Qu'est-ce que Willaw ?

Willaw est une plateforme SaaS de conformité RGPD tout-en-un avec intelligence artificielle intégrée, destinée aux entreprises françaises (TPE, PME, ETI, grandes entreprises). Elle automatise le registre des traitements, les analyses d'impact (DPIA), la gestion des sous-traitants et le portail d'exercice des droits.

Willaw utilise-t-il l'intelligence artificielle ?

Oui, Willaw intègre un copilot IA juridique RGPD avec deux modèles au choix : Google Gemini pour une compréhension contextuelle avancée, et Mistral AI, un modèle français dont les données sont traitées exclusivement en Europe pour garantir la souveraineté numérique.

Quels secteurs d'activité Willaw couvre-t-il ?

Willaw couvre de nombreux secteurs : services numériques, santé, finance, commerce, industrie, éducation, associations, immobilier et transport. Les recommandations IA sont adaptées aux spécificités réglementaires de chaque secteur.

Combien coûte Willaw ?

Willaw propose un essai gratuit pour découvrir la plateforme. Plusieurs plans tarifaires sont disponibles pour s'adapter aux besoins des TPE, PME et grandes entreprises. Contactez-nous pour un devis personnalisé.

Willaw est-il conforme au RGPD lui-même ?

Oui, Willaw est conçu dans le respect total du RGPD. Les données sont hébergées en Europe, le chiffrement est appliqué aux données sensibles, et l'option Mistral AI garantit un traitement 100% européen des données.

Règlement européen sur l'IA (AI Act) : guide complet pour les entreprises en 2026

Introduction : l'IA entre dans l'ère de la régulation européenne

Le 1er août 2024, le Règlement (UE) 2024/1689 — communément appelé AI Act ou Règlement sur l'intelligence artificielle — est entré en vigueur. Il s'agit du premier cadre juridique contraignant au monde dédié spécifiquement à l'intelligence artificielle. Pour les entreprises européennes, il représente un changement de paradigme comparable à celui du RGPD en 2018 : une obligation de conformité structurelle, assortie de sanctions significatives.

Contrairement au RGPD qui régule les données personnelles quel que soit le support, l'AI Act régule les systèmes d'IA eux-mêmes, indépendamment de la nature des données qu'ils traitent. Les deux textes sont complémentaires : un système d'IA qui traite des données personnelles doit respecter simultanément le RGPD et l'AI Act.

Cet article présente de manière structurée les obligations introduites par le Règlement, leur calendrier d'entrée en application, et les mesures concrètes à mettre en œuvre pour préparer la conformité de votre organisation.

1. Calendrier d'application : des échéances échelonnées jusqu'en 2027

Le législateur européen a prévu une entrée en application progressive, permettant aux acteurs de s'adapter :

2 février 2025 : interdiction des pratiques d'IA prohibées (Article 5)
2 août 2025 : obligations relatives aux modèles d'IA à usage général (GPAI) et désignation des autorités nationales
2 août 2026 : entrée en application de l'essentiel du Règlement — obligations pour les systèmes à haut risque, transparence, gouvernance
2 août 2027 : obligations pour les systèmes à haut risque intégrés dans des produits couverts par la législation d'harmonisation de l'UE (Annexe I)

Point clé
Les pratiques interdites (Article 5) sont déjà en vigueur depuis février 2025. Si votre organisation utilise un système de notation sociale, de manipulation subliminale ou d'identification biométrique à distance en temps réel dans l'espace public, vous êtes déjà en infraction.

2. L'approche par les risques : 4 niveaux de classification

L'architecture du Règlement repose sur une classification des systèmes d'IA en quatre niveaux de risque. Cette classification détermine les obligations applicables : plus le risque est élevé, plus les exigences sont strictes.

2.1 Risque inacceptable — Pratiques interdites (Article 5)

Certaines utilisations de l'IA sont purement et simplement interdites dans l'Union européenne :

Manipulation subliminale : systèmes utilisant des techniques subliminales ou délibérément manipulatrices pour altérer le comportement d'une personne (Art. 5.1.a)
Exploitation de vulnérabilités : systèmes exploitant les vulnérabilités liées à l'âge, au handicap ou à la situation socio-économique (Art. 5.1.b)
Notation sociale : systèmes de scoring social par les autorités publiques ou en leur nom (Art. 5.1.c)
Catégorisation biométrique : systèmes inférant des données sensibles (opinions politiques, orientation sexuelle, convictions religieuses) à partir de données biométriques (Art. 5.1.g)
Identification biométrique à distance en temps réel : dans les espaces publics à des fins répressives, sauf exceptions strictement encadrées (Art. 5.1.h)

2.2 Haut risque — Obligations renforcées (Articles 6 à 15)

Un système d'IA est classifié à haut risque dans deux cas :

Cas 1 — Produit réglementé (Art. 6.1) : le système est un composant de sécurité d'un produit couvert par la législation d'harmonisation de l'UE (Annexe I) — machines, dispositifs médicaux, jouets, véhicules, ascenseurs, etc.
Cas 2 — Domaine sensible (Art. 6.2 + Annexe III) : le système relève de l'un des 8 domaines listés à l'Annexe III — biométrie, infrastructures critiques, éducation, emploi, services essentiels, répression, migration, justice.

Les obligations pour les systèmes à haut risque sont les plus exigeantes du Règlement :

Système de gestion des risques (Art. 9)
Gouvernance des données d'entraînement (Art. 10)
Documentation technique détaillée (Art. 11)
Journalisation automatique (Art. 12)
Transparence et information des utilisateurs (Art. 13)
Surveillance humaine effective (Art. 14)
Exactitude, robustesse et cybersécurité (Art. 15)

Exemption Art. 6(3)
Un système relevant de l'Annexe III peut être exempté de la classification à haut risque s'il ne pose pas de risque significatif pour la santé, la sécurité ou les droits fondamentaux. L'exemption doit être documentée et justifiée avant la mise sur le marché.

2.3 Risque limité — Obligations de transparence (Article 50)

Certains systèmes d'IA ne sont pas à haut risque mais présentent des risques spécifiques liés à la transparence :

Art. 50.1 : les personnes interagissant avec un système d'IA doivent être informées qu'elles interagissent avec une machine (chatbots, assistants vocaux)
Art. 50.2 : les contenus générés par IA (texte, image, audio, vidéo) doivent être marqués comme tels de manière lisible par machine
Art. 50.3 : les systèmes de reconnaissance d'émotions ou de catégorisation biométrique doivent informer les personnes exposées
Art. 50.4 : les deepfakes doivent être étiquetés comme contenus générés ou manipulés artificiellement

2.4 Risque minimal — Pas d'obligation spécifique

La grande majorité des systèmes d'IA en service (filtres anti-spam, correcteurs orthographiques, systèmes de recommandation de contenu) relèvent du risque minimal. L'AI Act ne leur impose aucune obligation spécifique, bien que le Règlement encourage les codes de conduite volontaires (Art. 95).

3. Obligations spécifiques des déployeurs

Le Règlement distingue clairement les obligations selon le rôle de l'acteur dans la chaîne de valeur. Pour la plupart des entreprises utilisatrices de systèmes d'IA, le rôle pertinent est celui de déployeur (anciennement "utilisateur").

3.1 Obligations générales des déployeurs (Art. 26)

Utiliser le système conformément aux instructions d'utilisation du fournisseur
S'assurer que les données d'entrée sont pertinentes et représentatives
Surveiller le fonctionnement du système et signaler tout dysfonctionnement
Conserver les journaux générés automatiquement (minimum 6 mois)
Réaliser une analyse d'impact sur les droits fondamentaux (FRIA) pour les systèmes à haut risque relevant de l'Annexe III (Art. 27)

3.2 L'évaluation des incidences sur les droits fondamentaux — FRIA (Art. 27)

L'un des apports majeurs de l'AI Act est l'obligation pour les déployeurs de systèmes à haut risque (Annexe III) de réaliser une évaluation des incidences sur les droits fondamentaux avant la mise en service du système. Cette évaluation — connue sous l'acronyme FRIA (Fundamental Rights Impact Assessment) — est structurée en 8 étapes :

Identification du système et de son contexte de déploiement
Description des processus d'utilisation
Identification des personnes concernées et des groupes vulnérables
Évaluation des risques d'atteinte aux droits fondamentaux (dignité, non-discrimination, vie privée, liberté d'expression, recours effectif)
Description des mesures de surveillance humaine (Art. 14)
Mesures d'atténuation des risques (techniques, organisationnelles, juridiques)
Calendrier et fréquence de revue
Validation et décision de déploiement

Articulation FRIA / AIPD RGPD
L'Article 27.4 prévoit explicitement que la FRIA peut être réalisée conjointement avec l'analyse d'impact relative à la protection des données (AIPD) prévue par l'article 35 du RGPD. En pratique, pour un système d'IA à haut risque qui traite des données personnelles, les deux évaluations sont complémentaires et peuvent partager un socle commun d'analyse des risques.

4. Incidents graves : obligation de notification (Art. 73)

Les fournisseurs et déployeurs de systèmes à haut risque doivent notifier les incidents graves aux autorités de surveillance du marché dans un délai de 15 jours suivant la prise de connaissance de l'incident.

Un incident est qualifié de "grave" au sens de l'AI Act lorsqu'il entraîne :

Le décès d'une personne ou un dommage grave à sa santé
Une perturbation grave et irréversible de la gestion d'infrastructures critiques
Une violation des droits fondamentaux
Un dommage grave à l'environnement ou aux biens

Cette obligation de notification est distincte de celle prévue par le RGPD (Art. 33-34), mais les deux peuvent s'appliquer simultanément si l'incident implique des données personnelles.

5. Registre de l'UE et obligations d'enregistrement (Art. 49)

Les fournisseurs de systèmes à haut risque doivent enregistrer leurs systèmes dans la base de données de l'UE avant leur mise sur le marché. Les déployeurs qui sont des organismes de droit public (ou qui agissent en leur nom) doivent également s'enregistrer.

La base de données est publique et accessible librement. Elle constitue un outil de transparence permettant aux citoyens, aux autorités et aux organisations de la société civile de connaître les systèmes d'IA à haut risque déployés sur le territoire européen.

6. Sanctions : un régime dissuasif

Le régime de sanctions de l'AI Act s'inspire directement de celui du RGPD, avec des plafonds encore plus élevés pour les infractions les plus graves :

35 millions d'euros ou 7% du CA mondial : pour les pratiques interdites (Art. 5) et les violations relatives aux données d'entraînement des modèles GPAI
15 millions d'euros ou 3% du CA mondial : pour les violations des obligations relatives aux systèmes à haut risque
7,5 millions d'euros ou 1% du CA mondial : pour la fourniture d'informations inexactes, incomplètes ou trompeuses aux autorités

Pour les PME et les startups, les montants forfaitaires s'appliquent s'ils sont inférieurs aux pourcentages du chiffre d'affaires. Le Règlement prévoit également des sanctions adaptées pour les institutions et organes de l'Union européenne.

7. Articulation AI Act / RGPD : deux textes complémentaires

La question la plus fréquente des DPO et responsables conformité concerne l'articulation entre les deux textes. Voici les points de convergence et de complémentarité :

Analyse d'impact : AIPD (RGPD Art. 35) + FRIA (AI Act Art. 27) — peuvent être conduites conjointement
Transparence : obligation d'information (RGPD Art. 13-14) + obligation de transparence IA (AI Act Art. 50) — s'additionnent
Notification : violation de données (RGPD Art. 33) + incident grave IA (AI Act Art. 73) — deux procédures distinctes mais potentiellement simultanées
Registre : registre des traitements (RGPD Art. 30) + registre des systèmes IA (AI Act Art. 49) — documents distincts mais complémentaires
Surveillance : DPO (RGPD Art. 37-39) + autorité de surveillance du marché (AI Act) — interlocuteurs différents, coordination nécessaire

Recommandation pratique
Les organisations qui ont déjà mis en place un programme de conformité RGPD solide disposent d'un avantage structurel pour la mise en conformité AI Act. Les processus d'analyse d'impact, de registre, de gestion des incidents et de gouvernance peuvent être étendus pour intégrer les exigences spécifiques à l'IA.

8. Comment préparer la conformité de votre organisation

La préparation à l'AI Act peut être structurée en cinq étapes concrètes :

Inventaire : recenser tous les systèmes d'IA utilisés dans l'organisation (y compris les outils SaaS intégrant de l'IA)
Classification : évaluer le niveau de risque de chaque système selon les critères des Articles 5, 6 et de l'Annexe III
Gap analysis : identifier les écarts entre les pratiques actuelles et les obligations du Règlement
Plan d'action : prioriser les mesures de mise en conformité (FRIA, documentation technique, mesures de transparence, surveillance humaine)
Gouvernance : désigner un responsable IA, former les équipes, mettre en place les processus de suivi et de revue

Conclusion

L'AI Act n'est pas un simple texte de plus dans l'arsenal réglementaire européen. Il inaugure une nouvelle ère de la régulation technologique, où les obligations ne portent plus seulement sur les données mais sur les systèmes eux-mêmes. Pour les entreprises, la fenêtre de préparation est ouverte : les principales obligations entrent en application en août 2026. Celles qui auront anticipé — en s'appuyant sur leur expérience RGPD et en intégrant les deux démarches de conformité — seront mieux positionnées pour transformer cette obligation réglementaire en avantage concurrentiel.

Changement d'entreprise