IA Act : Les nouvelles règles du jeu pour les makers NoCode — êtes-vous prêts ?

IA Act : Les nouvelles règles du jeu pour les makers NoCode — êtes-vous prêts ?

Laurent

Mais qu’est-ce qu'on va devenir ? S01E03 

Bienvenue dans le nouvel épisode de mon podcast « Mais qu’est-ce qu’on va devenir ? ». 

Aujourd’hui, on plonge dans le fameux IA Act, ce texte européen qui bouscule tout sur le front de l’intelligence artificielle… et qui n’épargne pas les développeurs NoCode ! Et oui, vous pensez y échapper ? Dommage…

Parce que vous pouvez entendre parfois dire que ces lois, c’est pour les start-ups de la tech ou les géants américains ? 

Et ben, c’est faux : toute la communauté NoCode est embarquée… et c’est maintenant. parce que NoCode ne veut pas dire “no responsabilité”.

Mais tout d’abord, avant de lancer le débat, on pose un peu de contexte, toi et moi.

Alors qu’en Europe, on tente un équilibre éthique, aux États-Unis, certains voient déjà ces règles comme un frein à l’innovation. C’est donc bien deux  cultures de l’IA qui s’affrontent ! 

Et si je dois vous donner une date, et bien parlons du 2 février 2025. 

Car à cette date, déjà, certaines interdictions de systèmes IA à risques inacceptables sont entrées en application ! On parle de sanctions pouvant aller jusqu’à 35 millions d’euros ou 7 % du chiffre d’affaires mondial.

Bon, bref, vous avez de la chance, avec ma casquette DPO, je vais tenter de vous décrypter vos responsabilités. Ça commence tout de suite et ça se passe ici et nulle part ailleurs.

Extrait sonore Le deuxième volet de l'IA Act est entré en vigueur ce samedi au sein de l'UE • FRANCE 24

https://www.youtube.com/watch?v=mgqYU8hGdo0 

[Journaliste: 00:21.9]

J'en en viens à ce nouveau tour de vis On en vient à ce nouveau tour de vis de l'Union européenne de l'Union européenne sur sur l'intelligence artificielle. l'intelligence artificielle. Le deuxième volet de l'IA Act Le deuxième volet de l'IA Act entre en vigueur aujourd'hui. entre en vigueur aujourd'hui. Il concerne cette fois les modèles Il concerne cette fois les modèles à usage général comme ChatGPT. à usage général comme ChatGPT. Parmi les mesures, on retrouve Parmi les mesures, on retrouve notamment le respect des droits notamment le respect des droits d'auteur, la certification de d'auteur, la certification de l'origine des contenus, mais l'origine des contenus, mais aussi l'interdiction de piller aussi l'interdiction de piller les données et de relayer des les données et de relayer des propos haineux.

On en parle avec vous Hubert-Étienne,Vous êtes chercheur et entrepreneur, Vous êtes chercheur et entrepreneur, enseignant en enseignant en éthique de l'IA à Sciences Po.  Le texte qui entre en vigueur vigueur aujourd'hui est considéré par aujourd'hui est considéré par les les experts comme étant l'un des plus experts comme étant l'un des plus ambitieux au monde dans le domaine. ambitieux au monde dans le domaine. Est-ce qu'il répond correctement Est-ce qu'il répond correctement, selon vous aux problèmes que l'on selon vous, aux problèmes que l'on peut rencontrer avec l'IA ?

[Hubert-Étienne: 00:42.2]

Merci de me recevoir. Merci de me recevoir. Effectivement, la question Effectivement, la question, c'est celle de l'objectif et c'est celle de l'objectif. Et est-ce qu'il y répond bien ? est-ce qu'il y répond bien ? L'objectif du texte, il est simple L'objectif du texte, il est simple, de façon générale, c'est garantir de façon générale, c'est garantir les droits fondamentaux des les droits fondamentaux des Européens sur les outils d'IA. Européens sur les outils d'IA. Donc il y a un certain nombre Donc, il y a un certain nombre de cas d'usage qu'on veut éviter, de cas d'usage qu'on veut éviter, notamment autour de la reconnaissance notamment autour de la reconnaissance faciale, de discrimination. faciale, de discrimination. il y a eu beaucoup de choses qui il y a eu beaucoup de choses qui ont fait scandale dans les ont fait scandale dans les précédentes années, on veut éviter ça précédentes années, on veut éviter ça sur le territoire européen. sur le territoire européen. Comment est-ce qu'on s'y prend ? Comment est-ce qu'on s'y prend ? On s'y prend tout simplement en On s'y prend tout simplement en classant les différents types classant les différents types de modèles par dangerosité. de modèles par dangerosité. Il y en a qui comportent des risques Il y en a qui comportent des risques inacceptables, d'autres des hauts inacceptables, d'autres des hauts risques, des risques plus faibles. Et en fonction de ça, on va avoir Et en fonction de ça, on va avoir des exigences qui varient des exigences qui varient selon le niveau de risque, mais aussi selon le niveau de risque, mais aussi selon si vous déployez des outils selon si vous déployez des outils ou si vous les développez. ou si vous les développez. Donc de cette façon-là, c'est Donc de cette façon-là, c'est une approche qui est plutôt une approche qui est plutôt rationnelle, je dirais. rationnelle, je dirais. Maintenant, à voir ce que ça Maintenant, à voir ce que ça donne sur les années à venir.

 Pour ma part, j’ai découvert le NoCode en 2019. Et très vite, j’ai compris qu’on ne pouvait pas faire l’impasse sur la sécurité et la conformité. J’ai pris l’habitude d’échanger avec des DSI, avec des experts RGPD, toujours pour m’assurer que nos pratiques étaient carrées : gestion des données, sécurité, consentement… C’est devenu presque un réflexe.

Mais voilà. L’IA Act débarque. Et là, je me rends compte que ce n’est pas simplement “le nouveau RGPD” ou un texte qui va tout remplacer. Non, c’est une couche supplémentaire, avec ses propres exigences, qui vient s’ajouter à l’écosystème réglementaire déjà en place.

Alors, même pour quelqu’un déjà sensibilisé aux questions de conformité, le chantier reste immense : traçabilité des usages IA, obligations renforcées de documentation, nouveaux audits à anticiper… On repart dans l’exploration, et clairement, ce n’est pas le moment de relâcher son attention.

Le NoCode ne nous dispense pas d’être à la pointe du droit, bien au contraire. C’est le moment d’être vigilant et proactif ! »

Car bien concrètement, dans la plupart des cas, les données que vous chargez dans votre outil NoCode ou IA sont envoyées sur des serveurs externes.

Parfois en Europe… mais très souvent, elles transitent par les États-Unis, l’Asie ou d’autres régions du monde, sans vraiment que vous ayez la main ou la visibilité sur ce trajet.

Cela veut dire :

– Risque accru en matière de confidentialité,

– Complexité juridique : dès qu’il y a transfert hors UE, le RGPD impose des garanties supplémentaires,

– Et face à l’IA Act, vous devrez désormais non seulement savoir où part la donnée, mais aussi prouver que le traitement respecte la loi en termes de transparence, de sécurité et de finalité.

La plupart des utilisateurs n’en ont pas conscience, et c’est là que résident les premiers écueils à éviter :

Toujours vérifier, demander des garanties au fournisseur de l’outil, et documenter ces flux. C’est votre meilleure protection, pour vous comme pour votre organisation. »

Ce genre de projet montre que même des usages “apparemment” classiques en entreprise font basculer la responsabilité sur l’utilisateur, le manager et le concepteur des outils.Le NoCode ne veut pas dire “No responsabilité” ; au contraire, chacun devient acteur et garant du respect du cadre légal, qu’il s’agisse du RGPD ou, désormais, de l’IA Act. »

Prenons un cas concret :Dans une entreprise, les équipes RH et marketing se sont mises à utiliser des plateformes NoCode intégrant de l’IA générative, pour automatiser le tri de CV ou générer des contenus personnalisés. Sur le papier, tout paraît simple et performant… jusqu’au moment où l’on se demande :

  1. Qui contrôle la qualité des résultats produits ?
  2. Peut-on expliquer comment l’algorithme prend ses décisions ?
  3. Est-ce que le consentement est clairement recueilli pour les données utilisées ?
  4. Et surtout, face à l’IA Act, est-ce qu’on répond bien à toutes les exigences de transparence et d’auditabilité ?
  5. Par exemple ou envoie-t-on les données personnelles des CV qu’on analyse ? Est ce que vous savez ?

Tiens justement si on s’intéresse aux RH, l’IA est un vrai outil de matching aujourd’hui. Pour autant on ne va pas se mentir, Injecter des données personnelles dans Chat GPT n’est pas forcément le top du top.

Si je reviens à février 2025, la CNIL, notre CNIL a publié de nouvelles recommandations pour encadrer l'usage de l’intelligence artificielle au travail, dans le respect du RGPD. Ces recommandations s’adressent et bien… en priorité aux entreprises utilisant l’IA dans les ressources humaines, le recrutement, la gestion des performances ou la surveillance.

Parce que, dès qu’un modèle d’IA traite des données personnelles — que ce soit via des CV, des entretiens, ou l’évaluation des performances — il doit respecter les principes du RGPD. 

Cela inclut l’usage des bases d’entraînement contenant des données identifiables ou la possibilité que les LLM reproduisent des informations personnelles.

Concrètement, il faut être transparent avec les candidats dès la collecte des données, donce dès l’envoi du CV en vrai. il faut expliquer comment algorithmes influencent les décisions dans le recrutement ou l’évaluation. Si des données sont collectées sur des sources tierces, l’entreprise doit au minimum fournir une information générale sur son site, détaillant les types de sources utilisées. Du genre, je vais aller lire ton profil linkedin et l’analyser avec l’IA. Oui ça marche, mais il faut le dire.

Et puis, le RGPD garantit des droits d’accès, de rectification et d’effacement. le fameux droit à l’oubli. Par contre leur mise en œuvre reste complexe avec certains modèles d’IA, difficiles à corriger ou à mettre à jour. 

La CNIL recommande donc d’anonymiser au maximum ces modèles et d’éviter la mémorisation de données sensibles. Il faut aussi prévoir des mécanismes pour rectifier ou effacer les données si possible.

Bases de données d’entraînement : des règles à respecter

L’utilisation de bases en ligne — par exemple, extraction de profils sur LinkedIn ou Indeed — n’est légale que si la collecte n’est pas illicite et si la réutilisation respecte la finalité initiale. La CNIL met en garde contre la reprise de données issues de forums, réseaux sociaux ou CVthèques non prévues pour un usage par IA.

La CNIL conclut que le RGPD reste adapté à l’IA, mais que les entreprises doivent redoubler de vigilance, notamment en RH. Il faut cartographier les usages, anticiper les requêtes des utilisateurs et instaurer des solutions techniques pour répondre aux exigences de transparence et de droits individuels. L’arrivée du Règlement européen sur l’IA accentue encore la nécessité d’un déploiement éthique et responsable de l’IA au travail.

L'actu qui tue (3:30-6:00)

Pour illustrer cette “actu qui tue”, je me base sur un article tout récent de la rédaction du Monde Informatique, publié le 5 août 2025.

Il est essentiel de comprendre que l’IA Act ne cible pas uniquement le NoCode, mais bien l’ensemble de l’écosystème IA en Europe. Les premiers concernés, ce sont :– Les éditeurs spécialisés,– Les géants du web comme Google,– Les PME,– Les administrations publiques,– Ainsi que toutes les entreprises utilisatrices.

Effectivement, je cite :

“La législation vise à protéger les citoyens européens de l’emploi abusif de l’IA, quel que soit l’acteur concerné : public ou privé, start-up ou multinationale, fournisseur de la solution ou simple utilisateur.”

L’article précise que l’interdiction de certains usages “à risque inacceptable” – comme la surveillance biométrique de masse – a déjà eu un effet dissuasif, et que les obligations de documentation, d’audit et de transparence s’appliquent maintenant à tous.

Conséquence :

  1. Beaucoup d’acteurs adaptent ou suspendent certaines fonctionnalités,
  2. Les autorités françaises et européennes commencent à vérifier la conformité active des systèmes IA,
  3. Les sanctions promises sont concrètes : jusqu’à 35 millions d’euros ou 7% du CA mondial en cas de violation.

La question que tout le monde doit se poser aujourd’hui — quelles que soient la taille ou la nature de votre structure : Êtes-vous en conformité ? Ou savez-vous identifier et mesurer votre risque ?

Alors, petite pause quiz :

– Est-ce que vous savez exactement où partent vos données lorsque vous utilisez un outil IA ou NoCode ?– Savez-vous qui, dans votre équipe, a accès à ces données ?– Pouvez-vous expliquer, en moins de 10 secondes, comment est prise une décision par votre IA ?– Et enfin… avez-vous déjà lu (ou écrit) une documentation de conformité cette année ?

Si vous avez hésité, ou répondu “euh… peut-être” à une seule de ces questions, c’est qu’il est temps d’identifier et mesurer vraiment votre risque.

Je vous lance le défi – “minute conformité” : aujourd’hui, prenez 60 secondes, faites la liste de vos outils IA, et posez-vous juste une question : “Quel risque, pour moi, mon équipe, mes données ?”Pas besoin d’être expert : le plus dur, c’est souvent de se décider à commencer !

Et si vous voulez partager vos résultats, vos surprises, ou vos astuces : écrivez-moi ou commentez l’épisode. Faisons progresser la conformité IA ensemble, sans stress… mais avec le sourire ! 

Liens intéressants

https://www.cnil.fr/fr/les-outils-de-la-conformite/transferer-des-donnees-hors-de-lue

https://artificialintelligenceact.eu/fr/small-businesses-guide-to-the-ai-act/