"citation-link\" title=\"View source [2]\">[2]\u003C\u002Fa>.\u003C\u002Fli>\n\u003C\u002Ful>\n\u003Cp>Pour des LLM traitant des données sensibles (RH, santé, incidents sécurité), il faut :\u003C\u002Fp>\n\u003Cul>\n\u003Cli>Analyser les risques IA (biais, opacité, robustesse).\u003C\u002Fli>\n\u003Cli>Réaliser les AIPD appropriées \u003Ca href=\"#source-1\" class=\"citation-link\" title=\"View source [1]\">[1]\u003C\u002Fa>\u003Ca href=\"#source-5\" class=\"citation-link\" title=\"View source [5]\">[5]\u003C\u002Fa>.\u003C\u002Fli>\n\u003C\u002Ful>\n\u003Cblockquote>\n\u003Cp>⚡ En pratique\u003Cbr>\nUn assistant LLM qui trie automatiquement des tickets clients de résiliation ou contentieux doit être vu comme :\u003C\u002Fp>\n\u003Cul>\n\u003Cli>système décisionnel potentiellement haut risque,\u003C\u002Fli>\n\u003Cli>traitement massif de données personnelles \u003Ca href=\"#source-1\" class=\"citation-link\" title=\"View source [1]\">[1]\u003C\u002Fa>\u003Ca href=\"#source-3\" class=\"citation-link\" title=\"View source [3]\">[3]\u003C\u002Fa>\u003Ca href=\"#source-4\" class=\"citation-link\" title=\"View source [4]\">[4]\u003C\u002Fa>.\u003C\u002Fli>\n\u003C\u002Ful>\n\u003C\u002Fblockquote>\n\u003Cp>Mini‑conclusion : les LLM ne sont plus de simples « APIs texte » ; ils redéfinissent la notion de système à haut risque.\u003C\u002Fp>\n\u003Chr>\n\u003Ch2>4. Gouvernance et cartographie des systèmes IA : ce que les amendements changent (ou pas)\u003C\u002Fh2>\n\u003Ch3>4.1 Gouvernance IA structurée\u003C\u002Fh3>\n\u003Cp>Les guides recommandent de :\u003C\u002Fp>\n\u003Cul>\n\u003Cli>Désigner un pilote IA\u002FRIA.\u003C\u002Fli>\n\u003Cli>Créer une équipe transverse (juridique, DPO, sécurité, data, ingénierie).\u003C\u002Fli>\n\u003Cli>Formaliser une feuille de route IA avec responsabilités claires (RACI) \u003Ca href=\"#source-2\" class=\"citation-link\" title=\"View source [2]\">[2]\u003C\u002Fa>\u003Ca href=\"#source-5\" class=\"citation-link\" title=\"View source [5]\">[5]\u003C\u002Fa>.\u003C\u002Fli>\n\u003C\u002Ful>\n\u003Cp>La checklist AI Act opérationnelle repose sur six étapes, dont :\u003C\u002Fp>\n\u003Cul>\n\u003Cli>Inventaire systématique des systèmes IA.\u003C\u002Fli>\n\u003Cli>Analyse de leurs cas d’usage selon le niveau de risque \u003Ca href=\"#source-5\" class=\"citation-link\" title=\"View source [5]\">[5]\u003C\u002Fa>.\u003C\u002Fli>\n\u003C\u002Ful>\n\u003Cp>Les reports Omnibus ne remettent pas ces fondamentaux en cause, qu’on s’appuie sur des ressources internes ou des guides comme celui de l’AFG (Janvier 2025).\u003C\u002Fp>\n\u003Cblockquote>\n\u003Cp>💡 Encadré gouvernance\u003Cbr>\nDémarche recommandée :\u003C\u002Fp>\n\u003Cul>\n\u003Cli>Étape 1 : gouvernance et pilotage IA.\u003C\u002Fli>\n\u003Cli>Étape 2 : cartographie des systèmes IA.\u003C\u002Fli>\n\u003Cli>Étape 3 : qualification des rôles (fournisseur, déployeur).\u003C\u002Fli>\n\u003Cli>Étape 4 : plan d’actions RIA\u002FRGPD.\u003C\u002Fli>\n\u003Cli>Étape 5 : gestion intégrée des risques.\u003C\u002Fli>\n\u003Cli>Étape 6 : preuves de conformité et auditabilité \u003Ca href=\"#source-5\" class=\"citation-link\" title=\"View source [5]\">[5]\u003C\u002Fa>.\u003C\u002Fli>\n\u003C\u002Ful>\n\u003C\u002Fblockquote>\n\u003Ch3>4.2 Surveillance du marché : un pouvoir déjà actif\u003C\u002Fh3>\n\u003Cp>Les articles 74 à 84 de l’AI Act définissent :\u003C\u002Fp>\n\u003Cul>\n\u003Cli>La surveillance du marché.\u003C\u002Fli>\n\u003Cli>Les pouvoirs des autorités de protection des droits fondamentaux.\u003C\u002Fli>\n\u003Cli>Les procédures nationales en cas de systèmes IA risqués \u003Ca href=\"#source-6\" class=\"citation-link\" title=\"View source [6]\">[6]\u003C\u002Fa>.\u003C\u002Fli>\n\u003C\u002Ful>\n\u003Cp>Conséquences :\u003C\u002Fp>\n\u003Cul>\n\u003Cli>Des contrôles peuvent intervenir avant la pleine application haut risque.\u003C\u002Fli>\n\u003Cli>Un système jugé dangereux peut faire l’objet de mesures nationales, même s’il semble conforme sur le papier \u003Ca href=\"#source-3\" class=\"citation-link\" title=\"View source [3]\">[3]\u003C\u002Fa>\u003Ca href=\"#source-6\" class=\"citation-link\" title=\"View source [6]\">[6]\u003C\u002Fa>.\u003C\u002Fli>\n\u003C\u002Ful>\n\u003Cp>Pour un système RAG juridique ou un moteur de scoring salarié, ignorer ces mécanismes est un risque opérationnel. CNIL, France Digitale, Hub France IA publient des recommandations pour anticiper ces contrôles.\u003C\u002Fp>\n\u003Ch3>4.3 Traçabilité by design pour les équipes d’ingénierie\u003C\u002Fh3>\n\u003Cp>Pour les équipes ML\u002Fproduit, il devient rationnel d’intégrer dès la conception :\u003C\u002Fp>\n\u003Cul>\n\u003Cli>Logs détaillés (prompts, contexte RAG, réponses).\u003C\u002Fli>\n\u003Cli>Fiches de modèle (version, données d’entraînement, limitations).\u003C\u002Fli>\n\u003Cli>Protocoles d’évaluation (taux d’erreur, biais connus, métriques de retrieval).\u003C\u002Fli>\n\u003Cli>Procédures de rollback et désactivation rapide \u003Ca href=\"#source-2\" class=\"citation-link\" title=\"View source [2]\">[2]\u003C\u002Fa>\u003Ca href=\"#source-5\" class=\"citation-link\" title=\"View source [5]\">[5]\u003C\u002Fa>\u003Ca href=\"#source-6\" class=\"citation-link\" title=\"View source [6]\">[6]\u003C\u002Fa>.\u003C\u002Fli>\n\u003C\u002Ful>\n\u003Cp>Ces artefacts permettent :\u003C\u002Fp>\n\u003Cul>\n\u003Cli>De répondre aux autorités en cas de procédure (article 79).\u003C\u002Fli>\n\u003Cli>D’objectiver les décisions internes (poursuite, restriction, arrêt d’un système) \u003Ca href=\"#source-6\" class=\"citation-link\" title=\"View source [6]\">[6]\u003C\u002Fa>.\u003C\u002Fli>\n\u003C\u002Ful>\n\u003Cblockquote>\n\u003Cp>⚠️ Risque stratégique\u003Cbr>\nRepousser cartographie et documentation expose à un « mur réglementaire » vers 2027, avec des systèmes déjà profondément intégrés et coûteux à refondre \u003Ca href=\"#source-5\" class=\"citation-link\" title=\"View source [5]\">[5]\u003C\u002Fa>\u003Ca href=\"#source-7\" class=\"citation-link\" title=\"View source [7]\">[7]\u003C\u002Fa>.\u003C\u002Fp>\n\u003C\u002Fblockquote>\n\u003Cp>Mini‑conclusion : l’Omnibus offre un temps pour consolider la gouvernance IA, pas pour l’ignorer.\u003C\u002Fp>\n\u003Chr>\n\u003Ch2>5. Impacts sur les architectures IA : RAG, fine-tuning, agents et systèmes à usage général\u003C\u002Fh2>\n\u003Ch3>5.1 Systèmes à usage général et chaînes critiques\u003C\u002Fh3>\n\u003Cp>Les systèmes à usage général (dont les grands modèles de langage) peuvent être soumis à une surveillance renforcée lorsqu’ils sont intégrés dans des chaînes décisionnelles critiques \u003Ca href=\"#source-3\" class=\"citation-link\" title=\"View source [3]\">[3]\u003C\u002Fa>\u003Ca href=\"#source-4\" class=\"citation-link\" title=\"View source [4]\">[4]\u003C\u002Fa>.\u003Cbr>\nÀ documenter :\u003C\u002Fp>\n\u003Cul>\n\u003Cli>Usages exacts : RAG, classification, scoring, génération de rapports.\u003C\u002Fli>\n\u003Cli>Outils\u002Fbases : vector DB, moteurs de recherche, outils d’agent \u003Ca href=\"#source-2\" class=\"citation-link\" title=\"View source [2]\">[2]\u003C\u002Fa>\u003Ca href=\"#source-4\" class=\"citation-link\" title=\"View source [4]\">[4]\u003C\u002Fa>.\u003C\u002Fli>\n\u003C\u002Ful>\n\u003Cp>Une simple « fiche modèle » ne suffit plus : le pipeline complet (cloud, IA locale, orchestrateurs) doit être compréhensible.\u003C\u002Fp>\n\u003Ch3>5.2 RAG et agents : risques spécifiques dans la zone grise\u003C\u002Fh3>\n\u003Cp>Dans la fenêtre Omnibus, certains pourraient déployer des systèmes quasi haut risque sans garde‑fous \u003Ca href=\"#source-7\" class=\"citation-link\" title=\"View source [7]\">[7]\u003C\u002Fa>.\u003Cbr>\nPoints de vigilance RAG\u002Fagents :\u003C\u002Fp>\n\u003Cul>\n\u003Cli>Récupération de documents défaillante (index incomplet, absence de reranking).\u003C\u002Fli>\n\u003Cli>Manque de garde‑fous (validation humaine, limites claires de décision).\u003C\u002Fli>\n\u003Cli>Accès trop large aux outils (actions irréversibles par l’agent) \u003Ca href=\"#source-4\" class=\"citation-link\" title=\"View source [4]\">[4]\u003C\u002Fa>\u003Ca href=\"#source-7\" class=\"citation-link\" title=\"View source [7]\">[7]\u003C\u002Fa>.\u003C\u002Fli>\n\u003C\u002Ful>\n\u003Cblockquote>\n\u003Cp>💼 Exemple concret\u003Cbr>\nUn agent LLM connecté à un CRM et à un outil de relance automatique, sans supervision, peut refuser des remises de dettes ou proposer des échéanciers défavorables, impactant directement des personnes vulnérables : la qualification haut risque devient crédible \u003Ca href=\"#source-3\" class=\"citation-link\" title=\"View source [3]\">[3]\u003C\u002Fa>\u003Ca href=\"#source-4\" class=\"citation-link\" title=\"View source [4]\">[4]\u003C\u002Fa>.\u003C\u002Fp>\n\u003C\u002Fblockquote>\n\u003Ch3>5.3 Documentation technique adaptée à l’AI Act\u003C\u002Fh3>\n\u003Cp>Les guides de conformité insistent sur :\u003C\u002Fp>\n\u003Cul>\n\u003Cli>Gestion des risques.\u003C\u002Fli>\n\u003Cli>Transparence.\u003C\u002Fli>\n\u003Cli>Robustesse des systèmes IA \u003Ca href=\"#source-2\" class=\"citation-link\" title=\"View source [2]\">[2]\u003C\u002Fa>\u003Ca href=\"#source-4\" class=\"citation-link\" title=\"View source [4]\">[4]\u003C\u002Fa>\u003Ca href=\"#source-5\" class=\"citation-link\" title=\"View source [5]\">[5]\u003C\u002Fa>.\u003C\u002Fli>\n\u003C\u002Ful>\n\u003Cp>Pour un pipeline LLM\u002FRAG, la documentation devrait au minimum couvrir :\u003C\u002Fp>\n\u003Cul>\n\u003Cli>Schéma d’architecture :\n\u003Cul>\n\u003Cli>sources de données,\u003C\u002Fli>\n\u003Cli>vector DB,\u003C\u002Fli>\n\u003Cli>recherche\u002Freranking,\u003C\u002Fli>\n\u003Cli>orchestrateur, agents.\u003C\u002Fli>\n\u003C\u002Ful>\n\u003C\u002Fli>\n\u003Cli>Régime de données : types, conservation, minimisation \u003Ca href=\"#source-1\" class=\"citation-link\" title=\"View source [1]\">[1]\u003C\u002Fa>\u003Ca href=\"#source-5\" class=\"citation-link\" title=\"View source [5]\">[5]\u003C\u002Fa>.\u003C\u002Fli>\n\u003Cli>Évaluation : scénarios de test, seuils de performance, monitoring continu \u003Ca href=\"#source-2\" class=\"citation-link\" title=\"View source [2]\">[2]\u003C\u002Fa>\u003Ca href=\"#source-4\" class=\"citation-link\" title=\"View source [4]\">[4]\u003C\u002Fa>.\u003C\u002Fli>\n\u003C\u002Ful>\n\u003Cp>Des acteurs européens (Mistral AI, Dust) et associations (France Digitale) travaillent déjà à intégrer transparence et auditabilité dans leurs offres.\u003C\u002Fp>\n\u003Ch3>5.4 Auditabilité et instrumentation\u003C\u002Fh3>\n\u003Cp>Pour anticiper les futures obligations haut risque, il faut intégrer dès maintenant :\u003C\u002Fp>\n\u003Cul>\n\u003Cli>Journalisation des prompts, réponses, décisions automatiques.\u003C\u002Fli>\n\u003Cli>Tableaux de bord de métriques (hallucinations, erreurs de routing RAG).\u003C\u002Fli>\n\u003Cli>Revues régulières du comportement des agents dans les scénarios critiques \u003Ca href=\"#source-3\" class=\"citation-link\" title=\"View source [3]\">[3]\u003C\u002Fa>\u003Ca href=\"#source-5\" class=\"citation-link\" title=\"View source [5]\">[5]\u003C\u002Fa>.\u003C\u002Fli>\n\u003C\u002Ful>\n\u003Cblockquote>\n\u003Cp>⚡ Alignement avec les bonnes pratiques\u003Cbr>\nLa CNIL et les checklists AI Act mettent l’accent sur :\u003C\u002Fp>\n\u003Cul>\n\u003Cli>minimisation des données,\u003C\u002Fli>\n\u003Cli>sécurité des modèles,\u003C\u002Fli>\n\u003Cli>documentation vivante,\u003C\u002Fli>\n\u003Cli>traçabilité,\u003C\u002Fli>\n\u003Cli>« IA Compliance by Design » \u003Ca href=\"#source-1\" class=\"citation-link\" title=\"View source [1]\">[1]\u003C\u002Fa>\u003Ca href=\"#source-2\" class=\"citation-link\" title=\"View source [2]\">[2]\u003C\u002Fa>\u003Ca href=\"#source-5\" class=\"citation-link\" title=\"View source [5]\">[5]\u003C\u002Fa>.\u003C\u002Fli>\n\u003C\u002Ful>\n\u003C\u002Fblockquote>\n\u003Cp>Mini‑conclusion : le délai Omnibus doit servir à rendre les architectures intrinsèquement auditables et documentables.\u003C\u002Fp>\n\u003Chr>\n\u003Ch2>6. Feuille de route de conformité IA 2024–2028 à l’ère du Digital Omnibus\u003C\u002Fh2>\n\u003Ch3>6.1 2024–2025 : socle minimal et pratiques inacceptables\u003C\u002Fh3>\n\u003Cp>Priorités à court terme :\u003C\u002Fp>\n\u003Cul>\n\u003Cli>Arrêter ou adapter les pratiques d’IA inacceptables (notation sociale, exploitation de vulnérabilités, certaines reconnaissances biométriques, etc.) \u003Ca href=\"#source-1\" class=\"citation-link\" title=\"View source [1]\">[1]\u003C\u002Fa>\u003Ca href=\"#source-5\" class=\"citation-link\" title=\"View source [5]\">[5]\u003C\u002Fa>.\u003C\u002Fli>\n\u003Cli>Mettre en place la gouvernance IA (pilote, comité, feuille de route).\u003C\u002Fli>\n\u003Cli>Cartographier tous les systèmes IA internes\u002Fexternes via une grille de risque AI Act \u003Ca href=\"#source-5\" class=\"citation-link\" title=\"View source [5]\">[5]\u003C\u002Fa>.\u003C\u002Fli>\n\u003C\u002Ful>\n\u003Cblockquote>\n\u003Cp>💡 Étape structurante\u003Cbr>\nAligner cette cartographie avec le registre des traitements RGPD existant permet de :\u003C\u002Fp>\n\u003Cul>\n\u003Cli>limiter l’effort,\u003C\u002Fli>\n\u003Cli>unifier la vision des risques \u003Ca href=\"#source-1\" class=\"citation-link\" title=\"View source [1]\">[1]\u003C\u002Fa>\u003Ca href=\"#source-2\" class=\"citation-link\" title=\"View source [2]\">[2]\u003C\u002Fa>\u003Ca href=\"#source-5\" class=\"citation-link\" title=\"View source [5]\">[5]\u003C\u002Fa>.\u003C\u002Fli>\n\u003C\u002Ful>\n\u003C\u002Fblockquote>\n\u003Ch3>6.2 2025–2026 : classification et ciblage des systèmes critiques\u003C\u002Fh3>\n\u003Cp>Efforts à concentrer sur :\u003C\u002Fp>\n\u003Cul>\n\u003Cli>Classification par niveau de risque, en particulier pour :\n\u003Cul>\n\u003Cli>LLM impliqués dans des décisions à effet juridique ou équivalent (emploi, crédit, santé).\u003C\u002Fli>\n\u003Cli>Systèmes de scoring\u002Frecommandation fortement intégrés aux processus métier.\u003C\u002Fli>\n\u003Cli>Cas d’usage sensibles en production\u002Fsupply chain (maintenance, sécurité, allocation de ressources).\u003C\u002Fli>\n\u003C\u002Ful>\n\u003C\u002Fli>\n\u003Cli>Renforcement de la documentation et des procédures d’évaluation de ces systèmes critiques, pour anticiper l’entrée en vigueur complète des obligations haut risque autour de 2027 \u003Ca href=\"#source-3\" class=\"citation-link\" title=\"View source [3]\">[3]\u003C\u002Fa>\u003Ca href=\"#source-5\" class=\"citation-link\" title=\"View source [5]\">[5]\u003C\u002Fa>\u003Ca href=\"#source-7\" class=\"citation-link\" title=\"View source [7]\">[7]\u003C\u002Fa>.\u003C\u002Fli>\n\u003C\u002Ful>\n\u003Cp>Le rôle de la Commission, du Parlement et des organismes de normalisation (CEN‑CENELEC) reste crucial pour clarifier les attentes, tandis que des voix industrielles appellent à concilier innovation, compétitivité et conformité.\u003C\u002Fp>\n\u003Chr>\n\u003Cp>En résumé, les amendements du Digital Omnibus ne suspendent pas la régulation de l’IA : ils déplacent le curseur temporel et ouvrent une fenêtre où les choix d’architecture, de gouvernance et de documentation conditionneront la capacité des organisations à rester dans les clous, sans subir un « mur réglementaire » à l’horizon 2027–2028.\u003C\u002Fp>\n","Les amendements du Digital Omnibus interviennent sur un AI Act déjà dense, avec un calendrier d’application initialement étalé jusqu’en 2027 pour les systèmes à haut risque [3][7].  \nPour les équipes...","hallucinations",[],2309,12,"2026-06-02T08:17:48.580Z",[17,22,26,30,34,38,42],{"title":18,"url":19,"summary":20,"type":21},"Entrée en vigueur du règlement européen sur l’IA : les premières questions-réponses de la CNIL","https:\u002F\u002Fwww.cnil.fr\u002Ffr\u002Fentree-en-vigueur-du-reglement-europeen-sur-lia-les-premieres-questions-reponses-de-la-cnil","Entrée en vigueur du règlement européen sur l’IA : les premières questions-réponses de la CNIL\n\n12 juillet 2024\n\nDepuis un an, la CNIL a lancé son plan d’action pour promouvoir une IA respectueuse des...","kb",{"title":23,"url":24,"summary":25,"type":21},"Conformité IA : comment se mettre en conformité avec l’IA Act ?","https:\u002F\u002Fmdp-data.com\u002Fconformite-ia-comment-se-mettre-en-conformite-avec-lia-act\u002F","par Christophe SAINT-PIERRE | Sep 11, 2025 | AI ACT\n\nSommaire\n\nToggle\n\nMDP Data Protection vous accompagne vers la conformit é IA\n\nLa conformité IA est devenue un enjeu incontournable pour les organis...",{"title":27,"url":28,"summary":29,"type":21},"AI Act 2026 : obligations et mise en conformité des organisations","https:\u002F\u002Fmdp-data.com\u002Fai-act-obligations-et-mise-en-conformite-des-organisations\u002F","AI Act 2026 : obligations et mise en conformité des organisations\n\npar Christophe SAINT-PIERRE | Fév 12, 2026\n\nSommaire\n\nMDP Data Protection vous accompagne dans la compréhension et l’application de l...",{"title":31,"url":32,"summary":33,"type":21},"AI Act et LLM : Classifier vos Systèmes IA : Guide Complet","https:\u002F\u002Fayinedjimi-consultants.fr\u002Farticles\u002Fia-ai-act-classifier-systemes","AI Act et LLM : Classifier vos Systèmes IA : Guide Complet\n\n13 février 2026\n\n MIS À JOUR le 30 mai 2026\n\n25 min de lecture\n\n6835 mots\n\n6835 vues\n\nTélécharger le PDF\n\nGuide complet sur l'AI Act europée...",{"title":35,"url":36,"summary":37,"type":21},"AI Act : Checklist de Conformité et Guide Pratique 2026 (Excel à télécharger)","https:\u002F\u002Fdpo101.fr\u002Fchecklist-conformite-ai-act-excel-2026\u002F","Le Règlement européen sur l’Intelligence Artificielle (RIA) est entré en vigueur le 1er août 2024. Depuis le 2 février 2025, les pratiques d’IA jugées inacceptables sont officiellement interdites. D’i...",{"title":39,"url":40,"summary":41,"type":21},"Article 79: Procédure applicable au niveau national aux systèmes d’IA présentant un risque | AI Act Service Desk","https:\u002F\u002Fai-act-service-desk.ec.europa.eu\u002Ffr\u002Fai-act\u002Farticle-79","CHAPITRE IX SURVEILLANCE APRÈS COMMERCIALISATION, PARTAGE D’INFORMATIONS ET SURVEILLANCE DU MARCHÉ\n\nSECTION 3 Contrôle de l’application\n* Article 74: Surveillance du marché et contrôle des systèmes d’...",{"title":43,"url":44,"summary":45,"type":21},"AI Act : report de l'échéance d'août 2026 — ce que les entreprises doivent savoir sur les systèmes IA à haut risque - WEnvision","https:\u002F\u002Fwww.wenvision.com\u002Ffr\u002Farticles\u002Fai-act-report-echeance-aout-2026-systemes-ia-haut-risque\u002F","Le calendrier de l'AI Act est en train de changer. Le report des dispositions les plus contraignantes du Règlement européen sur l'intelligence artificielle — initialement prévues pour le 2 août 2026 —...",{"totalSources":47},7,{"generationDuration":49,"kbQueriesCount":47,"confidenceScore":50,"sourcesCount":47},453472,100,{"metaTitle":52,"metaDescription":53},"Digital Omnibus UE : impact des amendements sur l'AI Act","Impact du Digital Omnibus UE sur l'AI Act : obligations pour ingénierie, conformité et gouvernance. Lire pour anticiper les nouvelles contraintes clés et agir.","fr","https:\u002F\u002Fimages.unsplash.com\u002Fphoto-1777785113237-973b4eb6dd8e?ixid=M3w4OTczNDl8MHwxfHNlYXJjaHwxfHxkaWdpdGFsJTIwb21uaWJ1cyUyMGFjdCUyMGFtZW5kZW1lbnRzfGVufDF8MHx8fDE3ODA0MDQ3NzF8MA&ixlib=rb-4.1.0&w=1200&h=630&fit=crop&crop=entropy&auto=format,compress&q=60",{"photographerName":57,"photographerUrl":58,"unsplashUrl":59},"Igor Shalyminov","https:\u002F\u002Funsplash.com\u002F@ishalyminov?utm_source=coreprose&utm_medium=referral","https:\u002F\u002Funsplash.com\u002Fphotos\u002Fbus-with-advertisement-for-promptio-about-accurate-ai-E4ahlPvP2AU?utm_source=coreprose&utm_medium=referral",false,null,{"key":63,"name":64,"nameEn":64},"ai-engineering","AI Engineering & LLM Ops",[66,68,70,72],{"text":67},"Le Digital Omnibus reporte l’entrée en vigueur des obligations les plus contraignantes pour les systèmes à haut risque d’environ 16 à 24 mois, décalant l’application complète initialement prévue en 2026 vers fin 2027–2028.",{"text":69},"L’interdiction des pratiques d’IA inacceptables est en vigueur depuis le 2 février 2025 et doit être respectée immédiatement.",{"text":71},"L’AI Act (règlement UE 2024\u002F1689) est en vigueur depuis le 1er août 2024 et prévoit des sanctions allant jusqu’à 35 M€ ou 7 % du chiffre d’affaires mondial.",{"text":73},"Les obligations essentielles (gouvernance, gestion des risques, documentation, traçabilité) restent requises dès maintenant malgré le report des jalons haut risque.",[75,78,81],{"question":76,"answer":77},"Que change concrètement le Digital Omnibus pour le calendrier de mise en conformité de l’AI Act ?","Le Digital Omnibus décale concrètement la montée en charge des obligations les plus lourdes pour les systèmes à haut risque d’environ 16 à 24 mois, repoussant l’application complète attendue en août 2026 vers la fin 2027–2028. Les dispositions structurantes de l’AI Act restent toutefois en vigueur : le texte est entré en vigueur le 1er août 2024 et l’interdiction des pratiques d’IA inacceptables s’applique depuis le 2 février 2025. En pratique, cela crée une fenêtre temporelle où la classification détaillée des systèmes à haut risque et les normes techniques attendues (CEN‑CENELEC) ne seront pas finalisées, mais les obligations de gouvernance, traçabilité et protection des droits fondamentaux exigent déjà des actions opérationnelles. Les autorités nationales conservent par ailleurs des pouvoirs de surveillance de marché et de mesures préventives avant l’entrée en vigueur complète des obligations haut risque.",{"question":79,"answer":80},"Les LLM en production deviennent‑ils systématiquement “haut risque” ?","Non. La qualification haut risque dépend de l’usage et de l’impact, pas du modèle lui‑même : un même LLM peut rester à risque limité pour un chatbot interne et être haut risque s’il participe à des décisions en matière d’emploi, crédit, santé ou accès à des services essentiels. Il faut documenter la chaîne décisionnelle, les points d’action automatique et les conséquences juridiques pour déterminer la classification.",{"question":82,"answer":83},"Quelles actions immédiates doivent entreprendre les équipes techniques et de conformité ?","Elles doivent prioritairement auditer les pratiques d’IA inacceptables, instaurer une gouvernance minimale (pilote IA, équipe transverse), cartographier tous les systèmes IA et commencer la documentation (fiches modèle, logs, flux de données). Ces mesures réduisent le risque juridique immédiat et facilitent la conformité lors de l’entrée en vigueur complète des obligations haut risque.",[85,92,97,102,106,110,115,120,125,129,134,139,143,148],{"id":86,"name":87,"type":88,"confidence":89,"wikipediaUrl":61,"slug":90,"mentionCount":91},"6a1e91d9baef06deebb77e50","fine‑tuning","concept",0.9,"6a1e91d9baef06deebb77e50-fine-tuning",1,{"id":93,"name":94,"type":88,"confidence":95,"wikipediaUrl":61,"slug":96,"mentionCount":91},"6a1e91dabaef06deebb77e52","systèmes à haut risque",0.96,"6a1e91dabaef06deebb77e52-systemes-a-haut-risque",{"id":98,"name":99,"type":88,"confidence":100,"wikipediaUrl":61,"slug":101,"mentionCount":91},"6a1e91d8baef06deebb77e49","Digital Omnibus",0.92,"6a1e91d8baef06deebb77e49-digital-omnibus",{"id":103,"name":104,"type":88,"confidence":89,"wikipediaUrl":61,"slug":105,"mentionCount":91},"6a1e91d9baef06deebb77e4f","RAG","6a1e91d9baef06deebb77e4f-rag",{"id":107,"name":108,"type":88,"confidence":89,"wikipediaUrl":61,"slug":109,"mentionCount":91},"6a1e91dabaef06deebb77e54","sanctions (35 M€ ou 7% du CA mondial)","6a1e91dabaef06deebb77e54-sanctions-35-m-ou-7-du-ca-mondial",{"id":111,"name":112,"type":88,"confidence":113,"wikipediaUrl":61,"slug":114,"mentionCount":91},"6a1e91dbbaef06deebb77e5a","flux de données",0.82,"6a1e91dbbaef06deebb77e5a-flux-de-donnees",{"id":116,"name":117,"type":88,"confidence":118,"wikipediaUrl":61,"slug":119,"mentionCount":91},"6a1e91d9baef06deebb77e51","agents (architectures multi‑outils)",0.86,"6a1e91d9baef06deebb77e51-agents-architectures-multi-outils",{"id":121,"name":122,"type":88,"confidence":123,"wikipediaUrl":61,"slug":124,"mentionCount":91},"6a1e91dbbaef06deebb77e59","supply chain",0.88,"6a1e91dbbaef06deebb77e59-supply-chain",{"id":126,"name":127,"type":88,"confidence":100,"wikipediaUrl":61,"slug":128,"mentionCount":91},"6a1e91dabaef06deebb77e53","pratiques d'IA inacceptables","6a1e91dabaef06deebb77e53-pratiques-d-ia-inacceptables",{"id":130,"name":131,"type":88,"confidence":132,"wikipediaUrl":61,"slug":133,"mentionCount":91},"6a1e91d9baef06deebb77e4d","RGPD",0.95,"6a1e91d9baef06deebb77e4d-rgpd",{"id":135,"name":136,"type":88,"confidence":137,"wikipediaUrl":61,"slug":138,"mentionCount":91},"6a1e91d9baef06deebb77e4e","LLM",0.93,"6a1e91d9baef06deebb77e4e-llm",{"id":140,"name":141,"type":88,"confidence":132,"wikipediaUrl":61,"slug":142,"mentionCount":91},"6a1e91d8baef06deebb77e48","AI Act (règlement UE 2024\u002F1689)","6a1e91d8baef06deebb77e48-ai-act-reglement-ue-2024-1689",{"id":144,"name":145,"type":146,"confidence":89,"wikipediaUrl":61,"slug":147,"mentionCount":91},"6a1e91d9baef06deebb77e4c","CNIL","organization","6a1e91d9baef06deebb77e4c-cnil",{"id":149,"name":150,"type":146,"confidence":151,"wikipediaUrl":61,"slug":152,"mentionCount":91},"6a1e91dabaef06deebb77e55","ETI industrielle (cas terrain)",0.7,"6a1e91dabaef06deebb77e55-eti-industrielle-cas-terrain",[154,162,169,176],{"id":155,"title":156,"slug":157,"excerpt":158,"category":159,"featuredImage":160,"publishedAt":161},"6a3a71d43fa909ab205c91a6","Concevoir un service desk autonome avec IA agentique pour l’IT d’entreprise","concevoir-un-service-desk-autonome-avec-ia-agentique-pour-l-it-d-entreprise","L’objectif n’est plus de répondre aux tickets, mais de résoudre les problèmes employés de bout en bout, sans friction ni délai. Les modèles actuels, même « augmentés » par l’IA, plafonnent : volume en...","trend-radar","https:\u002F\u002Fimages.unsplash.com\u002Fphoto-1581091226825-a6a2a5aee158?ixid=M3w4OTczNDl8MHwxfHNlYXJjaHwxfHxlbmdpbmVlcmluZyUyMGF1dG9ub21vdXMlMjBzZXJ2aWNlJTIwZGVza3xlbnwxfDB8fHwxNzgyMjE1MTI0fDA&ixlib=rb-4.1.0&w=1200&h=630&fit=crop&crop=entropy&auto=format,compress&q=60","2026-06-23T11:56:01.450Z",{"id":163,"title":164,"slug":165,"excerpt":166,"category":159,"featuredImage":167,"publishedAt":168},"6a394c8d82f59cfd1abea0ed","HIVE Paraguay : une infrastructure IA validée par Columbia et en route vers NeurIPS","hive-paraguay-une-infrastructure-ia-validee-par-columbia-et-en-route-vers-neurips","L’accès à des accélérateurs de calcul est un goulet d’étranglement pour le pré‑entraînement de grands modèles de langage. L’étude menée par Columbia University sur l’infrastructure de HIVE à Asunción...","https:\u002F\u002Fimages.unsplash.com\u002Fphoto-1724628084395-90a26d947e80?ixid=M3w4OTczNDl8MHwxfHNlYXJjaHwxfHxoaXZlJTIwcGFyYWd1YXl8ZW58MXwwfHx8MTc4MjE0MDA0NXww&ixlib=rb-4.1.0&w=1200&h=630&fit=crop&crop=entropy&auto=format,compress&q=60","2026-06-22T15:03:53.467Z",{"id":170,"title":171,"slug":172,"excerpt":173,"category":159,"featuredImage":174,"publishedAt":175},"6a323a44694667efd0f834ad","LLM généralistes vs IA clinique : ce que révèlent vraiment les benchmarks médicaux","llm-generalistes-vs-ia-clinique-ce-que-revelent-vraiment-les-benchmarks-medicaux","Un résultat contre‑intuitif : les LLM généralistes dominent les IA cliniques\n\nUne étude parue dans Nature Medicine compare deux outils cliniques diffusés (OpenEvidence, UpToDate Expert AI) à trois LLM...","https:\u002F\u002Fimages.unsplash.com\u002Fphoto-1617696795782-cedb140e2f0b?ixid=M3w4OTczNDl8MHwxfHNlYXJjaHwxfHxnZW5lcmFsJTIwcHVycG9zZSUyMGxsbXMlMjBvdXRwZXJmb3JtfGVufDF8MHx8fDE3ODE1Mzg1MTJ8MA&ixlib=rb-4.1.0&w=1200&h=630&fit=crop&crop=entropy&auto=format,compress&q=60","2026-06-17T06:20:53.512Z",{"id":177,"title":178,"slug":179,"excerpt":180,"category":159,"featuredImage":181,"publishedAt":182},"6a29ebe3bcf5996b53d54b9e","Frameworks RAG agentiques spécialisés : architectures, cas d’usage et bonnes pratiques","frameworks-rag-agentiques-specialises-architectures-cas-d-usage-et-bonnes-pratiques","1. Poser le cadre : du RAG classique au RAG agentique spécialisé\n\nLe RAG « classique » relie un LLM à une base de connaissances externe pour réduire les hallucinations et actualiser les réponses sans...","https:\u002F\u002Fimages.unsplash.com\u002Fphoto-1770220742903-f113513d0194?ixid=M3w4OTczNDl8MHwxfHNlYXJjaHw2MXx8YXJ0aWZpY2lhbCUyMGludGVsbGlnZW5jZSUyMHRlY2hub2xvZ3l8ZW58MXwwfHx8MTc4MTEzMjI1OXww&ixlib=rb-4.1.0&w=1200&h=630&fit=crop&crop=entropy&auto=format,compress&q=60","2026-06-10T23:07:44.081Z",["Island",184],{"key":185,"params":186,"result":188},"ArticleBody_RSQyZQ0nNjVWKlhEur36hlXDh4MtA0YZ2FdLfQTuKIU",{"props":187},"{\"articleId\":\"6a1e8f86c327eb21067153e8\",\"linkColor\":\"red\"}",{"head":189},{}]