L’IA Act arrive

Votre moteur IA prend des décisions sur vos clients. Il va devoir les expliquer. Êtes-vous prêt ?

 

La fenêtre de préparation se ferme.

L’IA Act européen (Règlement UE 2024/1689) est entré en vigueur le 1er août 2024. Son application est progressive : les dispositions les plus critiques concernant les systèmes IA à haut risque s’appliqueront pleinement à partir d’août 2026. Pour les directions marketing et les équipes CRM qui déploient ou envisagent de déployer des moteurs d’IA décisionnelle, cette fenêtre de préparation est concrète — et limitée.

La question que beaucoup d’organisations n’ont pas encore posée clairement : est-ce que mon IA CRM entre dans le périmètre de ce règlement ? Et si oui, qu’est-ce que ça implique exactement ?

Cet article répond à ces deux questions, en s’appuyant sur le texte du règlement et sur son articulation avec le RGPD — déjà en vigueur et déjà partiellement applicable aux systèmes de décision automatisée marketing.

 

L’IA Act : structure et niveaux de risque

L’IA Act classe les systèmes d’IA en quatre catégories selon leur niveau de risque.

Les systèmes interdits (risque inacceptable) : manipulation subliminale, exploitation des vulnérabilités, notation sociale par les pouvoirs publics, reconnaissance faciale en temps réel dans les espaces publics (avec exceptions). Ces usages sont simplement prohibés.

Les systèmes à haut risque sont la catégorie centrale du règlement. Elle couvre les domaines listés en Annexe III : éducation, emploi, services essentiels (crédit, assurance), biométrie, infrastructures critiques, justice. Pour ces systèmes, les obligations sont substantielles : gestion des risques documentée, gouvernance des données, traçabilité complète, transparence envers les utilisateurs, supervision humaine, et conformité certifiée avant mise sur le marché.

Les systèmes à risque limité sont soumis à des obligations de transparence allégées. Les chatbots, par exemple, doivent indiquer qu’ils sont des systèmes IA.

Les systèmes à risque minimal (jeux IA, filtres anti-spam) ne font l’objet d’aucune obligation spécifique.

 

Où se situe l’IA décisionnelle CRM dans cette classification ?

La réponse est nuancée — et dépend des usages et des secteurs.

Dans le retail et le e-commerce général, un moteur d’IA décisionnelle qui détermine quand contacter un client, sur quel canal, avec quelle offre, se situe a priori dans la catégorie risque limité à risque modéré. Les obligations principales sont la transparence (informer que des décisions automatisées sont prises) et la conformité au RGPD article 22 (droit d’opposition aux décisions automatisées ayant des effets significatifs).

Dans les secteurs régulés (banque, assurance, crédit), la classification change. Un moteur IA qui influence des décisions d’offre de crédit, de proposition d’assurance, ou de segmentation pour des services financiers entre dans la catégorie haut risque au titre de l’Annexe III, point 5 (accès aux services essentiels). Les obligations sont alors substantielles et documentées.

Dans tous les secteurs, le RGPD article 22 s’applique déjà. Cet article encadre les décisions basées uniquement sur un traitement automatisé qui produisent des effets juridiques ou affectent de manière significative une personne. Il donne aux individus le droit de ne pas faire l’objet d’une telle décision, le droit d’obtenir une intervention humaine, et le droit d’exprimer leur point de vue. Pour un CRM décisionnel, la question de l’application de l’article 22 dépend de la définition de « effets significatifs » — une question que les autorités de protection des données interprètent de façon progressivement plus large.

 

LA QUESTION CLEF

Votre moteur IA CRM prend-il des décisions qui affectent de manière significative la relation avec un client — exclusion d’une offre, différenciation de traitement, scoring influençant l’accès à des avantages ? Si oui, les obligations RGPD article 22 s’appliquent, et l’IA Act ajoute une couche de conformité à anticiper.

Les trois obligations concrètes à mettre en place

Que votre système entre en haut risque ou en risque limité selon l’IA Act, trois obligations sont communes et doivent être anticipées maintenant.

1. La traçabilité décisionnelle. Chaque décision prise par votre moteur IA doit être journalisée : quel contact, quelle décision, à quel moment, sur la base de quelles données, selon quels modèles. Cette traçabilité doit être accessible en cas d’audit interne ou externe, et doit permettre de retracer le raisonnement ayant conduit à chaque action. Un système qui décide sans laisser de traces n’est pas conforme — et sera de plus en plus difficilement défendable face aux autorités de contrôle.
2. L’explicabilité (XAI). Au-delà de la traçabilité, le RGPD et l’IA Act exigent que les décisions automatisées puissent être expliquées de façon compréhensible — non seulement pour les auditeurs techniques, mais pour les personnes concernées qui en font la demande. Cela implique des modèles interprétables (pas des boîtes noires), des interfaces de visualisation des décisions, et des mécanismes permettant à un humain de comprendre et, si nécessaire, de contester une décision.
3. La supervision humaine. L’IA Act exige que les systèmes à haut risque permettent une intervention humaine effective. Pour les systèmes CRM en risque limité, l’obligation est moins contraignante mais le principe reste : votre organisation doit avoir défini qui supervise le moteur IA, avec quels critères de surveillance, et quelles procédures d’escalade quand une décision algorithmique semble inadaptée.

 

Ce que les directions marketing et DSI doivent faire maintenant

La mise en conformité avec l’IA Act ne se fait pas en quelques semaines. Elle implique un travail transversal entre les équipes marketing, data, juridiques et IT — et il est conseillé de commencer maintenant plutôt que d’attendre les premières mises en demeure.

• Cartographier les systèmes IA en production : identifier tous les outils qui prennent des décisions automatisées sur des clients (scoring, ciblage, exclusion, personnalisation d’offre) et les classifier selon les catégories de l’IA Act.
• Auditer la traçabilité existante : pour chaque système, vérifier si les décisions prises sont loggées, si les logs sont accessibles et interprétables, et si les données utilisées pour chaque décision sont documentées.
• Mettre à jour les politiques de confidentialité : informer explicitement les utilisateurs que des décisions automatisées sont prises, sur quelle base, et quels droits ils ont (opposition, explication, intervention humaine).
• Définir la gouvernance : qui est responsable des décisions IA dans l’organisation ? Le copilote marketing ? L’IA Officer ? La DSI ? Ces rôles doivent être formalisés, avec des responsabilités claires et des procédures de validation documentées.
• Choisir des partenaires conformes : si vous déployez une solution IA CRM externe, vérifiez qu’elle dispose d’une architecture de traçabilité et d’explicabilité native — pas en option, pas en roadmap, mais en production et auditable.

 

Le positionnement de Notify face à ces obligations

Ian® by Notify a été conçu avec une exigence d’explicabilité native. Le module X-AI documente 100 % des décisions prises par le moteur : chaque action (ou abstention) est loggée, chaque arbitrage est justifiable par les variables qui l’ont produit, et des rapports hiérarchisés permettent à tout moment de comprendre pourquoi telle décision a été prise pour tel contact à tel moment.

Cette architecture n’est pas une réponse à l’IA Act. Elle précède le règlement — parce que la traçabilité et l’explicabilité ont toujours été des conditions de confiance pour les marques qui déploient une IA décisionnelle à grande échelle. L’IA Act formalise ce que les organisations les plus avancées avaient déjà intégré comme exigence de gouvernance.

 

CE QU’IL FAUT RETENIR

L’IA Act européen est en application progressive et couvre directement les moteurs d’IA décisionnelle CRM dans les secteurs régulés. Dans tous les secteurs, le RGPD article 22 s’applique déjà aux décisions automatisées à effets significatifs. Les trois obligations concrètes à anticiper maintenant : traçabilité complète des décisions, explicabilité des modèles, et supervision humaine formalisée. La fenêtre de préparation avant l’application pleine du règlement se referme en 2026.