Aller au contenu principal

AI Act européen : ce que ça change pour les études marketing

Laurent Yvart

Mis à jour le

17 min de lecture

Temps de lecture : 17 minutes

Selon McKinsey, 88 % des organisations utilisent désormais l’IA dans au moins une fonction de l’entreprise — et le marketing et les ventes figurent parmi les fonctions où l’adoption a le plus progressé (McKinsey, The State of AI, novembre 2025). Analyse de verbatims, segmentation prédictive, chatbots d’enquête, génération de contenus, panels synthétiques : il n’existe plus, en 2026, de département études ou de direction marketing qui n’utilise pas l’IA quelque part dans sa chaîne de production d’insights. Ce qui a changé, c’est que cette pratique est désormais encadrée par un texte contraignant.

L’AI Act — règlement (UE) 2024/1689 — est entré en vigueur le 1er août 2024 et déploie ses obligations par paliers successifs depuis février 2025. Premier cadre juridique complet au monde sur l’intelligence artificielle, il concerne directement les équipes études, CX et data : certains usages sont purement et simplement interdits depuis le 2 février 2025, d’autres déclenchent des obligations de transparence à compter du 2 août 2026, d’autres encore — scoring de crédit, tarification assurantielle, analyse émotionnelle biométrique — basculent dans la catégorie « haut risque », avec un corpus d’obligations documentaires lourd.

Le paysage a en outre bougé récemment, et c’est précisément ce qui rend un décryptage à jour nécessaire : l’accord politique provisoire du 7 mai 2026 sur le « Digital Omnibus » reporte de seize mois les obligations des systèmes à haut risque, du 2 août 2026 au 2 décembre 2027 (Conseil de l’UE, 2026). Beaucoup d’articles publiés en 2024 et 2025 affichent donc un calendrier devenu inexact. Comprendre ce qui s’applique réellement — et quand — est devenu un prérequis de toute stratégie data et d’intelligence client sérieuse.

Ce décryptage fait le point, à jour de juin 2026 : ce que dit le règlement, le calendrier réel d’application après l’omnibus, la classification des usages études et marketing dans la pyramide des risques, les obligations concrètes, l’articulation avec le RGPD, et un plan d’action en six chantiers pour les équipes études et CX.


1. L’AI Act en bref : le premier règlement au monde fondé sur le risque

AI Act : règlement (UE) 2024/1689 du Parlement européen et du Conseil, publié au Journal officiel de l’Union européenne le 12 juillet 2024 et entré en vigueur le 1er août 2024. Premier cadre juridique complet au monde encadrant l’intelligence artificielle, il adopte une approche fondée sur les risques : plus le risque qu’un système d’IA fait peser sur la santé, la sécurité ou les droits fondamentaux est élevé, plus les obligations sont strictes. Quatre niveaux structurent le texte : risque inacceptable (pratiques interdites, art. 5), haut risque (annexes I et III, obligations renforcées), risque limité (obligations de transparence, art. 50) et risque minimal (aucune obligation spécifique). En tant que règlement, il s’applique directement dans tous les États membres, sans transposition nationale.

Deux points méritent d’être soulignés d’emblée pour les professionnels des études et du marketing.

D’abord, l’AI Act ne régule pas « l’IA » en général : il régule des systèmes d’IA dans des usages déterminés. Le même modèle de langage peut être parfaitement libre d’obligations quand il résume des verbatims d’entretiens, soumis à transparence quand il anime un chatbot de recueil, et classé haut risque quand il évalue la solvabilité d’un client. C’est l’usage qui détermine le régime, pas la technologie.

Ensuite, le texte distingue deux rôles aux obligations très différentes : le fournisseur (celui qui développe le système ou le fait développer et le met sur le marché) et le déployeur (celui qui l’utilise sous sa propre autorité dans un cadre professionnel). Une direction études qui utilise un outil SaaS d’analyse augmentée est déployeur ; l’éditeur de l’outil est fournisseur. La plupart des obligations lourdes pèsent sur les fournisseurs — mais les déployeurs ne sont pas exonérés, en particulier sur la transparence, la supervision humaine et la maîtrise de l’IA par leurs équipes (art. 4, applicable depuis février 2025).


2. Le calendrier réel d’application : ce qui est en vigueur, ce qui a été reporté

C’est la partie la plus mouvante du dossier — et celle où circulent le plus d’informations périmées. La Commission européenne a publié le 19 novembre 2025 une proposition de « Digital Omnibus » sur l’IA, paquet de simplification numérique motivé notamment par le retard des normes harmonisées qui devaient outiller la conformité haut risque (Parlement européen, 2026). Le 7 mai 2026, le Conseil, le Parlement et la Commission ont trouvé un accord politique provisoire qui réaménage le calendrier (Conseil de l’UE, 2026).

Voici l’état exact au moment où nous publions, en juin 2026 :

ÉchéanceDispositionsStatut en juin 2026
1er août 2024Entrée en vigueur du règlementEn vigueur
2 février 2025Interdictions des pratiques à risque inacceptable (art. 5) ; obligation de maîtrise de l’IA des équipes (art. 4)Applicable — inchangé par l’omnibus
2 août 2025Obligations des modèles d’IA à usage général (GPAI) ; gouvernance (Bureau de l’IA) ; régime de sanctionsApplicable — inchangé par l’omnibus
2 août 2026Obligations de transparence (art. 50) : chatbots, contenus synthétiques, reconnaissance des émotionsMaintenu, avec sursis au 2 décembre 2026 pour le marquage technique des contenus (art. 50(2)) des systèmes existants
2 août 2026 → 2 décembre 2027Systèmes à haut risque « autonomes » (annexe III) : scoring de crédit, emploi, biométrie, éducation…Report de 16 mois acté par l’accord provisoire du 7 mai 2026
2 août 2027 → 2 août 2028Systèmes à haut risque intégrés à des produits réglementés (annexe I)Report de 12 mois acté par l’accord provisoire du 7 mai 2026

Trois précisions s’imposent. Un, l’accord du 7 mai 2026 est politique et provisoire : il ne produira d’effets juridiques qu’après adoption formelle et publication au Journal officiel, attendues avant le 2 août 2026 (Gibson Dunn, 2026). Deux, le report ne concerne que le haut risque : tout ce qui est applicable depuis 2025 le reste, et la transparence de l’article 50 arrive bien en août 2026. Trois, l’omnibus n’est pas qu’un report : il ajoute notamment une nouvelle interdiction à l’article 5 (génération d’images intimes non consenties et de contenus pédocriminels par IA) et étend les allègements documentaires des PME aux petites entreprises de taille intermédiaire (Gibson Dunn, 2026).

Henna Virkkunen, vice-présidente exécutive de la Commission européenne chargée de la souveraineté technologique, a résumé l’esprit du compromis : « Nos entreprises et nos citoyens attendent deux choses des règles sur l’IA : pouvoir innover et se sentir en sécurité. L’accord d’aujourd’hui permet les deux » (déclaration du 7 mai 2026, traduite de l’anglais).

Pour les équipes études, la conséquence pratique est contre-intuitive : le report de l’échéance haut risque ne donne aucun répit sur les obligations qui les concernent le plus — interdictions, maîtrise de l’IA et transparence sont déjà là ou arrivent dans quelques semaines.


3. La pyramide des risques appliquée aux usages études et marketing

Où se situent concrètement les pratiques d’un institut d’études, d’une direction marketing ou d’une équipe CX ? Le tableau suivant croise les usages courants avec leur classification — en signalant les zones de vigilance.

Usage études / marketingClassification AI ActObligations principales
Notation sociale conduisant à un traitement défavorable hors contexte ; techniques subliminales ou manipulation exploitant les vulnérabilités (âge, handicap, précarité)Interdit (art. 5, depuis février 2025)Interdiction pure et simple — jusqu’à 35 M€ ou 7 % du CA mondial
Reconnaissance des émotions sur le lieu de travail ou dans l’enseignement (ex. : analyse émotionnelle des salariés en interne)Interdit (art. 5), sauf raisons médicales ou de sécuritéInterdiction depuis février 2025
Scoring de crédit (solvabilité), tarification en assurance vie/santé, tri de candidatures en recrutementHaut risque (annexe III)Gouvernance des données (art. 10), documentation technique, supervision humaine, enregistrement — au 2 décembre 2027
Reconnaissance des émotions fondée sur des données biométriques (facial coding, analyse vocale) hors travail/éducationHaut risque (annexe III, 1(c)) + transparence (art. 50)Informer les personnes exposées ; obligations haut risque au 2 décembre 2027
Chatbots et agents conversationnels d’enquête ou de relation clientRisque limité (art. 50)Informer la personne qu’elle interagit avec une IA — au 2 août 2026
Contenus synthétiques (images, audio, vidéo, textes générés), répondants synthétiquesRisque limité (art. 50)Marquage lisible par machine des contenus générés — sursis au 2 décembre 2026 pour les systèmes existants
Segmentation, personnalisation publicitaire, lead scoring, analyse de verbatims, sentiment analysis textuelleRisque minimalAucune obligation AI Act spécifique — mais RGPD intégralement applicable

Trois zones de cette pyramide méritent un commentaire pour les professionnels de l’insight.

La personnalisation marketing n’est pas visée en tant que telle. Les lignes directrices de la Commission européenne sur l’article 5, approuvées le 4 février 2025, précisent que personnaliser une publicité selon les préférences d’une personne n’est pas « intrinsèquement manipulateur » et relève de la « persuasion licite » (Commission européenne, 2025). La frontière de l’interdit se franchit quand le système exploite une vulnérabilité — précarité financière, âge, handicap — pour altérer substantiellement le comportement d’une personne à son détriment. C’est exactement la ligne de partage que tracent les sciences comportementales entre influence légitime et manipulation, que nous explorons dans notre analyse de l’architecture de choix et du nudge marketing.

L’« analyse émotionnelle » recouvre deux réalités juridiques opposées. Le règlement définit le système de reconnaissance des émotions comme un système qui infère les émotions à partir de données biométriques (art. 3(39)) : expressions faciales, voix, signaux physiologiques. Le facial coding en test publicitaire ou l’analyse vocale en entretien relèvent donc du haut risque et de la transparence obligatoire. En revanche, l’analyse de sentiment sur des verbatims textuels — pilier de l’analyse qualitative augmentée — n’est pas une « reconnaissance des émotions » au sens du règlement, car elle ne traite pas de données biométriques. La distinction est décisive pour qualifier correctement ses protocoles d’étude.

Le profilage verrouille la qualification haut risque. L’article 6(3) prévoit une dérogation permettant d’échapper au haut risque pour certains systèmes de l’annexe III aux tâches étroites — mais cette dérogation tombe dès lors que le système réalise un profilage de personnes physiques. Les équipes qui déploient une segmentation prédictive et des personas data-driven dans un domaine de l’annexe III (crédit, assurance, RH) doivent donc se considérer en haut risque par défaut.


4. Les obligations concrètes : transparence, gouvernance des données, documentation

Une fois la classification posée, que faut-il faire ? Trois blocs d’obligations concernent directement les métiers des études et de l’intelligence client.

La transparence (art. 50) — l’échéance immédiate du 2 août 2026

L’article 50 impose quatre obligations distinctes, sanctionnées jusqu’à 15 M€ ou 3 % du chiffre d’affaires mondial (art. 99) :

  1. Chatbots et systèmes interactifs : informer la personne qu’elle interagit avec une IA, sauf si c’est évident au regard du contexte. Concerne tous les agents conversationnels d’enquête, de recueil ou de relation client.
  2. Contenus synthétiques : les fournisseurs doivent marquer les contenus générés (images, audio, vidéo, texte) dans un format lisible par machine — avec, depuis l’accord omnibus, un sursis au 2 décembre 2026 pour les systèmes déjà sur le marché (Gibson Dunn, 2026).
  3. Reconnaissance des émotions et catégorisation biométrique : informer clairement les personnes exposées au système.
  4. Deepfakes et textes d’information du public : signaler que le contenu a été généré ou manipulé artificiellement.

Pour un institut d’études, la traduction opérationnelle est simple : tout protocole intégrant un agent IA face à un répondant doit le déclarer explicitement, et tout livrable contenant des contenus générés doit le mentionner. C’est, du reste, une exigence déontologique avant d’être une exigence légale.

La gouvernance des données (art. 10) — le cœur du régime haut risque

Pour les systèmes à haut risque, l’article 10 impose que les jeux de données d’entraînement, de validation et de test soient pertinents, suffisamment représentatifs et, dans toute la mesure du possible, exempts d’erreurs et complets au regard de la destination du système. Il exige un examen documenté des biais susceptibles de porter atteinte aux droits fondamentaux, et la traçabilité de la provenance des données.

Cette exigence rejoint frontalement les débats méthodologiques du métier : la question de la représentativité des données d’entraînement est exactement celle que pose l’usage de données synthétiques en complément des panels — un répondant synthétique hérite des biais du corpus qui l’a généré, et l’article 10 transforme cette vigilance méthodologique en obligation documentaire. Les organisations qui ont bâti une stratégie first-party data documentée — provenance tracée, consentement enregistré, gouvernance en place — partent ici avec une longueur d’avance structurelle.

La documentation et la répartition des rôles

Le tableau suivant résume qui doit quoi, selon le rôle occupé :

ObligationFournisseur (éditeur du système)Déployeur (équipe études / marketing utilisatrice)
Maîtrise de l’IA des équipes (art. 4)Oui — depuis février 2025Oui — depuis février 2025
Information des personnes (art. 50)Conception du marquage des contenusInformation effective des répondants et clients
Gouvernance des données (art. 10, haut risque)Documentation des données d’entraînementVérification de la pertinence des données d’entrée
Documentation technique et enregistrement (haut risque)Dossier technique complet, enregistrement UETenue des journaux d’utilisation, usage conforme à la notice
Supervision humaine (haut risque)Conception permettant le contrôle humainSupervision effective par des personnes formées

5. AI Act et RGPD : deux règlements qui se cumulent, pas qui se remplacent

C’est l’erreur d’interprétation la plus fréquente que nous rencontrons : croire qu’un usage classé « risque minimal » par l’AI Act est, de ce fait, juridiquement tranquille. Il n’en est rien. L’AI Act encadre les systèmes selon leur risque ; le RGPD encadre les traitements de données personnelles, quelle que soit la technologie. Une segmentation marketing échappe à toute obligation AI Act spécifique, mais reste intégralement soumise au RGPD : base légale, minimisation, information des personnes, droits d’accès et d’opposition — et encadrement strict des décisions entièrement automatisées produisant des effets significatifs (art. 22 RGPD).

Les deux régimes de sanctions coexistent, et peuvent en théorie se cumuler sur un même dispositif :

  • AI Act (art. 99) : jusqu’à 35 M€ ou 7 % du chiffre d’affaires annuel mondial pour les pratiques interdites ; 15 M€ ou 3 % pour les autres obligations ; 7,5 M€ ou 1 % pour les informations inexactes fournies aux autorités. Les PME bénéficient du montant le plus faible des deux plafonds (art. 99(6)).
  • RGPD (art. 83) : jusqu’à 20 M€ ou 4 % du chiffre d’affaires annuel mondial.

En France, la CNIL est l’interlocuteur central de cette articulation. Elle a publié entre 2024 et 2025 un corpus de 13 fiches pratiques sur le développement de systèmes d’IA conformes au RGPD — finalités, base légale, minimisation, intérêt légitime, web scraping — et a été désignée en 2025 parmi les autorités chargées de la protection des droits fondamentaux pour les systèmes d’IA à haut risque (CNIL, 2025). Son plan stratégique 2025-2028 fait de l’IA son premier axe de travail et revendique « la responsabilité particulière de concilier respect des droits fondamentaux et innovation technologique » (CNIL, plan stratégique 2025-2028, sous la présidence de Marie-Laure Denis).

Pour les équipes études, la lecture combinée des deux textes produit une grille simple : l’AI Act répond à la question « ai-je le droit d’utiliser ce système, et avec quelles garanties ? » ; le RGPD répond à la question « ai-je le droit de traiter ces données, et comment ? ». La conformité ne s’évalue qu’en croisant les deux — et c’est précisément cette double lecture qui transforme la contrainte réglementaire en actif de confiance vis-à-vis des clients.


6. Plan d’action : six chantiers pour les équipes études et CX

Le report du haut risque à décembre 2027 ne doit pas servir d’alibi à l’attentisme : les obligations qui concernent le quotidien des études sont déjà applicables ou le seront au 2 août 2026. Voici la feuille de route que nous recommandons, par ordre de priorité.

  1. Cartographier les usages IA existants. Recenser tous les systèmes d’IA utilisés dans la chaîne d’études et de CX — outils d’analyse, chatbots, plateformes de panels, briques IA des Customer Data Platforms et du CRM — et qualifier chacun dans la pyramide des risques. Sans cet inventaire, aucune conformité n’est pilotable.
  2. Vérifier l’absence de pratiques interdites. Passer en revue les dispositifs au regard de l’article 5 : aucune exploitation de vulnérabilités dans le ciblage, aucune analyse émotionnelle de salariés, aucun scoring conduisant à un traitement défavorable hors contexte. Applicable depuis février 2025 — c’est le risque maximal (35 M€ / 7 %).
  3. Former les équipes (art. 4). L’obligation de « maîtrise de l’IA » s’applique depuis février 2025 à tous les déployeurs : les chargés d’études, les CX managers et les data analysts qui utilisent des systèmes d’IA doivent en comprendre le fonctionnement, les limites et les biais. Documenter ces formations.
  4. Préparer l’échéance transparence du 2 août 2026. Auditer tous les points de contact où une IA interagit avec un répondant ou un client (chatbots d’enquête, agents de recueil, voicebots) et y intégrer une information claire. Prévoir le marquage des contenus synthétiques dans les livrables.
  5. Documenter la gouvernance des données dès maintenant. Pour les usages susceptibles de basculer en haut risque (scoring, assurance, RH) : tracer la provenance des données, documenter la représentativité des échantillons, auditer les biais. L’échéance est décembre 2027, mais la dette documentaire ne se rattrape pas en trois mois.
  6. Mettre en place une veille réglementaire active. L’accord omnibus du 7 mai 2026 doit encore être formellement adopté ; les normes harmonisées et les lignes directrices sectorielles arrivent par vagues. Désigner un référent IA/conformité au sein de l’équipe études, en lien avec le DPO.

7. L’approche Agalma : la conformité comme exigence méthodologique

Chez Agalma Études, nous lisons l’AI Act non comme une contrainte externe imposée au métier, mais comme la codification juridique d’exigences que la déontologie des études portait déjà : dire à un répondant qu’il parle à une machine, connaître la provenance de ses données, documenter ses biais, garder un humain dans la boucle des décisions qui comptent. Trois convictions structurent notre pratique.

La transparence vis-à-vis des répondants n’attend pas le législateur. Avant même l’échéance du 2 août 2026, nos protocoles déclarent systématiquement l’intervention d’une IA dans le recueil et signalent tout contenu synthétique dans les livrables. La qualité d’un insight repose sur la confiance du terrain — et la confiance ne se négocie pas par exception réglementaire.

La traçabilité des données est une condition de validité scientifique, pas seulement de conformité. L’article 10 exige ce que toute méthodologie rigoureuse exige déjà : savoir d’où viennent les données, ce qu’elles représentent, et ce qu’elles ne représentent pas. Nos travaux d’intelligence client documentent la provenance et la représentativité des corpus — qu’il s’agisse de données first-party, de panels ou de compléments synthétiques.

Le règlement valide la place de l’humain dans l’analyse. En imposant la supervision humaine des systèmes à enjeux, l’AI Act consacre juridiquement ce que nous défendons méthodologiquement : l’IA augmente l’analyse, elle ne s’y substitue pas. L’interprétation, la qualification des risques, la décision finale restent des actes humains — outillés, mais humains.

L’AI Act redessine le cadre dans lequel se construit l’intelligence client en Europe : il ne freine pas les études augmentées par l’IA, il en élève le standard de preuve. Les équipes qui auront intégré ces exigences avant les échéances — transparence en août 2026, haut risque en décembre 2027 — transformeront une obligation en avantage de confiance durable.

Explorer notre pilier Data & intelligence client | Découvrir nos expertises

Questions fréquentes

Qu'est-ce que l'AI Act et depuis quand s'applique-t-il ?

L'AI Act (règlement UE 2024/1689) est le premier cadre juridique complet au monde encadrant l'intelligence artificielle. Publié au Journal officiel de l'UE le 12 juillet 2024, il est entré en vigueur le 1er août 2024 et s'applique par paliers : interdictions des pratiques à risque inacceptable et obligation de maîtrise de l'IA depuis le 2 février 2025, obligations des modèles d'IA à usage général (GPAI) depuis le 2 août 2025, obligations de transparence de l'article 50 au 2 août 2026. Les obligations des systèmes à haut risque, initialement prévues pour août 2026, sont reportées au 2 décembre 2027 par l'accord politique provisoire du 7 mai 2026 sur le Digital Omnibus, dont l'adoption formelle est attendue avant le 2 août 2026.

Mes études marketing utilisant l'IA sont-elles classées « haut risque » ?

Dans la grande majorité des cas, non. La segmentation marketing, la personnalisation publicitaire, l'analyse de verbatims ou le lead scoring relèvent du risque minimal : aucune obligation spécifique AI Act, mais le RGPD continue de s'appliquer pleinement. Les lignes directrices de la Commission européenne (février 2025) précisent que la personnalisation publicitaire n'est pas « intrinsèquement manipulatrice ». En revanche, trois usages basculent en haut risque (annexe III) : l'évaluation de la solvabilité (scoring de crédit), la tarification en assurance vie et santé, et la reconnaissance des émotions fondée sur des données biométriques. Le recrutement assisté par IA est également concerné.

Quelles sont les sanctions prévues par l'AI Act ?

L'article 99 du règlement prévoit trois paliers : jusqu'à 35 millions d'euros ou 7 % du chiffre d'affaires annuel mondial (le montant le plus élevé) pour le recours à une pratique interdite ; jusqu'à 15 millions d'euros ou 3 % pour la violation des autres obligations, dont la transparence de l'article 50 ; jusqu'à 7,5 millions d'euros ou 1 % pour la fourniture d'informations inexactes aux autorités. Les PME bénéficient d'un régime atténué : c'est le montant le plus faible des deux qui s'applique. À titre de comparaison, le plafond du RGPD est de 20 millions d'euros ou 4 % du chiffre d'affaires mondial (art. 83).

L'AI Act remplace-t-il le RGPD pour les traitements de données marketing ?

Non, les deux règlements se cumulent. L'AI Act encadre les systèmes d'IA selon leur niveau de risque ; le RGPD encadre tout traitement de données personnelles, quelle que soit la technologie. Une segmentation prédictive classée « risque minimal » par l'AI Act reste intégralement soumise au RGPD : base légale, minimisation, information des personnes, droits d'accès et d'opposition, et encadrement des décisions entièrement automatisées (art. 22). La CNIL a publié entre 2024 et 2025 un corpus de 13 fiches pratiques pour concilier développement de systèmes d'IA et conformité RGPD, et a été désignée en 2025 parmi les autorités françaises de surveillance des systèmes à haut risque.

Le calendrier de l'AI Act a-t-il été reporté en 2026 ?

Partiellement. La Commission européenne a publié le 19 novembre 2025 une proposition de « Digital Omnibus » sur l'IA, et un accord politique provisoire a été trouvé le 7 mai 2026 entre le Conseil, le Parlement et la Commission. Il reporte les obligations des systèmes à haut risque de l'annexe III du 2 août 2026 au 2 décembre 2027, et celles des systèmes intégrés à des produits réglementés (annexe I) au 2 août 2028. Les interdictions de février 2025 et les obligations GPAI d'août 2025 ne changent pas. Les obligations de transparence de l'article 50 restent dues au 2 août 2026, avec un sursis au 2 décembre 2026 pour le marquage technique des contenus générés par les systèmes existants. L'adoption formelle est attendue avant le 2 août 2026.

Échangeons sur vos enjeux

Réservez un échange stratégique gratuit de 30 minutes.

Prendre rendez-vous
Laurent Yvart

Laurent Yvart

Gérant fondateur – Agalma

Plus de 15 ans d'expérience en études marketing, sciences comportementales et intelligence artificielle appliquée à la connaissance client. Spécialiste de la transformation des insights en leviers stratégiques, il accompagne les marques dans l'intégration de l'IA et de la data au service de décisions éclairées.