AI Act : ce que les marques doivent savoir sur l'IA

Le règlement européen sur l'IA n'est plus un texte d'anticipation. Depuis août 2024, il est en vigueur. Depuis février 2025, il interdit certaines pratiques. Et d'ici fin 2026, les obligations de transparence toucheront directement les marques qui utilisent l'IA pour produire du contenu, personnaliser l'expérience ou automatiser leurs opérations e-commerce.

Pour les équipes marketing, produit et digital, la question n'est plus "faut-il s'y intéresser ?" mais "par où commencer ?" Voici ce que l'AI Act impose concrètement et ce qu'il implique pour vos données produit.

‍

Qu'est-ce que l'AI Act, et à qui s'applique-t-il ?

Le règlement (UE) 2024/1689 a été adopté par le Parlement européen le 13 mars 2024, publié au Journal officiel le 12 juillet 2024 et est entré en vigueur le 1er août 2024. Sa logique est graduée par le risque : plus un système d'IA peut affecter la sécurité, les droits fondamentaux ou la santé des personnes, plus les obligations sont strictes.

Le règlement s'applique à tout acteur qui développe, distribue, importe ou déploie un système d'IA sur le marché de l'Union européenne, y compris les fournisseurs établis hors UE dès lors que la sortie du système est utilisée dans l'UE. En d'autres termes : si votre marque utilise un outil d'IA pour enrichir des fiches produits, faire de la recommandation personnalisée ou générer du contenu marketing, l'AI Act vous concerne, même si vous n'avez pas développé la technologie vous-même.

‍

Les quatre niveaux de risque : où se situent les marques ?

L'AI Act classe les systèmes d'IA en quatre catégories. Comprendre dans laquelle vous tombez détermine vos obligations réelles.

Risque inacceptable : les pratiques interdites depuis février 2025

Depuis le 2 février 2025, les pratiques interdites sont effectives : notation sociale, manipulation comportementale, identification biométrique en temps réel dans l'espace public (sauf exceptions). Ces interdictions visent les usages les plus intrusifs, sans lien direct avec les pratiques marketing classiques, mais elles définissent une ligne rouge à ne pas franchir.

Haut risque : des obligations strictes, mais un calendrier repoussé

Les systèmes à haut risque concernent des domaines sensibles comme le recrutement, le crédit, la santé ou la justice. Suite à l'accord politique provisoire sur le Digital Omnibus conclu dans la nuit du 7 mai 2026, les obligations applicables aux systèmes à haut risque de l'Annexe III, qui devaient s'appliquer le 2 août 2026, sont repoussées au 2 décembre 2027. Pour les marques, cela concerne principalement les outils RH automatisés et certains systèmes de crédit, pas les outils marketing standards.

Risque limité : la catégorie des marques e-commerce

C'est ici que se situent la grande majorité des usages marketing de l'IA : chatbots, générateurs de contenu, outils de personnalisation, recommandation produit. Les fournisseurs de chatbots, assistants virtuels et autres systèmes d'IA généraliste doivent se conformer aux exigences minimales de documentation et de transparence.

Concrètement : informer l'utilisateur qu'il interagit avec une IA, et identifier les contenus générés par IA comme tels.

Risque minimal : aucune obligation spécifique

Les filtres anti-spam, les outils de tri de données ou les systèmes de recommandation sans impact sur les droits fondamentaux entrent dans cette catégorie. Aucune obligation réglementaire, mais de bonnes pratiques à adopter.

‍

Le calendrier mis à jour après le Digital Omnibus

L'AI Act ne s'applique pas en une fois. L'article 113 du règlement fixe quatre dates d'application clés réparties entre 2025, 2026 et 2027. Voici l'état au 4 juin 2026, après l'accord Digital Omnibus :

• 1er août 2024 : Entrée en vigueur du règlement
• 2 février 2025 : Interdictions (risque inacceptable)
• 2 août 2025 : Obligations pour les modèles d'IA généraliste (GPAI)
• 2 août 2026 : Application générale
• 2 décembre 2027 : Obligations haut risque Annexe III

‍

Ce que l'AI Act impose concrètement aux marques en 2026

Transparence sur les contenus générés par IA

C'est l'obligation la plus directe pour les équipes marketing et e-commerce. Dans l'Union européenne, l'AI Act impose que les contenus générés ou modifiés par IA soient identifiables comme tels, au minimum via des mécanismes lisibles par machine (métadonnées, watermarking).

Les responsabilités de cette transparence incombent essentiellement aux marques et aux agences, qui doivent labelliser et donner à voir au consommateur quand il y a de l'IA générée ou manipulée. Ce sont l'Arcom et la DGCCRF qui seront chargées de faire respecter ces dispositions en France.

Pour les marques, cela concerne en pratique : les descriptions produits rédigées par IA, les images modifiées par IA, les chatbots de service client, et les contenus publicitaires générés automatiquement.

Information sur les interactions avec des systèmes d'IA

Si votre site déploie un chatbot ou un assistant d'achat alimenté par IA, les utilisateurs doivent en être informés clairement. Le non-respect de l'obligation d'information et de transparence est passible d'une amende de 7,5 millions d'euros ou 1% du CA annuel mondial.

Alphabétisation IA des équipes

Depuis février 2025, les entreprises ont l'obligation de s'assurer que les personnes qui utilisent ou supervisent des systèmes d'IA disposent d'un niveau de compétence adapté. Ce n'est pas une obligation de formation formalisée mais une responsabilité de gouvernance interne à documenter.

‍

Pourquoi la qualité des données produit devient un enjeu de conformité

C'est le point que les marques anticipent le moins : l'AI Act crée une dépendance directe entre conformité réglementaire et qualité des données en entrée des systèmes d'IA.

Des informations produits erronées ou non conformes peuvent rapidement être diffusées à grande échelle, avec un impact direct sur la confiance des clients et sur l'exposition réglementaire des entreprises.

Si vous utilisez l'IA pour générer des descriptions produits, alimenter des moteurs de recommandation ou personnaliser l'expérience, la fiabilité du contenu produit en sortie dépend directement de la qualité des données en entrée. Sans un référentiel produit propre (PIM), les algorithmes ne disposent pas de la matière nécessaire pour apprendre. Un projet IA commence presque toujours par un chantier data. 

Les capacités de gouvernance du PIM (règles de validation, workflows d'approbation, scoring de complétude, historisation et auditabilité) constituent un véritable filet de sécurité. Elles permettent de s'assurer que les données produits exposées aux moteurs d'IA ont été contrôlées, validées et enrichies, en combinant automatisation et supervision humaine.

En d'autres termes : un PIM bien structuré n'est plus seulement un outil de productivité, c'est une infrastructure de conformité pour l'IA.

‍

Conclusion

La régulation des contenus générés par IA marque une nouvelle étape dans la maturité du e-commerce. Elle oblige les marques à passer d'une logique d'expérimentation opportuniste à une approche structurée, gouvernée et durable. Les entreprises qui réussiront ne seront pas celles qui utiliseront le plus d'IA, mais celles qui sauront l'utiliser intelligemment, à partir de données produit fiables, dans un cadre clair et maîtrisé.

L'AI Act n'est pas un frein à l'innovation, c'est un cadre qui distingue les marques qui ont structuré leur gestion de la donnée de celles qui ne l'ont pas fait. Pour les équipes qui ont investi dans un référentiel produit centralisé, la conformité est une formalité. Pour les autres, c'est un révélateur des failles de gouvernance data.