L’AI Act n’est plus un sujet théorique pour les directions générales, directions juridiques et DSI des ESN. Depuis l’entrée en vigueur progressive du règlement européen, chaque entreprise qui conçoit, intègre, revend, paramètre ou exploite une brique d’intelligence artificielle doit savoir où elle se situe dans la chaîne de valeur. Pour une ESN française, le risque n’est pas seulement d’être développeur d’un système d’IA : il est aussi d’être intégrateur, distributeur, mandataire, importateur, exploitant pour compte client ou sous-traitant critique d’un acteur soumis à des obligations renforcées.
En 2025, l’enjeu principal consiste à transformer la conformité en réflexe industriel. Les clients demandent des preuves, les appels d’offres intègrent des clauses IA responsable et les éditeurs doivent documenter leurs fonctionnalités automatisées avant qu’un incident ou un audit ne révèle une zone grise. Cette analyse synthétise ce que les ESN et éditeurs de logiciels doivent prioriser, sans attendre le dernier moment.
AI Act ESN 2025 : comprendre la logique du règlement
Le règlement repose sur une approche par les risques. Plus un système d’IA peut affecter les droits fondamentaux, la sécurité, l’emploi, l’accès à des services essentiels ou la décision publique, plus les exigences augmentent. Cette logique est familière aux entreprises habituées au RGPD : il ne s’agit pas de remplir un formulaire unique, mais de démontrer une gouvernance proportionnée au risque réel.
Les pratiques interdites
Certaines pratiques sont prohibées, notamment lorsqu’elles manipulent les personnes, exploitent des vulnérabilités, organisent une notation sociale ou utilisent des formes de catégorisation biométrique inacceptables. Pour les ESN, cela impose une vigilance dans les phases de cadrage : un cahier des charges client ne doit pas être exécuté mécaniquement si le cas d’usage franchit une ligne rouge. Les équipes commerciales et avant-vente doivent donc savoir identifier les signaux d’alerte dès les premières réunions.
Les systèmes à haut risque
Les systèmes à haut risque sont le cœur opérationnel du règlement. Ils peuvent concerner le recrutement, la gestion des travailleurs, l’accès au crédit, l’éducation, certaines infrastructures critiques ou des composants intégrés dans des produits déjà réglementés. Un éditeur RH, un intégrateur de solution de scoring, un prestataire qui configure un moteur de décision ou un cabinet data qui entraîne un modèle pour un client réglementé peut rapidement entrer dans cette catégorie.
Les risques limités et les obligations de transparence
De nombreux cas d’usage relèvent d’un risque limité : assistants conversationnels, génération de contenu, synthèse automatique, recommandation ou automatisation d’une partie du parcours utilisateur. Ces usages ne sont pas interdits, mais ils appellent une information claire des utilisateurs et une traçabilité minimale. Pour les éditeurs SaaS, cela signifie que les mentions produit, la documentation support et les paramètres d’administration doivent expliquer quand une interaction ou un résultat est généré par IA.
Le calendrier à retenir pour les dirigeants
Le calendrier réglementaire est progressif. Les interdictions et les premières obligations de culture IA ont commencé à produire leurs effets en 2025. Les obligations concernant les modèles d’IA à usage général montent également en puissance, tandis que l’application large du règlement et la plupart des obligations liées aux systèmes à haut risque structurent déjà les feuilles de route 2026 et 2027. Pour un dirigeant d’ESN, la bonne lecture n’est donc pas « nous avons encore le temps », mais « les preuves attendues demain doivent être construites maintenant ».
Les entreprises qui attendent la dernière échéance risquent une double peine : mise en conformité accélérée et perte de compétitivité commerciale. À l’inverse, celles qui peuvent présenter une cartographie claire de leurs usages IA, des clauses contractuelles équilibrées et des fiches de conformité par offre gagnent en crédibilité auprès des grands comptes, des acheteurs publics et des secteurs réglementés.
Impacts concrets pour les ESN françaises
Cartographier les cas d’usage IA
La première action consiste à recenser les usages internes, les prestations vendues et les composants tiers. Beaucoup d’ESN utilisent déjà l’IA dans le développement, le support, la qualification de tickets, le sourcing de candidats ou la production documentaire. Même lorsque l’usage est interne, l’entreprise doit vérifier les données traitées, les droits d’accès, les niveaux de supervision humaine et les engagements pris par les fournisseurs.
Clarifier les rôles dans les contrats
L’AI Act distingue plusieurs rôles. Dans un projet client, l’ESN peut être simple intégrateur, fournisseur d’un module, exploitant pour compte client ou co-concepteur du système. Cette qualification doit être écrite. Les contrats doivent préciser qui documente le système, qui conserve les journaux, qui informe les utilisateurs, qui traite les incidents, qui réalise les tests et qui assume la relation avec l’autorité compétente. Sans cette clarification, le prestataire risque d’absorber une responsabilité qui n’a pas été tarifée.
Industrialiser la documentation
La conformité IA ne peut pas reposer sur des notes dispersées. Les ESN doivent créer des modèles réutilisables : fiche de cas d’usage, grille de classification du risque, registre des jeux de données, procédure d’évaluation fournisseur, description de supervision humaine, politique de tests et processus de retrait. Les éditeurs doivent aligner cette documentation avec leur cycle produit, leurs releases, leur support et leur sécurité applicative.
Ce que les éditeurs de logiciels doivent anticiper
Pour les éditeurs, l’AI Act transforme la roadmap produit. Ajouter une fonctionnalité de scoring, d’aide à la décision ou d’automatisation n’est plus seulement un choix marketing : c’est une décision réglementaire. Les équipes produit doivent intégrer une revue IA dans les rituels de conception, au même titre que la sécurité, la protection des données et l’accessibilité.
La transparence devient un avantage commercial. Les clients veulent savoir si le modèle est propriétaire ou tiers, où les données sont traitées, si les prompts sont conservés, si les résultats sont explicables, comment les biais sont suivis et comment l’utilisateur peut reprendre la main. Les éditeurs qui documentent ces éléments de manière pédagogique réduisent les frictions d’achat et rassurent les RSSI, juristes et DPO de leurs clients.
Une feuille de route en cinq chantiers
- Gouvernance : nommer un référent IA, rattacher le sujet à la direction et définir des seuils d’escalade.
- Cartographie : lister les systèmes IA internes, vendus, intégrés ou utilisés dans les prestations.
- Classification : qualifier chaque cas d’usage selon les catégories de risque et documenter l’analyse.
- Contrats : mettre à jour les clauses clients, fournisseurs, sous-traitants et partenaires technologiques.
- Preuves : conserver les éléments de test, supervision, traçabilité, formation et information utilisateur.
Pourquoi rejoindre Flying squirrels sur l’AI Act
Flying squirrels accompagne les ESN, éditeurs et prestataires numériques dans cette période de bascule. Nos adhérents peuvent participer aux travaux de nos commissions, partager leurs difficultés de terrain, comparer leurs pratiques et contribuer à des positions collectives auprès des pouvoirs publics. L’objectif est simple : éviter une conformité pensée uniquement pour les très grands acteurs et défendre une application proportionnée aux PME, ETI et éditeurs français.
Si votre entreprise souhaite suivre les évolutions de l’AI Act, sécuriser ses offres et porter une voix collective dans le débat réglementaire, vous pouvez rejoindre Flying squirrels. La conformité IA ne doit pas être subie isolément : elle peut devenir un levier de confiance, de différenciation et de souveraineté numérique.