IA IoTTech : Internet des Objets
Distinction Fondamentale IoT
Un capteur connecté N’EST PAS de l’IA. Seuls les objets avec IA EMBARQUÉE qui analysent, prédisent ou décident sont concernés par l’IA Act.
Capteurs connectés, edge computing, smart home, wearables, IoT industriel, véhicules connectés… L’Internet des Objets est omniprésent dans notre quotidien et nos industries.
Question clé : l’IA Act s’applique-t-il à tous les objets connectés ? Non. C’est la présence d’intelligence artificielle qui déclenche l’application du règlement, pas la simple connectivité.
Ce guide sectoriel clarifie les obligations spécifiques pour l’IoTTech : distinction capteur simple vs IA embarquée, classification par type d’IoT, et implications pour fabricants et déployeurs.
Par Loïc Gros-Flandre
Directeur de Modernee – Agence IA. Expert en conformité IA Act pour les secteurs technologiques.
Ce que vous allez apprendre
- → Pourquoi un capteur simple n’est pas concerné
- → Quand l’IA embarquée déclenche l’IA Act
- → Classification : IIoT, smart home, wearables, véhicules
- → Responsabilités : fabricant vs intégrateur vs déployeur
- → Plan de conformité pour les acteurs IoT
Infographie : Distinction Capteur simple vs IA embarquée et classification IoT
📡 Pourquoi un Capteur Simple N’est Pas Concerné
Photo par Campaign Creators sur Unsplash
L’IA Act définit précisément ce qu’est un système d’intelligence artificielle. Cette définition est cruciale pour le secteur IoT.
📋 Définition de l’IA selon l’IA Act
Article 3 – Définition Système IA
Un système d’IA est un système basé sur une machine qui génère des outputs (prédictions, recommandations, décisions, contenus) à partir d’inférences déduites d’inputs qu’il reçoit.
🔌 Pourquoi un Capteur Simple N’est Pas de l’IA
- 📊 Données vs Inférence : Un capteur REMONTE des données, il ne fait pas d’inférence
- 📊 Mesure vs Prédiction : Il mesure la réalité, il ne prédit pas
- 📊 Transmission vs Décision : Il transmet de l’information, il ne décide pas
« Un thermomètre connecté qui envoie la température à une app n’est pas de l’IA. Un thermostat qui apprend vos habitudes et ajuste automatiquement le chauffage EST de l’IA. »
— CTO, startup IoT française
✅ Exemples de Capteurs NON Concernés
- ✅ Capteurs température/humidité : Données brutes → Pas d’IA
- ✅ Trackers GPS simples : Position → Pas d’inférence
- ✅ Compteurs connectés : Consommation → Données
- ✅ Caméras surveillance basiques : Enregistrement → Pas d’analyse
- ✅ Actionneurs commandés : Action sur ordre humain → Pas d’autonomie
⚠️ Quand un Objet Connecté DEVIENT Concerné
Déclencheur : L’IA Embarquée
Dès qu’un objet connecté intègre une couche d’IA qui analyse, apprend, prédit ou décide, il entre dans le périmètre de l’IA Act.
- ⚠️ Analyse : Le système interprète les données (reconnaissance, classification)
- ⚠️ Apprentissage : Le système s’améliore avec les données (machine learning)
- ⚠️ Prédiction : Le système anticipe (maintenance prédictive, comportement)
- ⚠️ Décision : Le système agit de manière autonome
📊 Classification par Type d’IoT
Chaque catégorie d’IoT a des implications différentes selon la présence d’IA et l’usage final.
🏭 IoT Industriel (IIoT) – Majoritairement Bien Positionné
IIoT = Généralement Risque Minimal
La maintenance prédictive, l’optimisation de production et le monitoring d’équipements n’impactent pas directement les droits fondamentaux des personnes.
- ✅ Maintenance prédictive : MINIMAL → Prédit les pannes machines
- ✅ Optimisation production : MINIMAL → Améliore les rendements
- ✅ Contrôle qualité IA : MINIMAL → Détecte les défauts
- ⚠️ Exception sécurité travailleurs : VIGILANCE → Si impacte la sécurité
🏠 Smart Home – Globalement Bien Positionné
- ✅ Thermostats IA : MINIMAL → Confort, pas de décision critique
- ✅ Éclairage adaptatif : MINIMAL → Ambiance, pas d’impact
- ✅ Robots aspirateurs : MINIMAL → Navigation autonome basique
- 💬 Assistants vocaux : LIMITÉ → Transparence obligatoire
- ⚠️ Serrures biométriques : VIGILANCE → Reconnaissance faciale
- ⚠️ Caméras IA surveillance : VIGILANCE → Selon usage
⌚ Wearables – Variable Selon Usage
- ✅ Trackers activité : MINIMAL → Comptage pas, calories
- ✅ Montres connectées : MINIMAL → Notifications, fitness
- ⚠️ Wearables santé IA : VIGILANCE → Si détection pathologies
- 🚨 Dispositifs médicaux IA : HAUT RISQUE → Diagnostic, traitement
🚗 Véhicules Connectés – Attention Sécurité
Annexe III – Composants de Sécurité
L’IA Act mentionne explicitement les composants de sécurité des véhicules comme domaine potentiellement haut risque.
- ✅ Infotainment IA : MINIMAL → Divertissement
- ✅ Navigation IA : MINIMAL → Aide, conducteur décide
- ⚠️ ADAS (aide conduite) : VIGILANCE → Sécurité impliquée
- 🚨 Conduite autonome : HAUT RISQUE → Sécurité critique
🏥 IoT Santé – Vigilance Maximale
- ✅ Monitoring environnement : MINIMAL → Capteurs température, CO2
- ⚠️ Télésurveillance patients : VIGILANCE → Selon niveau d’IA
- 🚨 Diagnostic IA : HAUT RISQUE → Annexe III explicite
- 🚨 Dispositifs médicaux IA : HAUT RISQUE → Réglementation DM + IA Act
| Type IoT | Exemple IA | Classification | Budget Conformité |
|---|---|---|---|
| IIoT | Maintenance prédictive | ✅ Minimal | 10-25K€ |
| Smart Home | Thermostat IA | ✅ Minimal | 8-15K€ |
| Smart Home | Assistant vocal | 💬 Limité | 15-30K€ |
| Wearables | Tracker fitness | ✅ Minimal | 8-15K€ |
| IoT Santé | Diagnostic IA | 🚨 Haut Risque | 80-200K€ |
| Véhicules | ADAS/Autonome | 🚨 Haut Risque | 100-500K€ |
📡 Quiz : IoTTech et IA Act
🏢 3 Cas Pratiques IoTTech Détaillés
Photo par Scott Graham sur Unsplash
🏭 Cas 1 : Startup IIoT – Maintenance Prédictive
Situation
Une startup de 30 personnes développe des solutions de maintenance prédictive pour l’industrie manufacturière. Capteurs vibration, IA de prédiction pannes, dashboard analytics.
Systèmes IA identifiés :
- 📊 Capteurs vibration : Pas d’IA embarquée → NON CONCERNÉ
- 🧠 IA prédiction pannes : Machine learning → CONCERNÉ (MINIMAL)
- 📈 Dashboard analytics : Visualisation → NON CONCERNÉ
- 🤖 Alertes automatiques : Règles métier → NON CONCERNÉ
Classification : Risque MINIMAL. La maintenance prédictive n’impacte pas les droits fondamentaux des personnes.
Obligations :
- ✅ Formation Article 4 pour l’équipe IA
- ✅ Documentation technique de base
- ✅ Bonnes pratiques (pas d’obligation formelle)
Budget conformité estimé : 10-20K€
🏠 Cas 2 : Fabricant Smart Home
Situation
Un fabricant de 80 personnes produit une gamme smart home : thermostats IA, assistants vocaux, serrures connectées avec reconnaissance faciale, caméras de surveillance IA.
Systèmes IA identifiés :
- 🌡️ Thermostat IA : Apprentissage habitudes → MINIMAL
- 🗣️ Assistant vocal : NLP, génération → LIMITÉ (transparence)
- 🔐 Serrure reconnaissance faciale : Biométrie → VIGILANCE
- 📹 Caméra surveillance IA : Détection personnes → VIGILANCE
Classification mixte :
| Produit | Risque | Obligations |
|---|---|---|
| Thermostat IA | Minimal | Formation, bonnes pratiques |
| Assistant vocal | Limité | Transparence : indiquer « IA » |
| Serrure biométrique | Vigilance | Documentation, analyse impact |
| Caméra IA | Vigilance | Selon usage (domicile vs espace public) |
Budget conformité estimé : 30-60K€ (produits multiples)
🏥 Cas 3 : Startup Wearable Santé
Situation
Une startup de 45 personnes développe un wearable santé avec IA de détection d’arythmie cardiaque et prédiction de crises. Destiné aux patients à risque cardiovasculaire.
Systèmes IA identifiés :
- 📊 Capteurs biométriques : Données brutes → NON CONCERNÉ
- 🧠 IA détection arythmie : Diagnostic → HAUT RISQUE
- 🧠 IA prédiction crise : Alerte médicale → HAUT RISQUE
- 📱 App mobile : Interface → NON CONCERNÉ
Classification : HAUT RISQUE. L’Annexe III mentionne explicitement les dispositifs médicaux avec IA.
Obligations complètes :
- 📋 Documentation technique complète
- ⚙️ Système de gestion des risques
- 📊 Tests de biais et discrimination
- 👁️ Surveillance humaine
- 🔒 Cybersécurité renforcée
- ✅ Évaluation de conformité
- 🏷️ Marquage CE
Double réglementation : Ce produit est soumis au Règlement Dispositifs Médicaux (MDR) ET à l’IA Act.
Budget conformité estimé : 80-150K€
« Notre wearable santé nous place dans le haut risque. C’est un investissement lourd, mais nos utilisateurs méritent cette rigueur. Leur vie peut dépendre de nos algorithmes. »
— CEO, startup wearable santé
👥 Qui est Responsable : Fabricant, Intégrateur, Déployeur ?
L’écosystème IoT implique souvent plusieurs acteurs. L’IA Act définit clairement les responsabilités de chacun.
🏭 Le Fournisseur (Fabricant)
Responsabilité Principale
Le fournisseur est celui qui développe ou fait développer un système d’IA et le met sur le marché sous son nom. Il porte la responsabilité principale de conformité.
Obligations du fournisseur :
- 📋 Documentation technique complète
- ⚙️ Système de gestion des risques
- ✅ Évaluation de conformité
- 🏷️ Marquage CE (si haut risque)
- 📊 Surveillance post-marché
🔧 L’Intégrateur
Attention
Si vous achetez un composant IA et l’intégrez dans votre produit IoT, vous pouvez devenir fournisseur de ce système IA modifié.
Cas où l’intégrateur devient fournisseur :
- ⚠️ Modification substantielle de l’IA
- ⚠️ Mise sur le marché sous son propre nom
- ⚠️ Changement de la finalité prévue
🏢 Le Déployeur (Utilisateur)
Le déployeur est l’entreprise qui utilise un système IA dans le cadre de son activité professionnelle.
Obligations du déployeur :
- ✅ Utilisation conforme aux instructions
- 👥 Formation des équipes (Article 4)
- 👁️ Surveillance humaine (si haut risque)
- 📊 Signalement des incidents
🔌 Focus : Edge AI et Mises à Jour OTA
L’IA embarquée (edge AI) pose des défis spécifiques pour la conformité IA Act.
📍 Edge AI = Même Classification que Cloud AI
Le Lieu N’a Pas d’Importance
Que l’IA s’exécute sur l’objet (edge), en edge computing, ou dans le cloud, la classification reste identique. C’est l’usage final qui compte.
🔄 Enjeu des Mises à Jour OTA
Les mises à jour firmware Over-The-Air (OTA) peuvent modifier le comportement de l’IA :
- ⚠️ Modification substantielle ? Si oui, nouvelle évaluation nécessaire
- 📋 Documentation : Tracer toutes les versions et changements
- 🔍 Tests : Valider que la conformité est maintenue
Bonnes Pratiques OTA
- → Versionner toutes les mises à jour IA
- → Documenter les changements de comportement
- → Tester la conformité avant déploiement
- → Informer les utilisateurs des évolutions
📋 Plan de Conformité pour Acteurs IoT
Photo par Carlos Muza sur Unsplash
Inventorier tous les objets connectés – Lister chaque produit/solution IoT. Distinguer : capteurs simples, objets avec IA embarquée, solutions cloud IA.
Identifier les composantes IA – Pour chaque objet, répondre : y a-t-il une IA qui analyse, prédit ou décide ? Si non → pas concerné. Si oui → continuer.
Classifier les risques – Usage final ? IIoT/smart home = généralement minimal. Santé/véhicules = potentiellement haut risque. Assistant vocal = limité.
Former les équipes – Formation Article 4 pour développeurs IA, ingénieurs produit, équipes support. Attestation nominative.
Documentation technique – Selon le niveau de risque : bonnes pratiques (minimal), documentation transparence (limité), dossier complet (haut risque).
Processus mises à jour – Définir comment les mises à jour OTA sont tracées, testées et documentées pour maintenir la conformité.
Surveillance et veille – Monitoring post-marché, signalement incidents, veille réglementaire, recyclage formation 18 mois.
💰 Simulateur Budget Conformité IoTTech
❓ Questions Fréquentes IA Act IoTTech
Pas tous. Un capteur qui remonte simplement des données (température, humidité, position) n’est PAS de l’IA et n’est donc pas concerné. En revanche, un objet connecté avec IA EMBARQUÉE qui analyse, prédit ou décide EST concerné par l’IA Act. C’est la présence d’intelligence artificielle qui déclenche l’application du règlement, pas le fait d’être connecté. Exemple : un thermostat qui remonte la température = non concerné. Un thermostat IA qui apprend vos habitudes et ajuste automatiquement = concerné (risque minimal).
Oui, l’edge AI (IA embarquée sur l’objet) est concernée au même titre que l’IA cloud. Le lieu d’exécution de l’IA (sur l’objet, en edge, ou dans le cloud) ne change pas la classification. Ce qui compte, c’est l’USAGE FINAL du système. Une IA de maintenance prédictive sur une machine industrielle reste risque minimal qu’elle soit edge ou cloud. Une IA de diagnostic médical sur un wearable reste haut risque qu’elle soit edge ou cloud. L’edge AI pose cependant des défis supplémentaires pour la documentation et les mises à jour.
Potentiellement oui. L’Annexe III de l’IA Act mentionne explicitement les dispositifs médicaux comme domaine à haut risque. Un wearable santé avec IA de diagnostic (détection arythmie, prédiction crise) peut être classé haut risque si l’IA influence des décisions médicales. En revanche, un simple tracker d’activité sans IA décisionnelle reste risque minimal. La frontière est l’impact sur la santé : suivi informatif = minimal, aide au diagnostic = potentiellement haut risque.
L’IIoT est majoritairement bien positionné face à l’IA Act. La maintenance prédictive, l’optimisation de production, le monitoring d’équipements sont généralement classés risque MINIMAL car ils n’impactent pas directement les droits fondamentaux des personnes. Exception : si l’IA IIoT contrôle des infrastructures critiques (énergie, eau) ou impacte la sécurité des travailleurs, une analyse plus approfondie est nécessaire. Le budget conformité IIoT reste modéré : 10-25K€ pour la plupart des PME industrielles.
La smart home est globalement bien positionnée. Les assistants vocaux (Alexa, Google Home) sont risque LIMITÉ avec obligation de transparence (dire que c’est une IA). Les thermostats intelligents, éclairages adaptatifs, robots aspirateurs sont généralement risque MINIMAL. Les serrures connectées avec reconnaissance faciale méritent attention (biométrie). Les caméras de surveillance avec IA de reconnaissance sont risque LIMITÉ à VIGILANCE selon l’usage. Pour les fabricants : documentation technique et transparence sont les principales obligations.
L’IA Act distingue plusieurs rôles avec des responsabilités différentes. Le FOURNISSEUR (fabricant qui développe l’IA) porte la responsabilité principale : documentation, conformité, marquage CE. Le DÉPLOYEUR (entreprise qui utilise) doit s’assurer de l’usage conforme et former ses équipes. L’IMPORTATEUR/DISTRIBUTEUR vérifie la conformité avant mise sur le marché UE. Pour l’IoT, le fabricant du dispositif qui intègre l’IA est généralement considéré comme fournisseur. Si vous achetez un capteur et y ajoutez votre propre IA, vous devenez fournisseur de ce système IA.
Formez Vos Équipes IoTTech à l’IA Act
Formation certifiante adaptée aux acteurs IoT. Attestation Article 4 pour vos équipes développant ou déployant des objets connectés avec IA.
- ✅ Distinction capteur simple vs IA embarquée
- ✅ Classification par type d’IoT
- ✅ Attestation nominative conforme
- ✅ Finançable OPCO 100%
✅ Conclusion
Le secteur IoTTech bénéficie d’une distinction fondamentale : un capteur simple n’est pas de l’IA. Seules les solutions avec IA embarquée sont concernées.
Les 3 points à retenir pour l’IoTTech
- 1️⃣ Capteur simple ≠ IA Act : Pas d’inférence = pas concerné
- 2️⃣ IA embarquée = Usage final : IIoT minimal, santé haut risque
- 3️⃣ Fabricant = Fournisseur : Responsabilité principale de conformité
Formez vos équipes IoT travaillant sur l’IA embarquée avant la deadline de l’IA Act.
Ressources Officielles
- IA Act – Règlement (UE) 2024/1689 • Texte officiel
- CNIL – Dossier IA • Autorité française
- Commission européenne – IoT • Stratégie numérique