Pourquoi les chatbots sont spécifiquement visés par l'EU AI Act
Les chatbots sont des systèmes d'IA qui interagissent directement avec des utilisateurs humains. À ce titre, l'EU AI Act impose des obligations de transparence spécifiques : toute personne qui interagit avec un chatbot doit être informée qu'elle communique avec une machine, pas un humain. Cette obligation, définie à l'article 50 du règlement, s'applique depuis le 2 août 2026.
Au-delà de la transparence basique, le niveau de contrainte dépend de ce que fait le chatbot. Un chatbot de support client qui répond aux FAQ est différent d'un chatbot RH qui évalue des candidats, ou d'un chatbot financier qui donne des conseils en placement. Plus l'impact sur les décisions affectant des personnes est important, plus les obligations sont strictes.
Checklist conformité EU AI Act pour votre chatbot
1. Transparence envers les utilisateurs
- Le chatbot se présente clairement comme un système automatisé dès le premier contact
- Il n'imite pas un humain de façon trompeuse (pas de prénom "humain" sans indication que c'est une IA)
- Les utilisateurs peuvent facilement identifier qu'ils interagissent avec une IA
- En cas de génération de contenu (images, textes, audio), ce contenu est marqué comme généré par IA
- Le chatbot indique ses limites et renvoie vers un humain quand nécessaire
2. Information et consentement
- Les utilisateurs sont informés de l'existence et du fonctionnement du chatbot IA
- La politique de confidentialité mentionne l'utilisation de l'IA et le traitement des données de conversation
- Si des données personnelles sont collectées via le chatbot, les bases légales RGPD sont en place
- L'utilisateur sait si ses conversations sont utilisées pour entraîner le modèle
3. Supervision humaine
- Un humain peut reprendre la main sur la conversation à tout moment si demandé
- Les décisions importantes (refus de service, escalade de litige) sont validées ou révisables par un humain
- Les conversations sont auditables par les équipes internes
- Des processus de révision existent pour les erreurs ou biais détectés
4. Documentation technique (obligatoire si risque élevé)
- Description du système : quel modèle d'IA, quel fournisseur, quelles données d'entraînement
- Documentation des tests de performance et de biais effectués
- Journal des incidents et des corrections apportées
- Contrat avec le fournisseur d'IA précisant les responsabilités de conformité
- Registre des activités de traitement IA mis à jour
5. Si votre chatbot est à risque élevé (RH, finance, santé, justice)
- Système de gestion des risques formalisé et documenté
- Enregistrement dans la base de données UE des systèmes IA à risque élevé
- Évaluation de conformité réalisée avant déploiement
- Déclaration de conformité UE rédigée
- Marquage CE apposé si applicable (systèmes embarqués dans des produits)
- Logs automatiques conservés pour la durée réglementaire
Votre chatbot est-il à risque élevé ? Ce n'est pas toujours évident. Utilisez l'audit Conformia (/audit) pour obtenir une évaluation précise basée sur vos réponses, avec un rapport documenté.
Les chatbots exemptés ou à faibles obligations
Tous les chatbots ne sont pas soumis aux mêmes contraintes. Un simple chatbot de FAQ pour des questions non sensibles (horaires d'ouverture, prix, disponibilité produit) relève du risque minimal et n'est soumis qu'aux obligations de transparence de base. Les chatbots de divertissement ou créatifs sont également moins contraints, à condition d'être clairement identifiés comme tels.
Questions à poser à votre fournisseur de chatbot
- Quelle est la classification de risque de votre système selon l'EU AI Act ?
- Disposez-vous d'une documentation technique conforme aux exigences du règlement ?
- Quelle est votre roadmap de conformité EU AI Act ?
- Comment gérez-vous les biais et les dérives du modèle ?
- Où sont hébergées et traitées les données de nos conversations ?
- Qui est responsable en cas de non-conformité : votre entreprise ou la nôtre ?
Les erreurs fréquentes à éviter
- Croire que la conformité est uniquement la responsabilité du fournisseur du chatbot
- Ne pas informer les utilisateurs qu'ils parlent à une IA (obligation minimale non négociable)
- Utiliser un chatbot pour des décisions RH sans supervision humaine ni documentation
- Oublier de mettre à jour la politique de confidentialité pour mentionner l'IA
- Ne pas prévoir de processus de correction en cas de biais ou d'erreur détectés
Prochaines étapes
La mise en conformité d'un chatbot n'est pas un projet de plusieurs mois — si votre chatbot est à risque limité ou minimal, les actions à mener sont relativement simples : ajout d'un message d'identification IA, mise à jour de la politique de confidentialité, et documentation des processus de supervision. Commencez par évaluer précisément votre situation avec un audit structuré, puis traitez les points de non-conformité identifiés.