AI Act retail : moteurs de recommandation et prix dynamiques

Q: Les moteurs de recommandation sont-ils toujours considérés comme de haute risque ?

Non, uniquement si utilisés pour des décisions automatisées ayant des conséquences significatives pour les consommateurs. Exemple : recommandation de produits pour un prêt en ligne. Si le système sert uniquement à améliorer l'expérience utilisateur sans prise de décision automatisée, il peut être classé comme de risque limité.

Q: Puis-je utiliser des prix dynamiques basés sur l'historique d'achat d'un client ?

Oui, mais uniquement si vous respectez les règles de transparence et si vous n'utilisez pas de données sensibles. Vous devez informer le client et éviter toute discrimination. La CNIL recommande de consulter le service desk de l'AI Act pour des cas spécifiques.

Q: Quelle est la différence entre un moteur de recommandation et un système de prix dynamique en termes de conformité ?

Les moteurs de recommandation peuvent être de haute risque si ils influencent des décisions automatisées, tandis que les prix dynamiques sont soumis à des règles spécifiques sur l'utilisation des données personnelles. Les deux nécessitent une documentation et une évaluation d'impact, mais les critères de classification diffèrent.

Q: Que faire si je ne suis pas sûr de la classification de mon système d'IA ?

Consultez le service desk de l'AI Act (lien) ou la CNIL. Vous pouvez également utiliser le guide de classification de Regulia. Il est crucial de se conformer dès que possible pour éviter des amendes pouvant atteindre 7% du CA annuel.

Q: Quelles sont les étapes pour se conformer à l'AI Act pour mon e-commerce ?

Commencez par identifier tous vos systèmes d'IA, évaluez leur classification, documentez-les, réalisez une évaluation d'impact si nécessaire, et mettez en place des mesures de contrôle. La CNIL conseille de consulter le service desk de l'AI Act pour des cas spécifiques.

TL;DR

L'essentiel en 30 secondes - Les moteurs de recommandation utilisés pour orienter des décisions à fort impact (crédit, assurance, accès à un service) relèvent du haut risque au sens de l'Article 6 du Règlement (UE) 2024/1689. - Les prix dynamiques fondés sur des données personnelles déclenchent les obligations de transparence de l'Art. 13 et l'application stricte du RGPD. - Une analyse d'impact sur les droits fondamentaux (FRIA) est requise pour tout système classé haut risque (Art. 27, et supervision humaine Art. 14). - Les sanctions atteignent 35 M€ ou 7 % du chiffre d'affaires mondial (Art. 99). - La CNIL et l'AI Office EU restent les points de contact opérationnels pour les PME du retail français.

Le commerce de détail français investit massivement dans l'intelligence artificielle. Moteurs de recommandation, personnalisation tarifaire, scoring client : ces outils sont devenus des leviers de marge. Le Règlement (UE) 2024/1689 (« AI Act ») redéfinit pourtant les règles du jeu. Cet article décrypte les obligations concrètes pour une PME française du retail, du e-commerce indépendant à la chaîne de magasins.

1. Introduction : l'AI Act et ses implications pour le retail

L'AI Act est entré en vigueur le 1er août 2024. Son application est échelonnée jusqu'en août 2027. Le texte fixe un cadre harmonisé pour les systèmes d'IA mis sur le marché européen. Il s'applique au déployeur — la PME qui utilise un système — autant qu'au fournisseur.

Le retail français est concerné à double titre. D'une part, les enseignes déploient des systèmes développés par des tiers (Salesforce, Algolia, Dynamic Yield, etc.). D'autre part, certaines PME développent leurs propres modèles internes de scoring ou de pricing.

Les enjeux sont clairs :

Conformité légale : les contrôles relèveront en France de la DGCCRF et de la CNIL, en coordination avec l'AI Office EU.
Risque financier : les amendes pour non-conformité atteignent 7 % du chiffre d'affaires annuel mondial (Art. 99).
Risque réputationnel : les associations de consommateurs et la presse économique scrutent désormais les pratiques de personnalisation tarifaire.

Pour une vue d'ensemble du cadre applicable aux PME, consulter notre guide de l'AI Act pour les PME françaises.

2. Classification des systèmes d'IA : quand un outil retail devient-il à haut risque ?

L'Article 6 du Règlement (UE) 2024/1689 définit deux voies de classification au haut risque. La première vise les systèmes d'IA intégrés à des produits déjà régulés (jouets, équipements médicaux). La seconde, codifiée en Annexe III, liste huit domaines sensibles. Le retail n'y figure pas explicitement, mais certains usages tombent dans ces catégories par ricochet.

2.1 Cas où un moteur de recommandation devient haut risque

Usage du moteur	Classification probable	Fondement juridique
Recommandation de produits cosmétiques	Risque limité	Hors Annexe III
Recommandation d'offres de crédit à la consommation	Haut risque	Annexe III §5(b) — évaluation de solvabilité
Recommandation d'assurances liées à un achat	Haut risque	Annexe III §5(c) — tarification vie/santé
Personnalisation d'un flux produit sans impact financier	Risque limité	Hors Annexe III
Système de scoring client influençant l'accès à un service essentiel	Haut risque	Annexe III §5(a)

2.2 Cas où un système de prix dynamique reste hors haut risque

La tarification dynamique pure — variation des prix selon la demande, l'heure, le stock — n'entre pas dans l'Annexe III. Elle reste néanmoins encadrée par :

le RGPD lorsqu'elle utilise des données personnelles ;
la Directive 2011/83/UE sur les droits des consommateurs (information préalable sur le prix) ;
l'Article 5 de l'AI Act qui interdit l'exploitation des vulnérabilités d'une personne (âge, situation socio-économique, handicap).

Un moteur qui ajusterait les prix à la hausse en détectant une situation financière précaire enfreindrait l'Art. 5 et exposerait la PME aux sanctions maximales de l'Art. 99.

Pour les définitions techniques (« déployeur », « fournisseur », « haut risque »), se référer au glossaire regulia.

3. Moteurs de recommandation : obligations spécifiques

Une fois un système classé à haut risque, le déployeur PME hérite d'un socle d'obligations défini aux Articles 26 et suivants. Le fournisseur supporte des exigences distinctes, mais la PME doit savoir les exiger contractuellement.

3.1 Transparence et information de l'utilisateur (Art. 13)

L'Article 13 impose que le système soit conçu pour permettre au déployeur d'en interpréter les résultats. Cela se traduit, côté retail, par :

une notice technique claire fournie par l'éditeur ;
une explication accessible au client final lorsque la recommandation influence une décision (Art. 26 §11) ;
un libellé sans ambiguïté du type « cette suggestion résulte d'un traitement automatisé ».

3.2 Gestion des biais et qualité des données (Art. 10)

L'Article 10 exige que les jeux de données d'entraînement, de validation et de test soient « pertinents, suffisamment représentatifs, exempts d'erreurs et complets ». Pour un moteur de recommandation retail, cela signifie auditer :

la couverture démographique des données d'entraînement ;
l'absence de proxys discriminatoires (code postal corrélé à l'origine, par exemple) ;
les déséquilibres saisonniers susceptibles de pénaliser certaines catégories de clients.

3.3 Supervision humaine (Art. 14)

L'Art. 14 impose une supervision humaine effective. Concrètement, une PME qui déploie un moteur de recommandation haut risque doit :

désigner une personne capable d'interrompre le système ;
documenter les procédures d'escalade ;
former les équipes à reconnaître les dérives.

Besoin d'un kit documentaire prêt à l'emploi ?

regulia propose un pack moteurs de recommandation conforme aux Art. 10, 13, 14 et 27 de l'AI Act : modèles de notice, registre, FRIA, procédures de supervision humaine.

Demander le pack documentaire retail

4. Prix dynamiques : règles à respecter

La tarification dynamique cumule trois corpus juridiques : AI Act, RGPD et droit de la consommation. La PME doit cartographier les obligations qui se superposent.

4.1 Information préalable et transparence

Lorsque le prix varie selon le profil du client, l'Article 13 de la Directive (UE) 2019/2161 (« Omnibus ») impose d'informer le consommateur que le prix a été personnalisé sur la base d'une décision automatisée. Cette obligation s'ajoute à l'Art. 13 AI Act sur l'explicabilité du système.

4.2 Données personnelles et base légale

L'utilisation de données personnelles pour faire varier un prix doit reposer sur une base légale au sens de l'Art. 6 RGPD. Le consentement (Art. 6.1.a) est généralement requis lorsque la personnalisation s'appuie sur le profilage. Une analyse d'impact relative à la protection des données (AIPD) est souvent obligatoire.

4.3 Pratiques interdites au titre de l'Art. 5 AI Act

Pratique	Statut	Article
Prix majoré pour un utilisateur identifié comme financièrement fragile	Interdit	Art. 5 §1(b)
Réduction ciblée sur un mineur exploitant sa vulnérabilité	Interdit	Art. 5 §1(b)
Tarification fondée sur l'origine ethnique réelle ou inférée	Interdit	Art. 5 + Art. 9 RGPD
Yield management hôtelier selon la date et le stock	Autorisé	Hors champ Annexe III
Personnalisation selon l'historique d'achat avec consentement	Autorisée sous conditions	RGPD Art. 6.1.a

4.4 Données sensibles

L'Art. 9 du RGPD interdit le traitement des données sensibles (santé, origine, opinions politiques) sauf exception. Aucun moteur de prix dynamique retail ne peut s'appuyer sur ces catégories. La CNIL a réitéré ce principe dans ses fiches pratiques IA.

5. Évaluation d'impact pour l'IA (Article 27)

L'Article 27 du Règlement (UE) 2024/1689 introduit la Fundamental Rights Impact Assessment (FRIA) pour les déployeurs publics et certains déployeurs privés (organismes bancaires, assureurs). Une PME du retail qui déploierait un moteur classé haut risque selon l'Annexe III §5 doit donc, dans certains cas, conduire une FRIA.

5.1 Périmètre exact

La FRIA est obligatoire pour :

les organismes publics utilisant un système haut risque ;
les acteurs privés visés par l'Annexe III §5 (services essentiels, crédit, assurance).

Une PME retail qui se limite à de la recommandation produit non financière n'est en principe pas tenue à la FRIA. Mais l'AIPD du RGPD reste souvent due.

5.2 Contenu attendu de la FRIA

Section	Contenu
Description du déploiement	Finalité, périmètre, durée, catégories de personnes concernées
Risques identifiés	Discrimination, atteinte à la vie privée, asymétrie d'information
Mesures de mitigation	Supervision humaine, audit régulier, mécanismes de recours
Gouvernance	Personne responsable, fréquence de revue, escalade

5.3 Articulation avec l'AIPD RGPD

La FRIA AI Act et l'AIPD RGPD se complètent. La CNIL recommande de mener les deux en parallèle pour éviter les doublons. Un même rapport peut couvrir les deux exigences à condition de couvrir explicitement les volets droits fondamentaux et protection des données.

6. Documentation et registre des systèmes d'IA

L'Article 11 et l'Annexe IV de l'AI Act détaillent la documentation technique attendue. Le fournisseur la produit ; le déployeur PME doit la conserver et compléter sa propre documentation opérationnelle.

6.1 Documentation technique (Annexe IV)

Le fournisseur livre :

la description générale du système ;
la description détaillée des composants et du processus de développement ;
les informations sur les données utilisées ;
la description du processus de monitoring et de contrôle ;
les performances et les limites attendues ;
les mesures de cybersécurité (Art. 15).

6.2 Obligations de tenue de registre du déployeur (Art. 26)

L'Art. 26 §6 impose au déployeur de conserver automatiquement les logs générés par le système haut risque pendant au moins 6 mois. Ces logs doivent permettre la traçabilité de chaque décision automatisée.

6.3 Enregistrement dans la base de données européenne (Art. 49 et 71)

Les systèmes haut risque listés à l'Annexe III sont enregistrés dans la base de données EU (Art. 71). Le fournisseur procède à l'inscription, le déployeur PME y fait référence dans sa propre documentation.

Auditez votre conformité retail en 15 minutes

Notre questionnaire d'auto-diagnostic identifie vos obligations selon les Art. 6, 26 et 27. Réponse personnalisée sous 48 h.

Lancer l'auto-diagnostic AI Act retail

7. Sanctions et responsabilités (Article 99)

L'Article 99 fixe un régime de sanctions à trois niveaux. Le niveau applicable dépend de la nature de l'infraction.

Infraction	Plafond	Article
Pratique interdite (Art. 5)	35 M€ ou 7 % du CA mondial	Art. 99 §3
Non-conformité haut risque (Art. 8-15, 26)	15 M€ ou 3 % du CA mondial	Art. 99 §4
Fourniture d'informations inexactes aux autorités	7,5 M€ ou 1 % du CA mondial	Art. 99 §5

Pour les PME, l'Art. 99 §6 prévoit que le montant retenu est le plus bas entre la somme fixe et le pourcentage du chiffre d'affaires. Cette modulation reste une mesure de proportionnalité, non une exemption.

7.1 Cas concrets de risque retail

Tarification exploitant une vulnérabilité économique : sanction maximale Art. 99 §3.
Déploiement d'un scoring crédit sans FRIA : sanction Art. 99 §4.
Refus de fournir les logs au régulateur : sanction Art. 99 §5.

Pour le détail du barème et un simulateur, consulter notre article dédié aux sanctions AI Act pour PME.

7.2 Responsabilité du dirigeant

La directive et le droit national français permettent la mise en cause personnelle du dirigeant pour faute caractérisée. La conformité doit figurer à l'ordre du jour du comité de direction au moins une fois par an.

8. Conseils pratiques pour les PME du retail

Une mise en conformité réussie suit une trajectoire structurée. Voici la séquence recommandée par regulia, alignée sur les recommandations du Cigref (guide AI Act janvier 2025) [à vérifier pour la version la plus récente].

8.1 Étape 1 — Cartographier les systèmes d'IA déployés

Lister tous les systèmes d'IA en production, y compris ceux fournis en SaaS.
Identifier le fournisseur et la version du modèle.
Préciser la finalité commerciale exacte.

8.2 Étape 2 — Classifier chaque système

Pour chaque système identifié, appliquer la grille suivante :

Question	Si « oui »
Le système relève-t-il d'une pratique interdite (Art. 5) ?	Stop. Retirer immédiatement.
Le système relève-t-il de l'Annexe III ?	Haut risque. Obligations Art. 8-15, 26, 27.
Le système interagit-il directement avec un humain ?	Obligation de transparence Art. 50.
Aucun des cas précédents	Risque minimal. Bonnes pratiques recommandées.

8.3 Étape 3 — Mettre en place les mesures de conformité

Constituer le dossier documentaire (notice, FRIA si applicable, AIPD, registre des logs).
Négocier les clauses contractuelles avec le fournisseur (obligation de fournir l'Annexe IV).
Mettre en place la supervision humaine effective (Art. 14).
Tester la robustesse et la cybersécurité (Art. 15).

8.4 Étape 4 — Former et auditer

L'Article 4 impose une AI literacy suffisante du personnel. Pour une PME retail, cela signifie :

former les équipes marketing aux limites du système ;
former le service client à expliquer une recommandation ou un prix ;
prévoir une revue annuelle des risques.

Les liens utiles pour aller plus loin sont centralisés dans notre page sources réglementaires.

9. FAQ

Les moteurs de recommandation sont-ils toujours considérés comme à haut risque ?

Non. Seuls les moteurs influençant une décision automatisée à conséquences significatives — accès à un crédit, à une assurance, à un service essentiel — relèvent du haut risque au titre de l'Annexe III. Une recommandation de produit cosmétique sans dimension financière reste à risque limité. La classification doit néanmoins être documentée par la PME.

Puis-je utiliser des prix dynamiques basés sur l'historique d'achat d'un client ?

Oui, sous conditions. Vous devez recueillir le consentement RGPD (Art. 6.1.a), informer clairement le client que le prix est personnalisé (Directive Omnibus), exclure toute donnée sensible (Art. 9 RGPD) et bannir toute exploitation d'une vulnérabilité (Art. 5 AI Act). La CNIL recommande de consulter l'AI Act Service Desk pour les cas limites.

Quelle est la différence entre un moteur de recommandation et un système de prix dynamique en termes de conformité ?

Les moteurs de recommandation basculent au haut risque dès qu'ils influencent une décision automatisée listée à l'Annexe III. Les systèmes de prix dynamique ne sont en principe pas à haut risque, mais relèvent de l'Art. 5 (pratiques interdites), du RGPD et du droit de la consommation. Les deux exigent une documentation et, le cas échéant, une AIPD.

Que faire si je ne suis pas sûr de la classification de mon système d'IA ?

Démarrer par la grille de l'Annexe III, croiser avec l'Art. 5, puis solliciter le service desk de la Commission ou la CNIL en cas de doute. Le guide de classification de regulia accompagne cette démarche. Agir vite reste essentiel : l'application des dispositions haut risque débute en août 2026 pour la majorité des cas.

Quelles sont les étapes pour se conformer à l'AI Act pour mon e-commerce ?

Cartographier les systèmes d'IA, classifier chacun selon l'Annexe III et l'Art. 5, documenter (Annexe IV et registre interne), conduire une FRIA et/ou AIPD lorsque requise, organiser la supervision humaine (Art. 14), former le personnel (Art. 4), tester périodiquement. La CNIL propose des fiches pratiques sectorielles utiles pour structurer la démarche.

10. Sources officielles

AI Act — site officiel de la Commission européenne
Règlement (UE) 2024/1689 — proposition consolidée EUR-Lex
CNIL — dossier AI Act et fiches pratiques IA
AI Act Service Desk — Commission européenne
ISO/IEC 42001:2023 — Système de management de l'IA
ISO/IEC 23894:2023 — Gestion des risques liés à l'IA
ISO/IEC 27001:2022 — Sécurité de l'information
Cigref — Guide AI Act, janvier 2025 [à vérifier]
Numeum — Guide AI Act, mars 2025 [à vérifier]

Disclaimer : Cet article fournit des informations générales sur l'EU AI Act applicables aux PME françaises. Il ne constitue pas un conseil juridique. Pour toute décision opérationnelle, faites valider votre démarche par votre DPO ou conseil juridique. regulia décline toute responsabilité quant à l'usage qui peut être fait de ces informations.