L’intelligence artificielle évolue rapidement. Il n’était qu’une question de temps avant que le premier cadre juridique mondial dédié à la gouvernance de cette technologie voie le jour. Ce cadre, c’est le règlement européen sur l’IA, communément appelé l’AI Act.
Ce règlement n’est pas une nouveauté : il est entré en vigueur en août 2024. Sa mise en œuvre est progressive, les dernières exigences prenant effet en août 2027.
Mais en quoi consiste-t-il exactement, et quelles en sont les implications pour les fournisseurs de services d’IA dans l’Union européenne ? Par ailleurs, qu’implique-t-il pour les entreprises utilisatrices ? Qui est réellement concerné ?
Voici une présentation structurée de son architecture, de ses obligations et de sa pertinence pour les fournisseurs comme pour les déployeurs.
À quoi sert l’AI Act ?
L’AI Act poursuit un double objectif :
- Promouvoir l’adoption d’une IA digne de confiance et centrée sur l’humain au sein du marché unique européen.
- Garantir le plus haut niveau de protection de la santé, de la sécurité, des droits fondamentaux, de la démocratie, de l’état de droit et de l’environnement. [1]
Le règlement vise à harmoniser les règles applicables aux technologies d’IA pour l’ensemble des États membres et à prévenir la fragmentation des politiques, qui pourrait nuire aux citoyens européens. Grâce à une approche unifiée, les biens et services alimentés par l’IA peuvent circuler librement entre les États membres.
Logique réglementaire
L’approche adoptée par l’AI Act est fondée sur le risque : plus le risque potentiel est élevé, plus les obligations sont strictes. C’est pourquoi le règlement s’articule autour de différents niveaux, chacun correspondant à un degré de risque spécifique. Ces niveaux vont des interdictions absolues au sommet, jusqu’aux systèmes à risque minimal sans obligation particulière, en passant par des exigences de conformité renforcées pour les systèmes à haut risque et de simples obligations de transparence pour les systèmes à risque limité.
La pyramide des risques et ses quatre niveaux
Voici un récapitulatif des quatre niveaux couverts par l’AI Act. Pour plus d’informations, consultez la page officielle de l’Union européenne dédiée à l’AI Act.
Niveau 1 : pratiques d’IA interdites (article 5)
Le premier niveau couvre les pratiques d’IA strictement interdites dans l’Union européenne, entrées en vigueur le 2 février 2025. Ces pratiques sont bannies en raison des risques inacceptables qu’elles font peser sur les valeurs et les droits fondamentaux de l’UE.
| Pratique interdite | Définition |
| Manipulation subliminale et tromperie | IA utilisant des techniques hors du champ de conscience d’une personne pour influencer son comportement et lui causer un préjudice |
| Exploitation des vulnérabilités | Ciblage de personnes en fonction de leur âge, d’une déficience ou de leur situation socioéconomique. |
| Notation sociale (social scoring) | Évaluation ou classification de personnes sur la base de leurs comportements sociaux, influençant leurs opportunités dans des contextes non liés |
| Profilage prédictif à des fins policières | Prédiction de comportements criminels sur la seule base de traits de personnalité |
| Collecte non ciblée d’images faciales | Constitution de bases de données par scraping d’images sur internet ou via des systèmes de vidéosurveillance |
| Inférence d’émotions en milieu professionnel et éducatif | Lecture des émotions sur le lieu de travail ou dans les établissements scolaires, sauf contextes médicaux et de sécurité |
| Catégorisation biométrique d’attributs sensibles | Inférence de la race, de la religion, des opinions politiques, de l’orientation sexuelle, etc. à partir de données biométriques |
La dernière pratique interdite est l’identification biométrique à distance en temps réel (RBI) dans les espaces publics à des fins répressives. Trois exceptions étroites s’appliquent néanmoins :
- Recherche ciblée de victimes
- Prévention de menaces imminentes, notamment d’actes terroristes
- Localisation de suspects dans le cadre d’infractions graves
Niveau 2 : systèmes d’IA à haut risque (articles 6 à 27)
Ce niveau regroupe les obligations les plus récentes : la plupart entrent en vigueur à partir du 2 août 2026. Pour les systèmes intégrés à des produits existants déjà réglementés par la législation européenne et dotés de fonctionnalités IA natives, l’application est reportée au 2 août 2027. [5,6]
La classification à haut risque s’applique selon deux voies :
Voie A : couvre l’IA utilisée comme composant de sécurité dans des produits déjà soumis à la législation européenne sur la sécurité des produits (dispositifs médicaux, machines, aviation, véhicules, etc.).
Voie B : couvre l’IA déployée dans huit domaines d’application sensibles, tous listés à l’annexe III :
- Biométrie (identification à distance, catégorisation, reconnaissance d’émotions)
- Infrastructures critiques (systèmes numériques, trafic routier, énergie, approvisionnement en eau)Éducation (admissions, notation, surveillance des examens)
- Emploi (recrutement, évaluation des performances, allocation des tâches, décisions de licenciement)
- Services publics essentiels (éligibilité aux prestations sociales, scoring de crédit, risque assurantiel, triage d’urgence)
- Répression (profilage, évaluation des preuves, risque de récidive)
- Migration et contrôle aux frontières (traitement des demandes d’asile, évaluation des risques, vérification des documents)
- Administration de la justice et processus démocratiques (IA assistant la recherche juridique, l’interprétation du droit, la résolution alternative des litiges, l’influence électorale)
Obligations des fournisseurs à haut risque
| Exigence | Description |
| Gestion des risques (art. 9) | Identification, évaluation et atténuation continues des risques sur l’ensemble du cycle de vie |
| Gouvernance des données (art. 10) | Les données d’entraînement doivent être pertinentes, représentatives, exemptes d’erreurs et analysées pour détecter les biais |
| Documentation technique (art. 11) | Documentation complète avant mise sur le marché, conservée 10 ans |
| Journalisation automatique (art. 12) | Les systèmes doivent générer des journaux d’événements permettant la traçabilité tout au long de leur cycle de vie |
| Transparence (art. 13) | Information claire des déployeurs sur les capacités, les limites et l’utilisation correcte du système |
| Supervision humaine (art. 14) | Conception permettant aux humains de comprendre, surveiller, contrecarrer ou arrêter le système |
| Exactitude, robustesse, cybersécurité (art. 15) | Métriques d’exactitude déclarées ; résilience aux erreurs et aux attaques adversariales |
| Système de management de la qualité (art. 17) | Processus qualité documentés couvrant l’ensemble du cycle de vie |
| Évaluation de la conformité (art. 43) | Auto-évaluation pour la plupart des systèmes de l’annexe III ; audit tiers obligatoire pour les systèmes d’identification biométrique |
Les fournisseurs ne sont pas les seuls concernés par les obligations de l’AI Act. Les déployeurs, c’est-à-dire les organisations utilisant des systèmes d’IA dans leurs opérations, tels que des outils de gestion des contrats alimentés par l’IA ou des solutions de présélection RH, doivent également respecter un ensemble d’obligations au titre de l’article 26 du règlement.
Le tableau ci-dessous est non exhaustif.
Obligations des déployeurs à haut risque
| Exigence | Description |
| Utiliser le système conformément aux instructions (§1) | Respecter les instructions d’utilisation du fournisseur et ne pas détourner l’IA de sa fonction initiale |
| Désigner une supervision humaine qualifiée (§2) | Nommer des personnes formées, disposant de l’autorité et des ressources nécessaires pour superviser, intervenir et neutraliser l’IA |
| Surveiller les systèmes et signaler les incidents (§5) | Suivre les performances et suspendre l’utilisation en cas de risque ; signaler les incidents aux fournisseurs et aux autorités |
| Pour les organismes publics, enregistrer l’usage (§8) | Les autorités publiques doivent vérifier la base de données de l’UE avant de recourir à un système à haut risque ; en l’absence d’enregistrement, l’utilisation est interdite |
| Coopérer avec les autorités (§12) | Collaborer avec les régulateurs dans le cadre de toute action les concernant ; tout obstruction constitue en soi un manquement à la conformité |
Bon à savoir : les organisations non conformes s’exposent à des amendes pouvant atteindre 15 millions d’euros ou 3 % du chiffre d’affaires mondial, et jusqu’à 7,5 millions d’euros ou 1 % pour fourniture d’informations trompeuses.
Niveau 3 : risque limité et obligations de transparence (article 50)
L’article 50 de l’AI Act impose aux fournisseurs et déployeurs de systèmes à risque limité des obligations de transparence. Celles-ci concernent notamment :
- Les chatbots
- Les deepfakes et médias synthétiques
- Les systèmes de reconnaissance d’émotions et de catégorisation biométrique
| Qui | Obligation | Exception |
| Fournisseur | Informer les utilisateurs lorsqu’ils interagissent avec une IA (§1) | Non requis si cela est évident pour une personne raisonnable ou dans le cadre de l’application de la loi pénale |
| Fournisseur | Marquer tout contenu généré par l’IA (audio, vidéo, texte, image) comme tel, dans un format lisible par machine (§2) | Sauf assistance à l’édition standard ou application de la loi pénale |
| Déployeur | Informer les utilisateurs lorsqu’une reconnaissance d’émotions ou une catégorisation biométrique est utilisée sur eux (§3) | Non requis dans le cadre de l’application de la loi pénale (avec garanties) |
| Déployeur | Divulguer les deepfakes et textes d’intérêt public générés par l’IA (§4) | Pour les œuvres créatives, la divulgation est requise sans perturber la jouissance du public ; non requise si le texte a été relu par un humain |
Niveau 4 : risque minimal
La grande majorité des systèmes d’IA (filtres anti-spam, moteurs de recommandation, IA pour jeux vidéo, outils de productivité) ne sont soumis à aucune obligation particulière. Des codes de conduite volontaires sont encouragés.
Tous les modèles d’IA sont concernés
Le chapitre V de l’AI Act porte sur les modèles d’IA à usage général (modèles GPAI). Il stipule que tous les modèles d’IA peuvent présenter des risques selon leur intégration en aval, indépendamment des modèles eux-mêmes. Les obligations ci-dessous sont entrées en vigueur en août 2025.
À ce titre, tous les fournisseurs de modèles GPAI doivent :
- Préparer une documentation technique
- Fournir aux intégrateurs en aval des informations sur les capacités et les limites du modèle
- Mettre en œuvre une politique de conformité au droit d’auteur
- Publier un résumé suffisamment détaillé du contenu des données d’entraînement
En outre, les modèles GPAI présentant un risque systémique* doivent également :
- Procéder à des tests adversariaux (red-teaming)
- Mener une évaluation et une atténuation systématiques des risques
- Signaler les incidents graves à l’AI Office
- Appliquer des mesures de cybersécurité renforcées
Bon à savoir : le Code de conduite GPAI, publié en juillet 2025, propose des voies de conformité volontaires. Ses signataires comptent aujourd’hui Amazon, IBM, Google et Microsoft, entre autres.
*Présumé dès lors que le volume de calcul cumulé d’entraînement dépasse 10²⁵ FLOPs (nombre d’opérations en virgule flottante par seconde, mesure de la puissance de calcul des modèles d’IA)
Qui applique l’AI Act ?
À l’instar d’autres réglementations européennes, la structure d’application de l’AI Act s’articule sur deux niveaux : européen et national.
Application au niveau européen
L’Union européenne a créé un AI Office chargé d’appliquer directement les obligations relatives aux modèles GPAI. Cet office est assisté d’experts indépendants et d’un forum consultatif représentant l’industrie, le monde académique et la société civile.
Le Comité européen de l’IA, quant à lui, coordonne l’application nationale. Il compte un représentant par État membre. [1]
Application au niveau national
Chaque État membre doit désigner des autorités de surveillance du marché, dotées du pouvoir d’accéder à la documentation, aux jeux de données et même au code source, ainsi que d’ordonner le retrait ou le rappel de systèmes. Des organismes notifiés conduisent les évaluations de conformité tierces pour les systèmes d’identification biométrique et les produits soumis à la législation sur la sécurité.
Certains États membres ont choisi de créer de nouveaux organismes dédiés à l’application de l’AI Act, tandis que d’autres s’appuient sur des autorités existantes. L’Espagne a ainsi créé l’AESIA (Agencia Española de Supervisión de la Inteligencia Artificial) dès 2023. La France et l’Allemagne ont respectivement confié la supervision de l’IA à la CNIL (Commission Nationale de l’Informatique et des Libertés) et à la BNetzA (Bundesnetzagentur).
Les sandbox réglementaires sont obligatoires : chaque État membre doit en mettre en place au moins une d’ici août 2026. Ces environnements contrôlés permettent aux fournisseurs de développer et de tester leur IA sous supervision réglementaire, avec un accès gratuit pour les PME. À mars 2026, des sandbox opérationnelles existent au Danemark, en Espagne, en Italie, au Luxembourg et en France, et de nombreuses autres sont en cours de développement.
Perspectives pour le Directeur Juridique et la Direction Juridique
L’AI Act redéfinit fondamentalement le rôle de la Direction Juridique dans la gouvernance technologique. Désormais, elle n’est plus un simple point de contrôle de la conformité : elle devient un acteur clé de l’architecture de responsabilité autour de l’IA.
Il ne s’agit pas d’endosser les responsabilités de la DSI, mais de s’assurer que l’adoption de l’IA s’inscrit dans la tolérance au risque juridique, les exigences réglementaires et les objectifs stratégiques de l’entreprise. Dans notre prochain article, nous explorons les enjeux pour le Directeur Juridique, la façon dont il peut piloter cette transformation, et les structures de gouvernance qui distingueront une conformité réactive d’un leadership stratégique.
Références :
[1] AI Act | Shaping Europe’s digital future
[5] AI Act From timelines to tensions A mid-2025 round-up
[6] The EU AI Act: Update on the application timeline and implications …
