AI Act (Règlement Européen sur l’Intelligence Artificielle)
L’AI Act (Règlement (UE) 2024/1689) est le premier cadre juridique complet au monde sur l’intelligence artificielle, adopté par l’Union européenne le 21 mai 2024. Il réglemente les systèmes d’IA selon une approche par les risques, avec des obligations croissantes allant de l’interdiction pure à la simple recommandation de bonnes pratiques.
Ce règlement concerne toute organisation qui développe, déploie, importe ou distribue des systèmes d’IA sur le marché européen, quelle que soit sa localisation géographique. Un fournisseur américain ou chinois qui met son système à disposition d’utilisateurs européens est soumis à l’AI Act. La majorité des obligations entre en vigueur le 2 août 2026, avec des sanctions pouvant atteindre 35 millions d’euros ou 7% du chiffre d’affaires mondial annuel.
- Nom officiel
- Règlement (UE) 2024/1689 établissant des règles harmonisées sur l’intelligence artificielle
- Adoption
- 21 mai 2024
- Entrée en vigueur
- 1er août 2024
- Application complète
- 2 août 2026 (avec des phases anticipées et des délais sectoriels)
- Approche
- Basée sur les risques : 4 niveaux (inacceptable, haut, limité, minimal)
- Scope
- Toute organisation opérant sur le marché européen, indépendamment de sa localisation
- Sanctions maximales
- 35 M€ ou 7% du CA mondial (pratiques interdites), 15 M€ ou 3% (systèmes haut risque), 7,5 M€ ou 1% (fausses déclarations)
- Autorité de supervision
- AI Office (Commission européenne) + autorités nationales compétentes
- Digital Omnibus
- Proposition de simplification (nov. 2025) pouvant ajuster certaines deadlines pour les systèmes haut risque
L’approche par les risques : quatre niveaux
L’AI Act classe les systèmes d’IA en quatre catégories de risque, chacune avec un régime d’obligations spécifique. C’est la colonne vertébrale du règlement.
Risque inacceptable : les pratiques interdites (Article 5)
Certains usages de l’IA sont purement et simplement interdits parce qu’ils violent les valeurs fondamentales de l’UE. Les interdictions sont en vigueur depuis le 2 février 2025 :
Scoring social. Les systèmes de notation des personnes par des autorités publiques (ou privées) basés sur leur comportement social ou leurs caractéristiques personnelles, conduisant à un traitement préjudiciable dans des contextes sans rapport.
Manipulation subliminale ou exploitation de vulnérabilités. Les systèmes conçus pour manipuler les comportements de manière subconsciente, ou exploiter les vulnérabilités liées à l’âge, au handicap ou à la situation socio-économique.
Identification biométrique à distance en temps réel dans l’espace public. Interdite à des fins de maintien de l’ordre, sauf exceptions strictement encadrées (recherche de victimes, prévention de menaces terroristes spécifiques, recherche de suspects de crimes graves).
Reconnaissance des émotions sur le lieu de travail et dans les établissements d’enseignement. Sauf à des fins médicales ou de sécurité dûment justifiées.
Catégorisation biométrique pour inférer des données sensibles. Race, opinions politiques, appartenance syndicale, convictions religieuses, vie sexuelle.
Scraping facial non ciblé. Collecte massive d’images faciales depuis internet ou la vidéosurveillance pour créer des bases de données de reconnaissance faciale.
Police prédictive basée sur le profilage. Systèmes évaluant le risque qu’une personne commette une infraction uniquement sur la base de son profil ou de ses traits de personnalité.
Risque élevé : le cœur du règlement (Articles 6-49)
Les systèmes à haut risque sont soumis aux obligations les plus strictes. Ils couvrent deux catégories :
Systèmes intégrés dans des produits réglementés (Annexe I). IA embarquée dans des dispositifs médicaux, des véhicules, des machines, des jouets, etc. Ces systèmes suivent les procédures de conformité existantes de leur secteur, complétées par les exigences de l’AI Act. Deadline : 2 août 2027.
Systèmes autonomes dans des domaines sensibles (Annexe III). C’est la liste la plus pertinente pour les entreprises tech :
| Domaine | Exemples de systèmes haut risque |
|---|---|
| Biométrie | Identification biométrique à distance (hors temps réel), catégorisation biométrique |
| Infrastructures critiques | Gestion du trafic routier, de l’énergie, de l’eau, du chauffage |
| Éducation et formation | Détermination de l’accès, évaluation, surveillance des comportements, détection de triche |
| Emploi et gestion des travailleurs | Recrutement, tri de CV, évaluation, promotion, licenciement, allocation de tâches, surveillance |
| Services publics et privés essentiels | Scoring crédit, évaluation de risque d’assurance, accès aux services publics, triage des urgences |
| Application de la loi | Évaluation de preuves, profilage, évaluation de risque, polygraphes |
| Migration et asile | Évaluation de risque, vérification de documents, traitement des demandes |
| Justice et démocratie | Aide à la décision judiciaire, influence sur les processus électoraux |
Pour ces systèmes, l’AI Act impose un ensemble complet d’obligations détaillées dans la section suivante. Deadline : 2 août 2026 pour les systèmes autonomes de l’Annexe III.
Risque limité : la transparence (Article 50)
Certains systèmes IA ne sont pas à haut risque mais nécessitent des obligations de transparence. Quatre cas sont couverts : les chatbots et systèmes interactifs (informer l’utilisateur qu’il interagit avec une IA), les systèmes de reconnaissance d’émotions et de catégorisation biométrique (informer les personnes concernées), les systèmes générant du contenu (marquer les sorties en format machine-readable via watermarking), et les deepfakes (divulguer la nature artificielle du contenu). Deadline : 2 août 2026.
Risque minimal : pas d’obligation spécifique
La grande majorité des systèmes IA (filtres anti-spam, recommandations de contenu, jeux vidéo, etc.) relèvent du risque minimal. L’AI Act ne leur impose aucune obligation spécifique, mais encourage les codes de conduite volontaires (article 95).
Obligations pour les systèmes haut risque
Les systèmes à haut risque sont soumis à un ensemble d’obligations structurées. Voici les principales, regroupées par thème.
Système de gestion des risques (Article 9)
Un processus continu d’identification, d’analyse, d’évaluation et de traitement des risques, tout au long du cycle de vie du système. Cela inclut les risques pour la santé, la sécurité et les droits fondamentaux des personnes affectées.
Gouvernance des données (Article 10)
Les données d’entraînement, de validation et de test doivent satisfaire des critères de qualité : pertinence, représentativité, absence d’erreurs dans la mesure du possible, et prise en compte des caractéristiques des groupes sur lesquels le système sera utilisé. C’est un levier clé contre les biais algorithmiques.
Documentation technique (Article 11)
Une documentation technique complète doit être rédigée avant la mise sur le marché et maintenue à jour. Elle doit permettre aux autorités d’évaluer la conformité du système. En pratique, cela se traduit par des model cards détaillées incluant l’architecture, les données, les performances, les limitations et les risques identifiés.
Conservation des logs (Article 12)
Le système doit être conçu pour enregistrer automatiquement des événements (logs) tout au long de son fonctionnement. Ces logs doivent permettre de tracer et vérifier le fonctionnement du système. C’est le support technique de la traçabilité et de l’accountability.
Transparence et information (Article 13)
Le système doit être conçu pour être suffisamment transparent pour que les déployeurs puissent interpréter et utiliser correctement les résultats. Les instructions d’utilisation doivent être claires, complètes et accessibles. C’est l’article qui fonde l’exigence d’explicabilité technique.
Supervision humaine (Article 14)
Des mesures de supervision humaine doivent être intégrées dès la conception. Les personnes supervisant le système doivent pouvoir comprendre ses capacités et limitations, interpréter ses résultats, décider de ne pas utiliser un résultat, et interrompre ou suspendre le système.
Précision, robustesse et cybersécurité (Article 15)
Le système doit atteindre un niveau approprié de précision, de robustesse (résistance aux erreurs et perturbations) et de cybersécurité, déclaré dans la documentation technique et communiqué aux déployeurs.
Évaluation de conformité (Article 43)
Avant la mise sur le marché, le fournisseur doit réaliser une évaluation de conformité. Pour la plupart des systèmes haut risque de l’Annexe III, une auto-évaluation suffit. Pour les systèmes biométriques, une évaluation par un organisme notifié est requise. Le système conforme reçoit le marquage CE et est enregistré dans la base de données européenne.
IA à usage général (GPAI) et risque systémique
L’AI Act crée un régime spécifique pour les modèles d’IA à usage général (General-Purpose AI), comme les grands modèles de langage. Les obligations sont en vigueur depuis le 2 août 2025 pour les nouveaux modèles.
Obligations standard pour tous les modèles GPAI (Article 53)
Tous les fournisseurs de modèles GPAI doivent fournir une documentation technique détaillée, des informations de transparence aux fournisseurs en aval qui intègrent le modèle, une politique de respect du droit d’auteur (conformément à la directive sur le copyright), et un résumé détaillé du contenu utilisé pour l’entraînement.
Obligations renforcées pour les modèles à risque systémique (Article 55)
Les modèles dont la puissance de calcul d’entraînement dépasse 10^25 FLOPS (ou désignés par la Commission) sont classés « à risque systémique ». Ils doivent en plus mettre en place des politiques de gestion des risques, conduire des évaluations de modèle (red teaming), assurer une cybersécurité adéquate, et signaler les incidents graves à l’AI Office.
Régime pour l’open source
Les modèles distribués sous licence open source bénéficient d’un régime allégé : les obligations de documentation technique et de transparence sont réduites. Toutefois, ce régime allégé ne s’applique pas si le modèle présente un risque systémique. Et dès qu’un modèle open source est intégré dans un système haut risque, l’intégrateur/déployeur assume les obligations complètes.
Calendrier d’application
| Date | Obligations entrant en vigueur | Statut |
|---|---|---|
| 1er août 2024 | Entrée en vigueur du règlement (aucune obligation applicable) | ✓ Passé |
| 2 février 2025 | Interdictions (article 5) et obligation de littératie IA (article 4) | ✓ Passé |
| 2 août 2025 | Obligations GPAI (articles 53-56), gouvernance (AI Office, AI Board), autorités nationales désignées, régime de sanctions | ✓ Passé |
| 2 août 2026 | Application complète : systèmes haut risque Annexe III, transparence (article 50), sanctions GPAI, registre EU, sandboxes réglementaires | À venir |
| 2 août 2027 | Systèmes haut risque intégrés dans des produits réglementés (Annexe I) ; conformité des modèles GPAI mis sur le marché avant août 2025 | À venir |
| 31 décembre 2030 | Conformité des systèmes IT à grande échelle des domaines liberté/sécurité/justice | À venir |
Sanctions
L’AI Act prévoit un régime de sanctions à trois niveaux, applicables à partir du 2 août 2026 pour les systèmes haut risque :
Pratiques interdites (article 5) : jusqu’à 35 millions d’euros ou 7% du chiffre d’affaires mondial annuel (le montant le plus élevé s’applique).
Violations des obligations sur les systèmes haut risque et les modèles GPAI : jusqu’à 15 millions d’euros ou 3% du CA mondial.
Fourniture d’informations inexactes aux autorités : jusqu’à 7,5 millions d’euros ou 1% du CA mondial.
Des plafonds réduits s’appliquent aux PME et startups. Les États membres définissent les modalités d’application nationale, y compris les avertissements et sanctions non-monétaires.
Gouvernance et supervision
L’AI Office (Bureau de l’IA), opérationnel depuis août 2025 au sein de la Commission européenne, est l’autorité centrale. Il supervise les modèles GPAI, coordonne l’application du règlement et élabore les lignes directrices et codes de pratique.
L’AI Board (Conseil de l’IA) regroupe les représentants des États membres et conseille la Commission sur la mise en œuvre.
Le Scientific Panel (Panel scientifique) fournit une expertise technique indépendante, notamment sur l’évaluation des modèles à risque systémique.
Les autorités nationales compétentes assurent l’application au niveau national. Chaque État membre doit en avoir désigné au moins une depuis août 2025. La Finlande a été le premier pays à disposer de pouvoirs d’application complets (décembre 2025).
Obligations par rôle dans la chaîne de valeur
L’AI Act distribue les responsabilités entre quatre types d’acteurs, chacun avec un périmètre d’obligations distinct.
Le fournisseur (provider) est l’acteur central. Il développe le système IA ou le modèle GPAI et le met sur le marché. Ses obligations sont les plus lourdes : conception conforme, documentation technique, évaluation de conformité, marquage CE, enregistrement dans la base EU, monitoring post-marché, signalement d’incidents graves, et mise en place d’un système de gestion de la qualité. Le fournisseur est responsable « de la conception au retrait ».
Le déployeur (deployer) est l’organisation qui utilise le système IA dans un contexte professionnel. Ses obligations portent sur l’utilisation conforme aux instructions du fournisseur, la supervision humaine, l’information des personnes concernées, et (pour les systèmes haut risque dans le secteur public ou des entités privées fournissant des services publics) la réalisation d’une évaluation d’impact sur les droits fondamentaux avant le déploiement.
L’importateur vérifie la conformité avant la mise sur le marché européen (documentation, marquage CE, évaluation de conformité réalisée). Le distributeur vérifie que les conditions de stockage et transport ne compromettent pas la conformité.
Impact par secteur
Finance et assurance
Le scoring crédit, la détection de fraude, l’évaluation de risque d’assurance et le trading algorithmique sont directement concernés. Les institutions financières doivent satisfaire à la fois l’AI Act et les réglementations sectorielles existantes (DORA, MiFID II, Bâle III, directives anti-blanchiment). Le secteur financier bénéficie toutefois d’une maturité réglementaire qui facilite l’adaptation. Les modèles de validation existants (SR 11-7) peuvent être étendus pour couvrir les exigences de l’AI Act.
Santé
Les systèmes IA intégrés dans des dispositifs médicaux (diagnostic, recommandation de traitement, imagerie) suivent un double régime : l’AI Act et le règlement sur les dispositifs médicaux. La deadline pour ces systèmes est août 2027 (Annexe I), ce qui offre un délai supplémentaire. Cependant, la complexité de la double conformité (marquage CE dispositif médical + conformité AI Act) nécessite une préparation anticipée.
Tech et SaaS
Les fournisseurs de SaaS intégrant de l’IA (CRM prédictif, outils de recrutement, chatbots) sont particulièrement exposés. Les modèles GPAI sous-jacents sont soumis aux obligations de l’article 53 depuis août 2025. Les systèmes construits dessus héritent des obligations correspondant à leur niveau de risque. Les fournisseurs de LLM comme OpenAI, Anthropic, Google et Mistral sont concernés par les obligations GPAI et potentiellement par le risque systémique.
Recrutement et RH
Les systèmes de tri de CV, d’évaluation de candidats, de surveillance des travailleurs et d’allocation de tâches sont classés haut risque (Annexe III). C’est l’un des domaines les plus sensibles politiquement. Les exigences d’évaluation d’impact sur les droits fondamentaux et d’audit de biais sont particulièrement strictes.
Contexte international
L’AI Act est le cadre le plus abouti au monde, mais il n’est pas isolé. D’autres juridictions développent leurs propres régulations :
États-Unis. Pas de loi fédérale unique, mais un patchwork de régulations étatiques (Colorado AI Act en vigueur février 2026, California AI Transparency Act, Illinois Video Interview Act) et de cadres fédéraux volontaires (NIST AI RMF, executive orders). L’approche est sectorielle et fragmentée, mais converge progressivement vers des principes similaires de transparence et d’accountability.
Royaume-Uni. Approche pro-innovation, sans loi horizontale dédiée. Les régulateurs sectoriels (FCA, ICO, Ofcom) appliquent les réglementations existantes à l’IA. Un cadre plus structuré est attendu mais pas encore adopté.
Chine. Régulations ciblées sur les recommandations algorithmiques, les deepfakes et l’IA générative, avec un focus sur le contrôle du contenu et la sécurité nationale.
Pour les entreprises opérant à l’international, la conformité à l’AI Act couvre généralement la majorité des exigences des autres juridictions, grâce au niveau d’exigence élevé du règlement européen.
Guide pratique de mise en conformité
Voici une feuille de route en cinq étapes pour les organisations qui préparent la conformité.
Étape 1 : Inventaire des systèmes IA. Cataloguez tous les systèmes IA en usage ou en développement, y compris les outils tiers et les API. Documentez pour chacun : l’objectif, les données traitées, les personnes affectées, le contexte de décision.
Étape 2 : Classification par risque. Appliquez la grille de l’AI Act pour classifier chaque système. La majorité des systèmes seront à risque minimal (aucune obligation). Concentrez vos efforts sur les systèmes potentiellement haut risque et ceux relevant de l’article 50.
Étape 3 : Évaluation des écarts (gap analysis). Pour chaque système haut risque, évaluez la conformité actuelle par rapport aux exigences (gestion des risques, gouvernance des données, documentation, logging, transparence, supervision humaine, précision/robustesse/cybersécurité).
Étape 4 : Implémentation. Mettez en place les mesures nécessaires : model cards, méthodes d’explicabilité (SHAP, contrefactuels), système de logging, programme de monitoring, processus de supervision humaine, évaluation de conformité. Pour les systèmes de transparence (article 50) : intégrez le watermarking et les labels de divulgation.
Étape 5 : Monitoring continu. La conformité n’est pas un exercice ponctuel. Monitorez les performances, les biais, les drifts, et les réclamations. Mettez à jour la documentation. Signalez les incidents graves. Préparez-vous aux inspections.
L’AI Act et l’écosystème XAI
L’AI Act ne prescrit pas de méthode technique spécifique pour l’explicabilité ou la transparence. C’est aux fournisseurs et déployeurs de choisir les outils adaptés. En pratique, l’écosystème de l’IA explicable fournit les briques techniques :
L’interprétabilité répond à l’article 13 (transparence suffisante pour interpréter les résultats). La feature attribution (SHAP) et les contrefactuels répondent à l’article 86 (droit à l’explication). Le watermarking et la provenance répondent à l’article 50 (marquage du contenu IA). Les model cards répondent aux articles 11 et 13 (documentation et information). L’audit de fairness répond à l’article 10 (gouvernance des données) et à l’article 27 (évaluation d’impact sur les droits fondamentaux). L’accountability structure l’ensemble du dispositif.
Questions fréquentes sur l’AI Act
Mon entreprise est hors UE. L’AI Act s’applique-t-il à moi ?
Oui, si votre système IA est mis sur le marché européen ou si ses résultats sont utilisés dans l’UE. L’AI Act a une portée extraterritoriale : il s’applique aux fournisseurs « quelle que soit leur localisation » dès lors que le système est disponible dans l’UE. Concrètement, si vous vendez un SaaS incluant de l’IA à des clients européens, ou si votre API est utilisée par des entreprises européennes, vous êtes soumis au règlement. Les fournisseurs hors UE doivent désigner un représentant autorisé dans l’UE.
Comment savoir si mon système IA est à haut risque ?
Vérifiez deux critères. Premièrement, votre système est-il intégré dans un produit couvert par la législation d’harmonisation de l’UE (dispositif médical, machine, jouet) ? Si oui, consultez l’Annexe I. Deuxièmement, votre système opère-t-il dans l’un des domaines listés à l’Annexe III (biométrie, infrastructures critiques, éducation, emploi, services essentiels, application de la loi, migration, justice) ? Si oui, il est probablement à haut risque. La Commission doit publier des lignes directrices détaillées pour l’article 6 d’ici mi-2026.
Les chatbots et assistants IA sont-ils à haut risque ?
Pas en tant que tels. Un chatbot de service client ou un assistant IA conversationnel relève généralement du risque limité (article 50) : l’obligation est d’informer l’utilisateur qu’il interagit avec une IA. Cependant, si le chatbot prend des décisions impactant les droits des personnes (évaluation de crédit, triage médical), le système sous-jacent peut être classé haut risque indépendamment de l’interface conversationnelle. C’est l’usage qui détermine le risque, pas l’interface.
Les modèles open source sont-ils exemptés ?
Partiellement. Les modèles GPAI distribués sous licence open source bénéficient d’obligations de documentation allégées (article 53). Toutefois, cette exemption ne s’applique pas aux modèles à risque systémique (>10^25 FLOPS). Et dès qu’un modèle open source est intégré dans un système haut risque, le déployeur ou l’intégrateur assume les obligations complètes. L’open source n’est pas un bouclier contre l’AI Act : il allège les obligations du fournisseur du modèle, mais pas celles de l’organisation qui l’utilise en production.
Quelles sont les premières actions à prendre pour se préparer ?
Immédiatement : réalisez un inventaire de tous vos systèmes IA et classifiez-les par niveau de risque. Vérifiez que vos pratiques ne tombent pas dans les interdictions de l’article 5 (en vigueur depuis février 2025). D’ici août 2026 : pour chaque système haut risque, menez une gap analysis, rédigez la documentation technique (model cards), implémentez un système de logging et de monitoring, intégrez des méthodes d’explicabilité, et mettez en place la supervision humaine. Pour les systèmes génératifs : intégrez le watermarking et les labels de divulgation avant août 2026.