Mon site e-commerce utilise un chatbot IA : suis-je concerné par l'AI Act ?

Oui. Tout chatbot alimenté par de l'intelligence artificielle (y compris ChatGPT, Dialogflow, etc.) est soumis à une obligation de transparence au titre de l'AI Act. Vous devez informer clairement l'utilisateur qu'il interagit avec une IA et non un humain. Cette obligation s'applique dès le 2 août 2025.

Quelles sanctions risque mon entreprise en cas de non-conformité à l'AI Act ?

Les sanctions varient selon la gravité de l'infraction. Pour les pratiques d'IA interdites, l'amende peut atteindre 35 millions d'euros ou 7 % du chiffre d'affaires annuel mondial. Pour les autres manquements (obligations de transparence, documentation, etc.), les amendes peuvent aller jusqu'à 15 millions d'euros ou 3 % du CA mondial. Les PME bénéficient de plafonds proportionnels.

L'AI Act remplace-t-il le RGPD pour les sites web ?

Non. L'AI Act et le RGPD sont complémentaires. Le RGPD continue de régir la protection des données personnelles. L'AI Act ajoute une couche réglementaire spécifique aux systèmes d'intelligence artificielle. Un e-commerce doit donc respecter les deux réglementations simultanément, notamment lorsqu'un système d'IA traite des données personnelles.

AI Act européen : obligations concrètes pour les sites web et e-commerces

L’AI Act : le RGPD de l’intelligence artificielle est arrivé

Le 1er août 2024, le règlement européen sur l’intelligence artificielle — communément appelé AI Act (Règlement UE 2024/1689) — est officiellement entré en vigueur. C’est la première législation au monde à encadrer de manière globale les systèmes d’intelligence artificielle.

Si vous exploitez un site web, une boutique en ligne ou toute plateforme numérique utilisant des fonctionnalités d’IA, vous êtes potentiellement concerné. Et contrairement à ce que beaucoup pensent, il ne s’agit pas d’un texte réservé aux géants de la tech.

Chatbots, moteurs de recommandation produits, systèmes de pricing dynamique, personnalisation de contenu, détection de fraude, modération automatique de commentaires… L’IA est déjà partout sur vos sites, souvent sans que vous en ayez pleinement conscience.

Cet article vous guide, de manière concrète et opérationnelle, à travers les obligations qui vous attendent.

Comprendre la classification des risques de l’AI Act

Le cœur de l’AI Act repose sur une approche par le risque. Le règlement classe les systèmes d’IA en quatre catégories, chacune entraînant un niveau d’exigence différent.

Les 4 niveaux de risque en un coup d’œil

Niveau de risque	Exemples concrets pour le web/e-commerce	Obligations principales
Inacceptable	Manipulation subliminale, scoring social, exploitation de vulnérabilités	Interdit purement et simplement
Élevé	Évaluation de solvabilité automatisée, recrutement IA, identification biométrique	Évaluation de conformité, documentation technique, contrôle humain, gestion des risques
Limité	Chatbots IA, génération de contenu (textes, images), systèmes de recommandation	Obligations de transparence : informer l’utilisateur
Minimal	Filtres anti-spam, optimisation logistique interne	Aucune obligation spécifique (bonnes pratiques recommandées)

Pour la majorité des sites web et e-commerces, les catégories « risque limité » et « risque élevé » sont les plus pertinentes.

Pourquoi votre e-commerce est probablement dans la catégorie « risque limité »

Si votre site utilise un chatbot conversationnel (type ChatGPT, Tidio AI, Zendesk AI, etc.), un générateur de fiches produits par IA, ou un système qui recommande des produits en fonction du comportement de navigation, vous déployez des systèmes d’IA à risque limité.

La bonne nouvelle : les obligations restent gérables. La mauvaise : elles sont non négociables et assorties de sanctions significatives.

Les obligations concrètes pour les sites web

Entrons dans le vif du sujet. Quelles actions devez-vous mettre en place, concrètement, sur votre site ?

Obligation n°1 : la transparence envers les utilisateurs

C’est l’obligation phare pour les sites web. L’article 50 de l’AI Act impose que :

Tout utilisateur interagissant avec un système d’IA doit en être informé, sauf si c’est évident dans le contexte.
Les contenus générés par IA (textes, images, audio, vidéo) doivent être identifiés comme tels.
Les deepfakes et contenus synthétiques doivent être explicitement étiquetés.

Concrètement, cela signifie :

Votre chatbot IA doit afficher un message clair du type : « Vous échangez avec un assistant alimenté par l’intelligence artificielle. »
Vos fiches produits rédigées par IA devraient comporter une mention identifiant leur origine.
Vos images produits générées par IA (de plus en plus courantes dans le e-commerce) doivent être signalées.

Obligation n°2 : documenter vos systèmes d’IA

Même si vous n’êtes pas dans la catégorie « risque élevé », l’AI Act encourage — et dans certains cas impose — de documenter les systèmes d’IA que vous utilisez :

Quel outil d’IA utilisez-vous ?
À quelle fin ?
Quelles données sont traitées ?
Quel est le fournisseur ?
Quelles mesures de contrôle avez-vous mises en place ?

Chez Lueur Externe, nous recommandons à nos clients de constituer un registre des systèmes d’IA sur le modèle du registre des traitements RGPD. C’est un réflexe de gouvernance qui sera bientôt incontournable.

Obligation n°3 : respecter les pratiques interdites

Depuis le 2 février 2025, les premières interdictions sont déjà effectives. Pour les sites web et e-commerces, les plus sensibles sont :

La manipulation subliminale : des techniques d’IA conçues pour altérer le comportement d’un utilisateur d’une manière qu’il ne perçoit pas, causant un préjudice significatif. Attention aux dark patterns boostés par l’IA.
L’exploitation de vulnérabilités : cibler spécifiquement des personnes vulnérables (âge, handicap, situation économique) via des systèmes d’IA pour influencer leurs décisions d’achat.
Le scoring social : classer vos clients selon un « score de fiabilité » basé sur leur comportement social ou des données sans rapport avec la transaction commerciale.

Un exemple concret : si votre outil de pricing dynamique applique systématiquement des prix plus élevés aux utilisateurs détectés comme « pressés » ou « moins avertis techniquement », vous pourriez entrer en zone interdite.

Focus e-commerce : les cas d’usage les plus impactés

Systèmes de recommandation produits

Les moteurs de recommandation (type « Les clients ont aussi acheté… » ou « Recommandé pour vous ») sont omniprésents. Sous Prestashop, WooCommerce ou Shopify, de nombreux modules intègrent désormais de l’IA.

L’AI Act impose que l’utilisateur soit informé lorsqu’un contenu lui est présenté sur la base d’un profilage algorithmique. Cela rejoint d’ailleurs les exigences du Digital Services Act (DSA) déjà en vigueur.

Pricing dynamique assisté par IA

De plus en plus de plateformes e-commerce utilisent des algorithmes pour ajuster les prix en temps réel selon la demande, le profil utilisateur, la géolocalisation ou le device utilisé.

Si cette tarification s’appuie sur un système d’IA, elle doit :

Ne pas être discriminatoire au sens de l’AI Act.
Ne pas exploiter de vulnérabilités.
Être transparente (le fait que les prix sont personnalisés doit être mentionné — obligation déjà présente dans la directive Omnibus).

Détection de fraude et scoring client

Les systèmes d’IA utilisés pour évaluer la solvabilité d’un client ou détecter des fraudes aux paiements sont classés risque élevé par l’AI Act (Annexe III, point 5.b).

Cela implique :

Une évaluation de conformité avant mise sur le marché.
Une documentation technique complète.
Un contrôle humain obligatoire (un humain doit pouvoir superviser et contredire les décisions de l’IA).
Une analyse d’impact sur les droits fondamentaux.

Calendrier de mise en conformité : les dates clés

L’AI Act ne s’applique pas d’un bloc. Voici le calendrier progressif :

2 février 2025 : interdiction des pratiques d’IA à risque inacceptable + obligations de culture IA (AI literacy)
2 août 2025 : obligations relatives aux modèles d’IA à usage général (GPAI) — concerne les fournisseurs de modèles comme OpenAI, Mistral, etc.
2 août 2026 : application complète des obligations pour les systèmes d’IA à risque élevé et les exigences de transparence
2 août 2027 : application aux systèmes d’IA intégrés dans des produits réglementés

Autrement dit, il vous reste environ un an pour vous préparer aux obligations les plus structurantes. C’est peu, surtout si votre site e-commerce repose sur plusieurs briques d’IA.

Guide pratique : les 7 étapes pour mettre votre site en conformité

Voici une feuille de route concrète applicable à tout site web ou e-commerce :

Cartographier vos systèmes d’IA : Listez tous les outils, plugins, API et modules qui utilisent de l’IA sur votre site. Cela inclut les solutions tierces (SaaS, extensions Prestashop/WordPress).
Classifier le niveau de risque de chaque système selon la grille de l’AI Act.
Auditer les pratiques interdites : Vérifiez qu’aucune de vos fonctionnalités ne tombe dans la catégorie « risque inacceptable ».
Implémenter les mentions de transparence : Ajoutez les avertissements nécessaires sur les chatbots, contenus générés et systèmes de recommandation.
Mettre à jour vos documents juridiques : Politique de confidentialité, CGU, CGV — tous doivent refléter votre utilisation de l’IA.
Former vos équipes (AI literacy) : L’article 4 de l’AI Act impose que les personnels utilisant ou déployant des systèmes d’IA aient un niveau suffisant de compétences en matière d’IA. Cette obligation est en vigueur depuis février 2025.
Documenter et tenir un registre : Comme pour le RGPD, la conformité passe par la preuve documentée de vos démarches.

Exemple de mention de transparence pour un chatbot

Voici un exemple de code que vous pouvez intégrer dans l’interface de votre chatbot :

<div class="ai-disclosure" role="alert" aria-live="polite">
  <svg aria-hidden="true" width="16" height="16" viewBox="0 0 16 16">
    <path d="M8 1a7 7 0 100 14A7 7 0 008 1zm0 3a1 1 0 110 2 1 1 0 010-2zm2 8H6v-1h1V7H6V6h3v5h1v1z"/>
  </svg>
  <p>
    <strong>Information :</strong> Vous échangez avec un assistant virtuel 
    alimenté par l'intelligence artificielle. Cet outil ne remplace pas 
    un conseiller humain. Vous pouvez à tout moment 
    <a href="/contact">contacter notre équipe</a>.
  </p>
</div>

Ce bloc, conforme aux exigences de l’article 50 de l’AI Act, assure :

L’identification claire de la nature IA du système.
L’accessibilité (attributs ARIA pour les lecteurs d’écran).
Un renvoi vers un contact humain.

AI Act et RGPD : deux réglementations complémentaires

Une question revient souvent : l’AI Act remplace-t-il le RGPD ? La réponse est clairement non.

Les deux textes coexistent et se renforcent mutuellement :

Le RGPD encadre le traitement des données personnelles, quelle que soit la technologie utilisée.
L’AI Act encadre les systèmes d’IA, qu’ils traitent ou non des données personnelles.

Lorsqu’un système d’IA traite des données personnelles (ce qui est le cas de la quasi-totalité des outils IA sur un site e-commerce), les deux réglementations s’appliquent simultanément.

Par exemple, un chatbot IA qui collecte le nom et l’email d’un visiteur doit respecter :

Le RGPD : base légale, information, droits des personnes, sécurité.
L’AI Act : transparence sur la nature IA du système, documentation.

Pour les entreprises qui avaient déjà structuré leur conformité RGPD, la mise en conformité AI Act sera plus fluide. La méthodologie est similaire : cartographie, analyse des risques, documentation, transparence.

Les sanctions : un signal fort du législateur européen

Le législateur européen n’a pas lésiné sur les montants :

Pratiques interdites : jusqu’à 35 millions d’euros ou 7 % du CA mondial annuel (le montant le plus élevé étant retenu).
Non-respect des obligations pour les systèmes à risque élevé : jusqu’à 15 millions d’euros ou 3 % du CA mondial.
Fourniture d’informations inexactes aux autorités : jusqu’à 7,5 millions d’euros ou 1 % du CA mondial.

Pour les PME et startups, des plafonds proportionnels sont prévus, mais les montants restent significatifs. En France, c’est la CNIL qui devrait jouer un rôle central dans la supervision, en coordination avec d’éventuelles autorités sectorielles.

À titre de comparaison, rappelons que les premières sanctions RGPD significatives sont arrivées environ 18 mois après l’entrée en application du règlement. Il est raisonnable d’anticiper un calendrier similaire pour l’AI Act.

Les erreurs fréquentes à éviter dès maintenant

Après avoir accompagné de nombreux clients dans leur mise en conformité numérique, l’équipe de Lueur Externe identifie régulièrement les mêmes écueils :

“On n’utilise pas d’IA” : Beaucoup de responsables de sites ignorent que leurs plugins, extensions ou services SaaS intègrent de l’IA. Un module Prestashop de recherche intelligente, un anti-spam WordPress, un outil d’emailing avec optimisation prédictive… tout cela peut être considéré comme un système d’IA au sens du règlement.
Confondre fournisseur et déployeur : L’AI Act distingue le provider (celui qui développe le système d’IA) du deployer (celui qui l’utilise dans un contexte professionnel). En tant qu’exploitant de site e-commerce, vous êtes déployeur, et vous avez vos propres obligations, indépendamment de celles du fournisseur.
Attendre les contrôles pour agir : L’AI Act impose une obligation de conformité proactive. Attendre un contrôle pour se mettre en conformité est une stratégie risquée, tout comme ça l’était pour le RGPD.
Négliger l’obligation d’AI literacy : Depuis février 2025, chaque entreprise utilisant des systèmes d’IA doit s’assurer que son personnel dispose d’un niveau suffisant de compétences en matière d’IA. C’est une obligation souvent sous-estimée.

Quel impact sur les CMS e-commerce ?

Si vous exploitez une boutique Prestashop, un site WordPress/WooCommerce ou toute autre plateforme, voici les points d’attention :

Prestashop

Auditez les modules tiers : de nombreux modules de recherche, cross-selling et service client intègrent désormais de l’IA.
Vérifiez les modules de recommandation natifs ou tiers.
Contrôlez les outils de génération automatique de descriptions produits.

WordPress / WooCommerce

Les plugins de chatbot (WPBot, Tidio, LiveChat AI…) nécessitent une mention de transparence.
Les outils de SEO assisté par IA (génération de meta descriptions, de contenus) impliquent un étiquetage des contenus générés.
Les extensions anti-spam basées sur l’apprentissage automatique (Akismet utilise du machine learning) sont techniquement des systèmes d’IA, même si le risque est minimal.

En tant qu’agence certifiée Prestashop et spécialiste WordPress depuis 2003, Lueur Externe accompagne ses clients dans l’audit technique de ces briques d’IA, souvent invisibles mais bien présentes.

Conclusion : anticiper plutôt que subir

L’AI Act n’est pas une menace pour les sites web et e-commerces. C’est un cadre qui, comme le RGPD avant lui, deviendra rapidement un standard de confiance pour les consommateurs européens.

Les entreprises qui anticipent leur mise en conformité bénéficieront d’un avantage compétitif : elles inspireront davantage confiance, éviteront les sanctions et seront mieux préparées aux évolutions réglementaires à venir.

Les étapes sont claires :

Cartographier vos systèmes d’IA dès aujourd’hui.
Classifier leurs niveaux de risque.
Implémenter les obligations de transparence.
Former vos équipes.
Documenter l’ensemble.

Vous ne savez pas par où commencer ? Vous avez besoin d’un audit de conformité IA de votre site web ou de votre boutique e-commerce Prestashop ? L’équipe de Lueur Externe est à votre disposition pour vous accompagner dans cette transition réglementaire, avec la même rigueur que celle apportée à la conformité RGPD de nos clients depuis des années.

Prenez contact avec nous dès maintenant pour anticiper sereinement l’AI Act.