Dans beaucoup de structures sociales et médico-sociales, l’intelligence artificielle est déjà entrée — sans qu’aucune décision n’ait jamais été prise. Un intervenant social fait reformuler un rapport par ChatGPT. Un service teste un outil de tri des demandes. Une plateforme propose un chatbot pour répondre aux usagers. C’est efficace, c’est immédiat, et personne ne s’est demandé si un cadre s’appliquait.
Le réflexe que j’entends le plus souvent sur le terrain, c’est : « l’AI Act, c’est pour les géants de la tech, pas pour nous ». C’est faux. Une obligation concerne déjà votre structure depuis le 2 février 2025, et d’autres arrivent. La bonne nouvelle, c’est que pour un ESSMS, l’essentiel est gérable — à condition de comprendre où l’on se situe.
Cet article fait le tour complet : comprendre le règlement, l’articuler avec le RGPD que vous connaissez déjà, et passer à l’action sur ce qui s’applique dès maintenant.
1. Comprendre l’AI Act : la pyramide du risque
L’AI Act, c’est le Règlement (UE) 2024/1689, premier cadre juridique mondial dédié à l’intelligence artificielle. Il est entré en vigueur le 1er août 2024 et s’applique de façon progressive, sur plusieurs années.
Sa logique est simple, et proche de celle d’une analyse de risque : plus un usage de l’IA présente un danger pour les personnes, plus les obligations qui l’encadrent sont lourdes. Le règlement classe donc les usages en quatre niveaux.
- Risque inacceptable : purement interdit (notation sociale généralisée, manipulation, certaines formes de reconnaissance des émotions, etc.).
- Haut risque : autorisé mais très encadré (documentation, supervision humaine, traçabilité, gestion de la qualité des données).
- Risque limité : essentiellement une obligation de transparence — prévenir l’utilisateur qu’il interagit avec une IA (typiquement un chatbot ou un contenu généré).
- Risque minimal : l’immense majorité des usages courants, sans contrainte particulière.
En clair : l’AI Act ne s’applique pas « à votre structure » en bloc, mais usage par usage. Le même principe que le RGPD, qui ne s’applique pas à une entreprise mais à chaque traitement de données. Un chatbot, un outil de tri, un assistant de rédaction : chacun se range dans un niveau de risque distinct.
Où se situe un ESSMS ?
Point capital : un établissement social ou médico-social n’est presque jamais fournisseur d’IA (celui qui conçoit ou met sur le marché un système). Il est déployeur — celui qui utilise un outil tiers.
Cette distinction change tout. La majorité de la charge de conformité pèse sur le fournisseur de l’outil. Mais le déployeur garde des obligations propres : utiliser le système conformément à sa notice, assurer une supervision humaine réelle, et — on y revient plus bas — former les personnes qui s’en servent. À garder en tête toutefois : un déployeur qui modifie substantiellement un système ou le diffuse sous son propre nom peut être requalifié en fournisseur (article 25), avec les obligations correspondantes — un point qui mérite attention si votre structure développe ou personnalise ses propres outils.
Le piège à connaître : « l’accès aux services essentiels »
Parmi les huit domaines classés à haut risque (annexe III du règlement) figurent la biométrie, les infrastructures critiques, l’éducation, l’emploi et le recrutement, la justice et la police… et l’accès aux services et prestations essentiels, qui inclut explicitement l’évaluation de l’éligibilité à des prestations et aides sociales. À noter pour le secteur de l’asile : la gestion de la migration, de l’asile et des frontières constitue elle aussi un domaine à haut risque à part entière (annexe III, point 7) — il vise les autorités publiques compétentes (examen des demandes, évaluation des risques), pas les structures d’accueil en tant que telles, mais il confirme que l’IA appliquée aux parcours des personnes exilées est considérée par le législateur comme particulièrement sensible.
C’est là que le secteur est directement concerné. Une IA qui aiderait à évaluer un droit, prioriser une demande ou orienter un usager vers (ou hors d’) un dispositif ne relève pas du « risque minimal ». Elle peut basculer dans le haut risque, avec les obligations renforcées qui vont avec.
En clair : tant que l’IA vous aide à rédiger ou traduire, on reste a priori dans des usages légers au sens de l’AI Act. Dès qu’elle contribue à évaluer ou décider d’un droit, elle est susceptible de basculer dans le haut risque. La frontière exacte n’est pas encore tranchée : elle fait l’objet de lignes directrices de la Commission européenne sur la qualification « haut risque » (article 6), dont un projet a été mis en consultation en 2026. C’est un point à suivre, et non une certitude figée.
⚠️ Attention au faux ami. « Léger au sens de l’AI Act » ne signifie pas « sans risque ». Un intervenant qui colle le nom, la date de naissance et l’origine d’un usager dans ChatGPT pour rédiger un rapport reste dans un usage anodin au regard de l’AI Act — et commet pourtant une infraction caractérisée au regard du RGPD. C’est tout l’objet de la partie suivante.
2. AI Act + RGPD : le duo à maîtriser
L’erreur la plus courante est de croire que l’AI Act remplace le RGPD. Il ne le remplace pas : il s’y ajoute. Les deux régimes se cumulent dès qu’une IA traite des données personnelles. Sur le socle RGPD lui-même, nous détaillons les fondamentaux dans notre article Le RGPD dans le médico-social.
La frontière est nette :
- Le RGPD encadre les données que l’IA manipule (base légale, données sensibles de l’article 9, sécurité, information des personnes, sous-traitance).
- L’AI Act encadre le système lui-même (son niveau de risque, sa documentation, sa transparence, la supervision humaine).
Un même outil peut donc déclencher les deux régimes en même temps, pour des raisons différentes.
Le cas concret : faire reformuler un écrit par ChatGPT
Prenons l’exemple le plus répandu, celui qui se produit tous les jours dans nos structures : un intervenant social colle la situation d’un usager dans ChatGPT pour fluidifier un rapport. Nom, date de naissance, origine, composition familiale, démarches en cours.
C’est le cas d’école du « OK AI Act / KO RGPD » — et c’est précisément parce qu’il paraît anodin qu’il est dangereux. La même logique vaut pour les outils grand public du quotidien : nous l’avons illustrée à propos de WhatsApp en EHPAD et structures médico-sociales.
Côté AI Act, l’usage est effectivement léger : c’est un modèle à usage général (GPAI), on est sur du risque limité ou minimal. L’enjeu se résume à la transparence et à la formation.
Côté RGPD, en revanche, l’exposition est réelle — et c’est là que se situe le vrai risque juridique de ce geste précis :
- Le texte décrit une personne identifiée par la structure. C’est une donnée personnelle, et souvent sensible (santé, situation sociale, procédure). En contexte asile, les démarches en cours touchent fréquemment à l’article 9 (origine, parfois convictions).
- Retirer le nom ne suffit pas. C’est de la pseudonymisation, pas de l’anonymisation. Une combinaison de détails (composition familiale + dates + procédure) permet d’individualiser une personne sans la nommer. La jurisprudence récente de la CJUE (affaire SRB c. CEPD) confirme cette logique : ces données restent personnelles pour le responsable qui, lui, peut identifier la personne, et la pseudonymisation ne fait pas disparaître l’obligation d’information.
- Aucun contrat de sous-traitance (article 28) n’encadre l’usage de l’outil grand public, aucune base légale ne couvre ce transfert, et la traçabilité fait défaut.
En clair : le RGPD ne se demande pas « l’outil peut-il retrouver la personne ? ». Il regarde ce que la structure, elle, a entre les mains et à qui elle l’envoie. Le caviardage, aussi soigné soit-il, ne rend pas le geste conforme.
« Alors comment fait-on, concrètement ? »
C’est la question qui vient immédiatement — et la réponse n’est pas « bannir l’IA ». Il existe deux voies, et une seule condition institutionnelle. Bien encadrée, l’IA reste un vrai levier : nous l’expliquons dans L’intelligence artificielle au service de l’accompagnement, quand le RGPD est respecté.
Voie 1 — l’usager ne quitte jamais le prompt. L’IA travaille sur la forme : reformuler votre propre brouillon, corriger, structurer, proposer un plan. Jamais sur la situation réelle d’une personne identifiée.
Voie 2 — une IA réellement encadrée. Hébergée dans l’Union européenne, couverte par un contrat de sous-traitance (article 28) signé, avec la garantie contractuelle qu’aucune donnée n’est réutilisée pour l’entraînement du modèle. C’est ce qui sépare un outil grand public d’un outil professionnel.
La condition institutionnelle, dans les deux cas : une AIPD (le projet coche généralement plusieurs critères CNIL — données sensibles, public vulnérable, technologie innovante), l’information des usagers, et une charte interne qui dit noir sur blanc ce qu’on peut soumettre à une IA et ce qu’on ne soumet jamais. Et la base légale n’est pas le consentement de l’usager : dans une relation aussi asymétrique, elle repose sur la mission d’intérêt public de la structure.
Ne pas confondre les deux analyses de risque
Le RGPD et l’AI Act ont chacun leur outil d’analyse, et il ne faut pas les mélanger :
- L’AIPD (analyse d’impact relative à la protection des données, RGPD article 35) porte sur les risques pour les personnes liés au traitement de leurs données.
- L’analyse de conformité AI Act porte sur le système d’IA et son niveau de risque.
Pour un projet IA qui traite des données sensibles d’un public vulnérable, vous aurez besoin des deux. La bonne nouvelle : la documentation se mutualise largement, et une structure habituée au RGPD a déjà les bons réflexes méthodologiques.
3. Ce qui s’applique déjà, et ce qu’il faut faire maintenant
Le calendrier de l’AI Act vient d’être réécrit. Il faut donc distinguer ce qui est en vigueur, ce qui est reporté, et ce qui ne l’est pas.
Déjà en vigueur — et non négociable
- Depuis le 2 février 2025 : les interdictions absolues, et surtout l’obligation de maîtrise de l’IA (« AI literacy », article 4). Toute organisation qui utilise l’IA doit s’assurer que les personnes concernées disposent d’un niveau de compétence suffisant. C’est le point qui concerne déjà votre structure.
- Depuis le 2 août 2025 : les obligations pour les modèles à usage général (ChatGPT, Claude, Mistral).
Le report (Digital Omnibus) — à comprendre, pas à attendre
Le 16 juin 2026, le Parlement européen a voté le Digital Omnibus, qui décale les obligations les plus lourdes : les systèmes à haut risque de l’annexe III, prévus pour le 2 août 2026, sont reportés au 2 décembre 2027 (et 2028 pour l’IA intégrée à des produits réglementés).
Attention au piège : ce report n’est pas encore définitif. Il ne prend effet qu’après adoption formelle par le Conseil et publication au Journal officiel de l’UE. Tant que ce n’est pas publié, le 2 août 2026 reste juridiquement la date applicable. Se reposer sur le report serait un pari risqué.
Et surtout, le report ne concerne pas tout. Restent en vigueur selon le calendrier prévu : les interdictions, l’AI literacy, les règles GPAI, et les obligations de transparence (article 50) à partir du 2 août 2026 — informer l’usager lorsqu’il dialogue avec une IA (un chatbot, par exemple). Deux nouvelles interdictions ont même été ajoutées (deepfakes intimes non consentis et contenus pédocriminels).
L’échelle des sanctions
Pour situer l’enjeu, l’article 99 prévoit trois paliers : jusqu’à 35 M€ ou 7 % du chiffre d’affaires mondial pour les pratiques interdites (article 5) ; jusqu’à 15 M€ ou 3 % pour la plupart des autres manquements — y compris les obligations des déployeurs (article 26) et les obligations de transparence de l’article 50 ; et jusqu’à 7,5 M€ ou 1 % pour la fourniture d’informations inexactes aux autorités. Pour les PME, c’est le montant le plus faible (et non le plus élevé) qui s’applique. En France, la CNIL est désignée comme autorité coordinatrice pour l’AI Act.
Les 5 réflexes à mettre en place dès maintenant
- Cartographier vos usages d’IA, y compris l’IA « shadow » (les outils que vos équipes utilisent sans validation, ChatGPT en tête). On ne sécurise que ce qu’on connaît.
- Former le personnel qui utilise l’IA (obligation déjà en vigueur). Pas besoin d’une formation lourde : comprendre ce qu’on peut et ce qu’on ne peut pas faire suffit déjà à réduire le risque.
- Rédiger une charte interne d’usage de l’IA : ce qu’on peut coller dans un outil, ce qu’on ne colle jamais, quels outils sont autorisés.
- Auditer les outils tiers : votre fournisseur est-il conforme ? L’hébergement est-il en UE ? Un contrat de sous-traitance existe-t-il ? Les données servent-elles à l’entraînement ?
- Relier le tout au RGPD : pour les projets sensibles, articuler l’analyse AI Act avec l’AIPD plutôt que de mener deux chantiers séparés.
À retenir
- L’AI Act (Règlement UE 2024/1689) classe les usages d’IA par niveau de risque ; il s’applique usage par usage, pas en bloc.
- Un ESSMS est presque toujours déployeur, pas fournisseur — mais il garde des obligations propres.
- Une obligation s’applique déjà : former le personnel qui utilise l’IA (depuis février 2025).
- L’AI Act ne remplace pas le RGPD, il s’y ajoute : l’un encadre le système, l’autre les données.
- Le report des obligations « haut risque » (Digital Omnibus) n’est pas définitif et ne couvre ni l’AI literacy, ni la transparence, ni les interdictions.
- Le piège central : un usage peut être parfaitement anodin au regard de l’AI Act et constituer une infraction caractérisée au regard du RGPD. Faire reformuler l’écrit d’un usager par ChatGPT en est l’exemple type.
- Retirer le nom n’anonymise pas : la combinaison des détails suffit à individualiser une personne.
Questions fréquentes
Mon ESSMS doit-il se mettre en conformité avec l’AI Act ?
Oui, mais de façon proportionnée. Vous n’êtes pas fournisseur d’IA, donc l’essentiel de la charge pèse sur les éditeurs de vos outils. Votre obligation immédiate concerne la formation de vos équipes et la transparence vis-à-vis des usagers.
ChatGPT est-il interdit dans une structure sociale ?
Non. Le problème n’est pas l’outil, mais l’usage non encadré, en particulier au regard du RGPD lorsqu’il traite des données d’usagers. Des alternatives encadrées (hébergement UE, contrat de sous-traitance, non-réutilisation des données) et des règles internes simples permettent d’en tirer parti sans exposer les personnes.
Si je retire le nom de l’usager, est-ce que je suis en règle ?
Non. Retirer les identifiants directs, c’est de la pseudonymisation, pas de l’anonymisation. Une combinaison de détails (composition familiale, dates, procédure en cours) suffit souvent à individualiser une personne. Et surtout, votre structure, elle, sait parfaitement de qui il s’agit : la donnée reste personnelle entre vos mains, et l’envoyer à un tiers reste un traitement soumis au RGPD.
Le report de 2027 veut-il dire que je peux attendre ?
Non, pour deux raisons. Le report n’est pas encore définitif tant qu’il n’est pas publié au Journal officiel, et il ne couvre ni l’obligation de formation, ni la transparence, ni les interdictions — toutes en vigueur selon leur propre calendrier.
Quelle est la première chose à faire ?
Cartographier vos usages réels d’IA, formation « shadow » comprise. C’est la base de tout le reste, exactement comme le registre des traitements l’est pour le RGPD.
Sources & vérification
Cet article repose sur des sources primaires que vous — et vos lecteurs — pouvez recouper directement. Compte tenu de l’évolution rapide du calendrier (Digital Omnibus), il est conseillé de vérifier les échéances avant toute décision.
- Texte officiel du règlement : Règlement (UE) 2024/1689, sur EUR-Lex (identifiant CELEX 32024R1689) — eur-lex.europa.eu/eli/reg/2024/1689/oj
- Articles cités, en accès libre : maîtrise de l’IA (art. 4), classification haut risque (art. 6), transparence (art. 50), sanctions (art. 99)
- Calendrier et Digital Omnibus : communiqués de la Commission européenne et du Parlement européen — digital-strategy.ec.europa.eu et europarl.europa.eu
- Position française : CNIL, autorité coordinatrice pour l’AI Act — cnil.fr
- Jurisprudence RGPD citée : affaire SRB c. CEPD (identifiabilité et pseudonymisation), consultable sur CURIA — curia.europa.eu
Article à jour au 13 juillet 2026. Le report des obligations « haut risque » par le Digital Omnibus n’est pas encore définitif tant qu’il n’est pas publié au Journal officiel de l’Union européenne ; jusque-là, l’échéance du 2 août 2026 reste juridiquement applicable.
Sécuriser l’IA dans votre structure, sans perdre en efficacité
L’IA fait gagner un temps précieux dans le secteur social et médico-social. Tout est dans le cadre qu’on lui donne. En tant qu’activateur France Num spécialisé dans le secteur, nous accompagnons les ESSMS pour cartographier leurs usages, former leurs équipes et déployer des outils conformes — RGPD et AI Act articulés.