Le règlement (UE) 2024/1689, plus connu sous le nom d’AI Act, est entré en vigueur le 1er août 2024. C’est le premier cadre juridique complet au monde encadrant l’intelligence artificielle. Son application progressive culmine le 2 août 2026, date à laquelle les obligations sur les systèmes d’IA à haut risque deviennent exécutoires. Pour les entreprises qui utilisent un ERP intégrant des fonctionnalités IA (prévisions, scoring, chatbots, automatisation RH), la question n’est plus théorique : il faut se préparer.
Cet article décrypte les obligations concrètes de l’AI Act pour les éditeurs et les entreprises utilisatrices d’ERP, module par module.
AI Act : rappel du calendrier et des obligations clés
Les grandes dates à retenir
L’AI Act suit un calendrier de mise en application graduel (texte officiel sur EUR-Lex) :
- 1er août 2024 : entrée en vigueur du règlement
- 2 février 2025 : interdiction des pratiques d’IA prohibées (Article 5), comme le scoring social ou la manipulation subliminale
- 2 août 2025 : obligations pour les fournisseurs de modèles d’IA à usage général (GPAI), y compris la documentation technique et les résumés de données d’entraînement (Baker McKenzie, août 2025)
- 2 août 2026 : application des règles sur les systèmes d’IA à haut risque (Annexe III) et des obligations de transparence (Article 50)
- 2 août 2027 : conformité obligatoire pour les modèles GPAI mis sur le marché avant août 2025
Pour un DSI ou un DPO, la date critique est août 2026 : c’est à partir de là que les sanctions deviennent applicables sur les systèmes d’IA à haut risque déployés dans l’entreprise.
Les 4 niveaux de risque et les IA embarquées dans les ERP
L’AI Act classe les systèmes d’IA en quatre catégories :
- Risque inacceptable (interdit) : scoring social, manipulation comportementale. Aucun ERP sérieux n’embarque ce type de fonctionnalité.
- Risque élevé (Annexe III) : systèmes soumis à des exigences strictes de conformité, de documentation et de supervision humaine. Certains modules ERP entrent dans cette catégorie.
- Risque limité : systèmes soumis à des obligations de transparence (Article 50). La majorité des assistants IA et chatbots d’ERP se situent ici.
- Risque minimal : aucune obligation spécifique. Les filtres anti-spam ou la catégorisation automatique de documents, par exemple.
La difficulté pour les entreprises : un même ERP peut contenir des modules relevant de niveaux de risque différents. Il ne suffit pas de classer “l’ERP” dans une catégorie, il faut examiner chaque fonctionnalité IA séparément.
Quels modules ERP sont concernés par l’AI Act ?
Scoring fournisseurs et credit scoring automatisé : risque élevé potentiel
L’Annexe III de l’AI Act classe explicitement dans la catégorie “haut risque” les systèmes d’IA destinés à « évaluer la solvabilité de personnes physiques ou établir leur score de crédit » (Annexe III, point 5(b)). Si votre ERP utilise un algorithme de scoring pour évaluer automatiquement la fiabilité d’un fournisseur ou d’un client, vous devez vérifier si ce scoring porte sur des personnes physiques.
Les obligations pour les systèmes à haut risque sont substantielles : système de gestion des risques, données d’entraînement de qualité, documentation technique détaillée, journalisation des opérations, supervision humaine, exactitude et robustesse.
Concrètement : si votre ERP attribue automatiquement un score de crédit à un client particulier ou un entrepreneur individuel, ce module tombe probablement sous le régime du haut risque. En revanche, un scoring portant exclusivement sur des personnes morales n’est pas visé par cette disposition.
Prévisions de demande et planification IA : risque limité
Les modules de prévision de demande (demand forecasting), de planification automatique des stocks ou d’optimisation de la supply chain utilisent des modèles prédictifs, mais ne portent généralement pas sur des personnes physiques. Ces systèmes ne figurent pas dans l’Annexe III et relèvent du risque limité ou minimal.
L’obligation principale : si le système génère du contenu ou des recommandations présentées à un utilisateur, l’entreprise doit informer cet utilisateur qu’il interagit avec un système d’IA (Article 50).
Chatbots internes et assistants IA : obligation de transparence
SAP Joule, Microsoft Copilot dans Dynamics 365, Cegid Pulse, Sage Copilot, Odoo AI : tous les grands éditeurs intègrent désormais des assistants conversationnels dans leurs ERP. L’Article 50 de l’AI Act impose une obligation claire : « Les fournisseurs veillent à ce que les systèmes d’IA destinés à interagir directement avec des personnes physiques soient conçus de manière que les personnes concernées soient informées qu’elles interagissent avec un système d’IA » (Article 50, AI Act).
En décembre 2025, la Commission européenne a publié un premier projet de Code de pratique sur la transparence des contenus générés par IA, avec une version finale attendue pour juin 2026, juste avant l’entrée en application (Commission européenne, décembre 2025).
Ce que ça change : un chatbot ERP doit indiquer clairement qu’il est une IA. Les contenus qu’il génère (emails, rapports, synthèses) doivent être identifiables comme générés par IA dans un format lisible par machine.
Recrutement et évaluation RH assistés par IA : risque élevé confirmé
C’est le cas d’usage ERP le plus clairement visé par l’AI Act. L’Annexe III classe sans ambiguïté dans la catégorie “haut risque” les systèmes d’IA « destinés à être utilisés pour le recrutement ou la sélection de personnes physiques, notamment pour publier des offres d’emploi ciblées, analyser et filtrer les candidatures, et évaluer les candidats » (Annexe III, point 4).
Les modules RH/SIRH intégrés à un ERP qui utilisent l’IA pour le tri de CV, l’évaluation des performances ou l’aide à la décision de promotion sont directement concernés. Cegid, dont le module RH intègre déjà la recherche assistée par IA pour le recrutement (Cegid, page IA RH), devra documenter et certifier la conformité de ces fonctionnalités.
Ce que les éditeurs ERP ont déjà annoncé
SAP : certification ISO 42001 et classification des use cases Joule
SAP a obtenu la certification ISO 42001 pour la gouvernance de l’IA au troisième trimestre 2025, couvrant Joule, SAP AI Core et SAP AI Launchpad (SAP News Center, Q3 2025). L’AI Ethics Handbook de SAP introduit trois catégories de risque (standard, high-risk, red-line), avec un niveau de supervision adapté à chaque catégorie.
SAP affirme que les données clients restent dans leur propre tenancy et ne sont jamais utilisées pour entraîner des modèles tiers. La purge automatique des données après rotation des logs et les mesures de conformité RGPD sont intégrées à Joule (SAP, page AI Ethics).
C’est l’éditeur qui a la démarche la plus structurée à ce stade, ce qui est cohérent avec sa clientèle grands comptes soumise à des exigences réglementaires fortes.
Microsoft : Copilot et transparence dans Dynamics 365
Microsoft a publié 33 Transparency Notes depuis 2019, détaillant les capacités et limites de ses outils IA (Microsoft Trust Center, page EU AI Act). Des équipes dédiées combinent gouvernance IA, ingénierie, juridique et politique publique pour préparer la conformité à l’AI Act.
Point important pour les entreprises utilisatrices de Dynamics 365 : Copilot est classé « risque limité » par défaut (obligation de transparence uniquement). Mais s’il est intégré dans un workflow à haut risque, comme le tri de candidatures ou l’évaluation de performances, l’ensemble du processus bascule en haut risque. La responsabilité incombe alors au déployeur, c’est-à-dire à l’entreprise utilisatrice.
Odoo, Cegid, Sage : où en sont les acteurs européens ?
Cegid a lancé son plan stratégique “Forward.ai” avec l’assistant Cegid Pulse, un ensemble d’agents IA permettant d’interagir en langage naturel avec les données de gestion. Une quarantaine de fonctionnalités IA étaient en développement en 2025 (L’Usine Digitale, 2025). Sur la conformité AI Act spécifiquement, Cegid n’a pas encore publié de communication dédiée.
Sage a déployé Sage Copilot pour X3 en 2025, d’abord en programme Early Adopter puis en disponibilité générale (Inixion, Sage X3 2025 R2). Le copilote permet d’interroger les données en langage naturel et reçoit des alertes proactives. Pas de communication publique sur la conformité AI Act à ce stade.
Odoo a lancé l’Odoo AI App en avril 2025 avec des fonctionnalités de scoring de leads par machine learning, d’analyse de sentiments et de rédaction automatique. Odoo 20, attendu en septembre 2026, devrait étendre ces capacités (Odoo Experience 2025). L’éditeur belge, de taille plus modeste que SAP ou Microsoft, n’a pas encore publié de feuille de route AI Act.
Le constat est clair : les grands éditeurs anglo-saxons (SAP, Microsoft) sont en avance sur la documentation de conformité. Les éditeurs européens de taille intermédiaire (Cegid, Sage, Odoo) intègrent activement l’IA dans leurs produits mais restent discrets sur leur préparation réglementaire.
Checklist de conformité AI Act pour les entreprises utilisatrices d’ERP
L’AI Act distingue deux rôles : le fournisseur (provider), l’éditeur qui développe le système d’IA, et le déployeur (deployer), l’entreprise qui l’utilise. Les deux ont des obligations, mais elles sont différentes.
1. Inventaire des fonctionnalités IA activées dans votre ERP
Première étape : identifier précisément quels modules IA sont activés dans votre installation ERP. Beaucoup d’entreprises ne savent pas que certaines fonctionnalités IA sont actives par défaut.
Questions à poser à votre éditeur ou intégrateur :
- Quels modules utilisent des algorithmes de machine learning ou de l’IA générative ?
- Ces modules sont-ils activés par défaut ou sur opt-in ?
- Quelles données alimentent ces modèles ?
- Les modèles sont-ils entraînés sur vos données ou pré-entraînés ?
2. Classification du niveau de risque par module
Pour chaque fonctionnalité IA identifiée, déterminez sa catégorie de risque :
| Module IA | Catégorie probable | Obligation principale |
|---|---|---|
| Scoring crédit / solvabilité (personnes physiques) | Haut risque | Conformité complète Annexe III |
| Tri de CV / évaluation RH | Haut risque | Conformité complète Annexe III |
| Chatbot / assistant conversationnel | Risque limité | Transparence (Article 50) |
| Prévision de demande / stock | Risque minimal | Aucune obligation spécifique |
| Détection d’anomalies comptables | Risque minimal | Aucune obligation spécifique |
| Génération de rapports / emails | Risque limité | Marquage IA (Article 50) |
3. Documentation et traçabilité des décisions automatisées
Pour les systèmes à haut risque, l’entreprise déployeuse doit :
- Tenir un registre des décisions prises ou assistées par le système d’IA
- Conserver les logs générés par le système (durée adaptée à la finalité)
- Documenter les mesures de supervision humaine mises en place
- Réaliser une analyse d’impact sur les droits fondamentaux avant la mise en service
4. Droits des personnes concernées : explicabilité et recours
L’AI Act renforce les droits déjà posés par le RGPD. Pour les systèmes à haut risque :
- Les personnes affectées par une décision automatisée doivent pouvoir obtenir une explication claire
- Un mécanisme de recours doit être accessible
- La supervision humaine doit être effective, pas théorique : une personne compétente doit pouvoir annuler ou modifier la décision de l’IA
Ce point est particulièrement sensible pour les modules RH. Un candidat écarté par un système de tri automatisé de CV a le droit de savoir pourquoi et de contester cette décision.
Ce qui reste flou et les points de vigilance pour 2026-2027
Les guidelines de la Commission attendues au second semestre 2026
Plusieurs zones d’ombre subsistent dans l’application de l’AI Act aux ERP :
- Classification fine : l’Article 6(3) prévoit qu’un système listé en Annexe III peut être exempté s’il ne pose pas de risque significatif. Les critères précis d’exemption font encore l’objet de discussions.
- Conformité interne : pour la plupart des systèmes à haut risque de l’Annexe III, les fournisseurs réalisent eux-mêmes leur évaluation de conformité (procédure interne de l’Annexe VI, sans organisme notifié). La fiabilité de cette auto-évaluation reste à prouver.
- Code de pratique sur la transparence : le texte final est attendu pour juin 2026, laissant très peu de temps aux entreprises pour s’adapter avant l’application en août 2026.
La question des modèles de fondation utilisés par les éditeurs ERP
Un enjeu émergent : les éditeurs ERP qui intègrent des modèles de fondation tiers (GPT-4, Claude, Gemini) dans leurs produits. L’AI Act impose des obligations aux fournisseurs de modèles GPAI (documentation, résumé des données d’entraînement, respect du droit d’auteur), mais la chaîne de responsabilité entre le fournisseur du modèle, l’éditeur ERP et l’entreprise utilisatrice n’est pas encore totalement clarifiée.
Si votre éditeur ERP utilise un modèle de fondation tiers pour alimenter son assistant IA, demandez-lui :
- Quel modèle est utilisé et par quel fournisseur ?
- Le fournisseur du modèle a-t-il publié sa documentation GPAI ?
- Vos données transitent-elles par des serveurs hors UE ?
Les sanctions : un levier dissuasif
Le régime de sanctions de l’AI Act est aligné sur le modèle du RGPD, avec trois paliers (Article 99) :
- Pratiques interdites (Article 5) : jusqu’à 35 millions d’euros ou 7 % du chiffre d’affaires mondial annuel
- Autres infractions : jusqu’à 15 millions d’euros ou 3 % du CA mondial
- Informations incorrectes aux autorités : jusqu’à 7,5 millions d’euros ou 1 % du CA mondial
Les PME et startups bénéficient d’un régime adouci : le montant retenu est le plus bas entre le pourcentage et le montant fixe, au lieu du plus élevé.
Agir maintenant plutôt que subir en août 2026
L’AI Act n’est pas un texte lointain. Les interdictions sont déjà en vigueur depuis février 2025, les obligations GPAI depuis août 2025, et le gros du dispositif (haut risque + transparence) s’applique dans moins de quatre mois. Les entreprises qui attendent les guidelines finales de la Commission pour commencer leur mise en conformité prennent un risque calculable mais réel.
Pour approfondir les enjeux IA dans les ERP, consultez notre top 5 des solutions ERP avec IA intégrée en 2026. Sur le volet réglementaire connexe, notre guide ERP et RGPD couvre les obligations de protection des données, et notre article sur la cybersécurité des systèmes ERP traite des risques techniques associés.
