Aller au contenu principal
7 min de lectureAI ARTEDUSA editorial

AI Act en 2026 : ce que musées, galeries, maisons de vente et théâtres doivent savoir

L’AI Act est désormais opposable. Ce qui change pour les institutions culturelles déployant un agent IA téléphonique ou conversationnel — en clair, avec les obligations qui mordent vraiment.

Court rappel chronologique

L’AI Act européen est entré en vigueur en août 2024. Ses dispositions s’appliquent par vagues : pratiques interdites depuis février 2025, obligations de transparence sur l’IA généraliste en 2025, et obligations sur les systèmes à risque élevé et risque limité progressivement courant 2026 et 2027. Pour les institutions culturelles, la date pratique qui compte est celle où les obligations de transparence "risque limité" s’appliquent aux systèmes interagissant directement avec le public — c’est maintenant.

Si vous exploitez un agent IA téléphonique, un agent IA conversationnel, ou un standard IA qui parle à vos visiteurs, vous êtes dans la catégorie "risque limité". La conformité n’est pas lourde, mais elle est contraignante.

Les trois obligations qui s’appliquent réellement à vous

Pour un musée, une galerie, une maison de vente ou un théâtre exploitant un agent IA en téléphonie ou en chat, trois obligations sont concrètement pertinentes :

  • Information : l’appelant doit être informé qu’il interagit avec un système d’IA, pas un humain. Dès le premier contact, sans ambiguïté.
  • Escalade humaine : l’appelant doit pouvoir demander un humain à tout moment. L’escalade silencieuse ne compte pas — l’utilisateur doit savoir que l’option existe.
  • Recoupement RGPD : l’AI Act ne remplace pas le RGPD. Il vous faut toujours une base légale (typiquement Article 6.1.f intérêt légitime pour l’agent, ou 6.1.b exécution du contrat pour la billetterie), une politique de conservation, et un Data Processing Agreement (Article 28) signé avec votre prestataire IA.

Ce que ça change concrètement

Vous mentionnez probablement déjà l’enregistrement pour qualité. Ajoutez une phrase : « Vous échangez avec un assistant IA. » Fait.

Vous avez besoin d’un chemin d’escalade humaine documenté. Si vous utilisez AI ARTEDUSA, l’agent supporte l’outil `talk_to_human` par défaut — tout appelant qui dit « je veux parler à quelqu’un » est transféré. Documentez le numéro de destination dans votre base de connaissances.

Pour le RGPD : signez le DPA avant la mise en service. Demandez la liste des sous-traitants ultérieurs (fournisseur LLM, STT, TTS, hébergement). Assurez-vous que le flux audio est traité dans l’UE et que les transcriptions ne sont pas utilisées pour l’entraînement.

Cinq questions à poser à votre prestataire IA

Avant de signer, passez en revue cette courte liste de due-diligence :

  • Où l’audio est-il traité ? Quels sous-traitants ? (Nécessaire pour le Transfer Impact Assessment.)
  • Mes transcriptions sont-elles utilisées pour entraîner le modèle ? (Indice : seule réponse acceptable, « non ».)
  • Un appelant peut-il toujours demander un humain ? Comment est-ce testé ?
  • Quelle est la durée de conservation par défaut, et puis-je la raccourcir ?
  • Allez-vous signer un DPA aligné sur l’Article 28 RGPD ? (À avoir au dossier.)

Position d’AI ARTEDUSA

AI ARTEDUSA est une IA agentique verticale pour l’art et la culture. Base de connaissances et transcriptions stockées en UE. Flux audio traités via les endpoints UE de Twilio. Aucun entraînement sur les transcriptions clients. DPA disponible. Escalade humaine intégrée à chaque agent. Transparence AI Act « risque limité » annoncée à chaque appel.

Pour les textes officiels, la Commission européenne publie le texte consolidé de l’AI Act sur digital-strategy.ec.europa.eu. Pour le recoupement RGPD, la CNIL a publié un guide sectoriel spécifique aux agents vocaux IA — c’est le résumé francophone le plus propre disponible aujourd’hui.

Questions fréquentes

Mon musée est-il "fournisseur" ou "déployeur" au sens de l’AI Act ?

Presque sûrement déployeur. Le fournisseur est l’éditeur qui construit et livre le système IA (AI ARTEDUSA, par exemple). Les déployeurs ont des obligations plus légères : information, supervision humaine, diligence contractuelle avec le fournisseur. Les fournisseurs portent la charge de conformité lourde.

Faut-il une analyse d’impact (DPIA / AIPD) ?

L’Article 35 RGPD exige une DPIA pour les traitements systématiques à grande échelle. Un agent IA traitant 100 à 1000 appels par mois pour une institution se situe généralement sous le seuil, mais demandez à votre DPO. Si vous en faites une, le prestataire IA doit vous fournir les informations techniques nécessaires (sous-traitants, conservation, sécurité).

Que faire si un appelant refuse de parler à une IA ?

Transférez-le à un humain. L’agent le supporte à la demande. Si votre institution n’a pas de ligne d’accueil humain, l’AI Act ne vous oblige pas à en créer une — mais vous devez offrir à l’appelant l’option de raccrocher et vous joindre autrement (email, formulaire web). Documentez ce chemin dans votre base de connaissances.

L’AI Act interdit-il à l’IA de réserver des billets ou des visites guidées seule ?

Non. Réserver une visite guidée n’est pas une « décision automatisée à effet juridique » au sens de l’Article 22 RGPD — il n’y a pas de décision défavorable prise sur l’appelant. L’agent agit à sa demande, sur la base de son consentement.